Questo sito fa uso di cookie tecnici per una tua migliore esperienza di navigazione. Continuando ad utilizzare il sito, accetti la nostra policy di uso dei cookie.
Da alcuni giorni ci sono utenti che, accedendo ai dati archiviati sul proprio NAS Qnap, hanno trovato un’amara sorpresa: tutti i dati sono “spariti” ed al loro posto si sono ritrovati dei file compressi con password, con conseguente illeggibilità dei dati stessi. Purtroppo questa situazione è il risultato di uno degli ultimi ransomware immessi in rete: Qlocker. La particolarità di questo ransomware è quella di essere stato specificatamente progettato e creato per i NAS Qnap (uno dei brand più presenti nel mercato mondiale dei Network Attached Storage).
Come viene infettato il sistema?
Questo malware è stato studiato per sfruttare delle vulnerabilità presenti in QTS, il sistema operativo di Qnas, ed in alcune App come Multimedia Console, Media Streaming Add-on e Hybrid Backup Sync; il ransomware per infettare il sistema non richiede nessun intervento da parte dell’utente (il classico click su un link), ma va automaticamente ala ricerca dei NAS Qnap collegati ad internet.
Come si presenta un sistema infettato?
Un sistema infettato presenta tutti i files compressi con password in formato .7z (7zip) ed un unico file di testo (leggibile) chiamato !!!READ_ME.TXT contente le istruzioni per il pagamento del riscatto; il pagamento del riscatto DOVREBBE garantire l’invio della password per la decriptazione dei propri dati.
Cosa posso fare per PREVENIRE l’infezione?
I passi da compiere per mettere in sicurezza il proprio NAS sono:
Aggiornare QTS all’ultima versione disponibile
Aggiornare le app Multimedia Console, Media Streaming Add-on e Hybrid Backup Sync
Installare l’ultima versione disponibile dell’app Malware Remover ed eseguire una scansione
Aggiornare le password con versioni complesse
E’ inoltre consigliato modificare la porta di rete predefinita (8080) utilizzata per accedere all'interfaccia web del NAS
Cosa posso fare se il mio Qnap risulta infetto?
Il processo di criptazione non è un processo immediato, ma richiede parecchio tempo (proporzionale alla quantità di dati da criptare); se il processo è terminato, ormai non c’è più nulla da fare e l’unico modo di recuperare i dati è quello di ripristinarli da un backup precedente. Tale backup dovrà ovviamente essere stato archiviato esternamente al NAS; se aveste utilizzato la tecnica delle snapshot sul NAS stesso, purtroppo le stesse non saranno utilizzabili, in quanto la prima azione svolta dal malware in fase di infezione è proprio quella di cancellare tutte le snapshot presenti. Se invece il processo di criptazione non fosse concluso, è fondamentale:
NON SPEGNERE il NAS
Installare l’app Malware Remover ed eseguire una scansione
Connettersi al NAS via SSH ed eseguire delle linee di codice per recuperare la chiave di decriptazione
Se voleste studiare meglio la situazione, potete andare a vedere i bullettini CVE-2020-36195 e CVE-2021-28799, vulnerabilità che Qnap ritiene siano state utilizzate dell’attacco.
Come sempre, se aveste bisogno di assistenza a riguardo, non vi resta altro che contattarci attraverso i canali abituali
In questi giorni si susseguono continuamente notizie su un nuovo attacco hacker che sta minando la sicurezza informatica a livello mondiale. Facciamo un po’ di chiarezza. Prima di tutto non stiamo parlando di un attacco Hacker, in quanto per definizione, questo prende di mira un ben particolare soggetto; quello che si sta affrontando in questi giorni è una distribuzione massiva di un nuovo virus della famiglia dei Ransomware, di cui il Cryptolocker è stato il primo e sicuramente il rappresentatnte più famoso.
Cosa sono WannaCry, Criptolocker e gli altri Ransomware?
In poche parole i Ransomware sono dei software malevoli che criptano i dati dei PC che riescono ad infettare; i dati vengono resi di fatto illegibili, per chiedere poi il pagamento di un riscatto in cambio della chiave di decriptazione utile a rientrare in possesso dei propri preziosi documenti. C’è da distinguere però quella che è l’infezione (inoculamento) del virus, dall’azione (criptazione dei dati) successiva all’infezione stessa; fino ad ora il veicolo d’infezione da parte dei Ransomware è stata la posta elettronica: solitamente arriva una mail (ovviamente falsa) che riguarda fatture delle compagnie telefoniche, o documentazioni dell’agenzie delle entrate o di equitalia, qualcosa insomma che gioca sull’emozione del destinatario e lo spinge ad aprire l’allegato. L’apertura dell’allegato avvia l’infezione del PC; una volta “preso possesso” del PC comincia la seconda fase dove il Virus comincia a criptare tutti i dati del computer colpito ed anche di tutti i percorsi (cartelle di rete, harddisk e pendrive USB, NAS, etc) su cui l’utente ha la possibilità di scrivere dati. E’ molto facile capire quindi che la pericolosità di questi virus è che basta colpire ed infettare un solo PC di una rete (uffici, studio medici, ospedali, aziende di ogni grado) per corrompere potenzialmente i dati dell’intera rete.
Qual è il limite di questo tipo di virus ed in cosa si differenzia WannaCry?
Il fatto che l’utente deve “avviare” l’infezione cercando di aprire l’allegato che gli è arrivato in posta elettronica; gli utenti più svelti e maliziati quindi sono sicuramente un difficile bersaglio da raggiungere. WannaCry (o WanaCrypt0r) in questo è diverso da tutti i suoi predecessori e sicuramente più evoluto: l’infezione può avvenire infatti non soltanto aprendo una mail infetta. Gli autori di questi Virus hanno infatti sfruttato una falla (utilizzata dall’Nsa - l'agenzia per la sicurezza nazionale statunitense – e resa pubblica lo scorso aprile dal gruppo hacker Shadow Brokers) dei sistemi Windows, per fare in modo che il virus venga inoculato in maniera “trasparente” senza dover aprire un allegato mail. Aumentando quindi i canali di inoculazione, è sicuramente più alto il numero di possibili infezioni.Come ci si difende da WannaCry, dagli altri RansomWare ed in generale da tutti i malware? Le strategie di difesa sono sempre le stesse: 1. usare la testa - sembra scontato, ma già il porre attenzione a dove si clicca può salvarci la vita 2. tenere i sistemi aggiornati – effettuare periodicamente i Windows Update ed aggiornare i softwares di terze parte 3. dotarsi di un buon antivirus 4. effettuare e mantenere aggiornati i backup - possibilmente tenendoli (offline) separati dal PC 5. Usare account limitati (non amministratori) per le “azioni” quotidiane che non comportino l’installazione o la configurazione (che richiedono obbligatoriamente un account amministratore) Nel caso specifico di WannaCry, l’infezione avviene tramite una falla che Microsoft ha provveduto a tappare (in tutti i suoi sistemi operativi successivi a Windows XP) già da Marzo di quest’anno attraverso l’aggiornamento di sicurezza MS17-010.
Come faccio a verificare se nel mio PC è stata installata la patch in questione?
Se Windows è configurato per ricevere ed installare automaticamente gli aggiornamenti, allora l’aggiornamento di sicurezza è sicuramente installato, ma per verificare in prima persona, si può controllare la voce “aggiornamenti installati” e verificare, a seconda del sistema operativo in uso, che ALMENO UNO dei seguenti aggiornamenti sia installato: Windows Vista KB4012598 (cliccate QUI qualora sul vostro PC non fosse presente nessuno di questi aggiornamenti)
Windows 7 e Windows Server 2008 R2 KB4019264 KB4015552 KB4015549 KB4012215 KB4012212 (cliccate QUI qualora sul vostro PC non fosse presente nessuno di questi aggiornamenti)
Windows 8.1 e Windows Server 2012 R2 KB4019215 KB4015553 KB4015550 KB4012216 KB4012213 (cliccate QUI qualora sul vostro PC non fosse presente nessuno di questi aggiornamenti)
Windows 10 Nel caso dell’ultimo S.O. Microsoft, dovete effettuare un controllo differente: aprite la scheda “Sistema” e controllare che la voce “build SO” sia uguale o maggiore alla 14393.953; se così non fosse, avviate gli aggiornamenti di sistema.
Windows XP, Windows Server 2003 e Windows 8 Nonostante siano sistemi operativi non più supportati, Microsoft considerata la gravità del problema ha rilasciato un aggiornamento specifico scaricabile a QUESTO INDIRIZZO
Cosa faccio se sono stato vittima di un Ransomware?
La prima cosa da fare è sicuramente ripulire il PC dal virus, usando un antivirus o antimalware; la rimozione del virus dal PC però ci garantisce solo ed esclusivamente che non ci sarà ulteriore criptazione dei dati, ma non ci restituirà i dati che sono stati già criptati. Nella stragrande maggioranza dei casi, l’unico rimedio per riavere i propri dati è effettuare un restore da un backup eseguito precedentemente.
Alla luce dei fatti illustrati sopra è facile intuire come la battaglia contro i Ransomware possa essere vinta solo attraverso la PREVENZIONE, perché nel 99% dei casi, quando il danno è fatto, rimane poco da fare.
Da alcuni giorni ci sono utenti che, accedendo ai dati archiviati sul proprio NAS Qnap, hanno trovato un’amara sorpresa: tutti i dati sono “spariti” ed al loro posto si sono ritrovati dei file compressi con password, con conseguente illeggibilità dei dati stessi.
