Questo sito fa uso di cookie tecnici per una tua migliore esperienza di navigazione. Continuando ad utilizzare il sito, accetti la nostra policy di uso dei cookie.

NAS Qnap. Tutti i miei dati sono illeggibili!

qlocker 620x350Da alcuni giorni ci sono utenti che, accedendo ai dati archiviati sul proprio NAS Qnap, hanno trovato un’amara sorpresa: tutti i dati sono “spariti” ed al loro posto si sono ritrovati dei file compressi con password, con conseguente illeggibilità dei dati stessi.
Purtroppo questa situazione è il risultato di uno degli ultimi ransomware immessi in rete: Qlocker. La particolarità di questo ransomware è quella di essere stato specificatamente progettato e creato per i NAS Qnap (uno dei brand più presenti nel mercato mondiale dei Network Attached Storage).

Come viene infettato il sistema?

Questo malware è stato studiato per sfruttare delle vulnerabilità presenti in QTS, il sistema operativo di Qnas, ed in alcune App come Multimedia Console, Media Streaming Add-on e Hybrid Backup Sync; il ransomware per infettare il sistema non richiede nessun intervento da parte dell’utente (il classico click su un link), ma va automaticamente ala ricerca dei NAS Qnap collegati ad internet.

Come si presenta un sistema infettato?

Un sistema infettato presenta tutti i files compressi con password in formato .7z (7zip) ed un unico file di testo (leggibile) chiamato !!!READ_ME.TXT contente le istruzioni per il pagamento del riscatto; il pagamento del riscatto DOVREBBE garantire l’invio della password per la decriptazione dei propri dati.

qlocker small

Cosa posso fare per PREVENIRE l’infezione?

I passi da compiere per mettere in sicurezza il proprio NAS sono:

  • Aggiornare QTS all’ultima versione disponibile
  • Aggiornare le app Multimedia Console, Media Streaming Add-on e Hybrid Backup Sync
  • Installare l’ultima versione disponibile dell’app Malware Remover ed eseguire una scansione
  • Aggiornare le password con versioni complesse

E’ inoltre consigliato modificare la porta di rete predefinita (8080) utilizzata per accedere all'interfaccia web del NAS

Cosa posso fare se il mio Qnap risulta infetto?

Il processo di criptazione non è un processo immediato, ma richiede parecchio tempo (proporzionale alla quantità di dati da criptare); se il processo è terminato, ormai non c’è più nulla da fare e l’unico modo di recuperare i dati è quello di ripristinarli da un backup precedente. Tale backup dovrà ovviamente essere stato archiviato esternamente al NAS; se aveste utilizzato la tecnica delle snapshot sul NAS stesso, purtroppo le stesse non saranno utilizzabili, in quanto la prima azione svolta dal malware in fase di infezione è proprio quella di cancellare tutte le snapshot presenti.
Se invece il processo di criptazione non fosse concluso, è fondamentale:

  • NON SPEGNERE il NAS
  • Installare l’app Malware Remover ed eseguire una scansione
  • Connettersi al NAS via SSH ed eseguire delle linee di codice per recuperare la chiave di decriptazione

Se voleste studiare meglio la situazione, potete andare a vedere i bullettini CVE-2020-36195 e CVE-2021-28799, vulnerabilità che Qnap ritiene siano state utilizzate dell’attacco.

Come sempre, se aveste bisogno di assistenza a riguardo, non vi resta altro che contattarci attraverso i canali abituali

Pin It

Tags: qlocker, nas, qnap, Ransomware;