Recentemente è in atto un’enorme campagna ransomware che ha come obiettivo quello di crittografare i dati degli utenti che utilizzano dispositivi a marchio QNAP.

​

Gli aggressori utilizzano un malware, uno script, o semplicemente 7-zip per crittografare i files o per comprimere i dati in archivi protetti da password.

​

​

​

​

​

​

​

​

​

​

I ransomware che stanno terrorizzando gli utenti QNAP sin dal circa 1 anno aprile scorso vengono identificati con il nome di Deadbolt, Qlocker, eCh0raix. Qlocker.

Ad esempio, secondo quanto spiegato dai colleghi di BleepingComputer, il ransomware sarebbe in grado di utilizzare 7-zip per spostare tutti i dati degli utenti all’interno di archivi compressi e protetti da password.

​

Mentre l’attacco di uno di questi malware è in corso, il gestore delle risorse dei NAS QNAP mostra numerose istanze di script/programmi dal numero casuale o istanze di 7-zip (7z) in esecuzione da riga di comando.

​

​

​

 

 

 

 

 

 

 

 

 

 

 

 

​

​

 

Quando il ransomware Qlocker termina la propria procedura, i file del dispositivo QNAP sono memorizzati in archivi 7-zip protetti da password dall’estensione .7z. Per estrarre questi archivi, le vittime devono inserire una password.

​

​

​

​

​

​

 

 

 

 

 

 

 

 

 

Quando il ransomware Deadbolt termina la propria procedura, i file del dispositivo QNAP risultano illegibili e alla loro estensione viene aggiunto il suffisso .deadbolt. Viene inoltre modificata l'homepage del NAS come da immagine in calce.

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

 

Quando il ransomware eCh0raix termina la propria procedura, i file del dispositivo QNAP risultano illegibili e alla loro estensione viene aggiunto il suffisso .encrypted. Non viene però modificata l'homepage del NAS.

​

​

Recentemente QNAP ha risolto alcune vulnerabilità critiche che potrebbero consentire agli aggressori di ottenere l’accesso completo a un dispositivo ed eseguire un ransomware. QNAP ha risolto queste due vulnerabilità chiamate CVE-2020-2509 e CVE-2020-36195 il 16 aprile.

​

QNAP ha risposto alle domande degli esperti affermando che è possibile che Deadbolt/Qlocker sfrutti la vulnerabilità Cdelle applicazioni installate sul NAS per eseguire il ransomware sui dispositivi vulnerabili. È dunque fortemente raccomandato l’aggiornamento di QTS, Multimedia Console e Media Streaming Add-on e di tutte le altre app alle ultime versioni.

​

Questo ovviamente non riporterà indietro i vostri file ma vi proteggerà da futuri attacchi che utilizzano tale vulnerabilità.

​

​​​​​​

 

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

 

Processo di ripristino di un NAS QNAP infettato e crittografato

​​

 

Domande frequenti:

​

Cosa è consigliato fare a seguito dell'infezione?? 

​

E' consigliato scollegare dalla rete il nas infettato e contattare immediatamente un esperto per un supporto tecnico specializzato. E' importante anche capire l'origine dell'infezione in quanto non viene danneggiato il sistema operativo del dispositivo ma è molto probabile la presenza di backdoor o rootkit nascoste all'interno del sistema.

 

Provare tecniche di recupero "tradizionali", aggiornamenti del firmware o altro metterà solamente ancora di più a rischio la probabilità, già bassa, di recuperare tutti i files.

​​

​

​​​​​​​​​​​​​​​La mia password del NAS era molto sicura, come hanno fatto a trovarla? 

​

Purtroppo anche con una password di 20 caratteri casuali, tipicamente molto sicura, non c'è nessuna protezione efficace in quanto vengono utilizzati degli exploit sui software installati sul NAS, permettendo di fatto un bypass della password.

​

​

L'account admin sul NAS era disattivato, cosa è successo? 

​

Spesso l'account "admin" viene disattivato per motivi di sicurezza, eppure tutto il processo di criptazione è avvenuto da quell'account, come è stato possibile?

Il tutto avviene tramite una "escalation di privilegi", ovvero ci si connette tramite un utente "normale", vengono alzati i privilegi di questo utente il quale a sua volta crea o riattiva l'account di administrator, comunque sempre presente magari sotto altro username, al quale ci si connetterà in seguito per eseguire la criptazione.  

​

​​

Quindi cosa posso fare per proteggermi da futuri attacchi di Deadbolt/QLOCKER/eCh0raix?​

​

I due consigli che diamo ai nostri clienti per proteggersi da eventuali infezioni sono:​

- aggiornare costantemente e prontamente NAS e applicazioni installate 

- installare il nostro script di protezione contro i ransomware, maggiori info QUI

​​​

​

​

Come decriptare file cifrati da ECHORAIX/DEADBOLT/QLOCKER 7Z? 

Potete recuperare i miei dati?

​

Si, per alcune versioni di questi malware possiamo recuperare tutti i tuoi files!! 

​

Scrivici un'email a info@recuperafiles.it o ad urgente@eliminacryptolocker.com allegando dei files criptati di piccole dimensioni ed il tuo numero di cellulare;

 

Ti ricontatteremo il prima possibile!.

​

​

​