שלום,
המאס הוצפן עם סיומת 7z. הבנתי שהפריצה ידועה ושוחרר עדכון אבטחה אבל כבר חטפתי את ההצפנה. לא הבנתי מהאתר של qnap אם מי שכבר נפרץ לו הנאס יכול לשחזר או שהכל אבוד.
מישהו מכיר?
Qnap . חטפתי הצפנה לכל הקבצים 7z
- plataoplomo (פותח השרשור)
-
- חבר פעיל מאוד
- הודעות: 243
- הצטרף: פברואר 2016
- נתן תודות: 24 פעמים
- קיבל תודות: 7 פעמים
- Borderline1
- חבר מביא חבר
- הודעות: 3477
- הצטרף: דצמבר 2004
- נתן תודות: 157 פעמים
- קיבל תודות: 451 פעמים
Re: Qnap . חטפתי הצפנה לכל הקבצים 7z
26/04/2021 14:39plataoplomo כתב: ↑ שלום,
המאס הוצפן עם סיומת 7z. הבנתי שהפריצה ידועה ושוחרר עדכון אבטחה אבל כבר חטפתי את ההצפנה. לא הבנתי מהאתר של qnap אם מי שכבר נפרץ לו הנאס יכול לשחזר או שהכל אבוד.
מישהו מכיר?...
לא הבנתי איך פרצו לך. ה-NAS שלך חשוף לאינטרנט?
Batnun
.
Re: Qnap . חטפתי הצפנה לכל הקבצים 7z
גם לי זה קרה. כנראה בגלל שימוש באפליקציה שלהם QSYNC.
הצלחתי לעצור את זה ולשחזר.
אם ההתקפה עדיין רצה אז תוכל לשלוף את סיסמת ההצפנה מתוך טרמינל על ה-QNAS
יש וידאו ביוטיוב שמסביר (קצת כבד הבנאדם אבל מועיל)
אקצר לך במילים:
1. כנס ל-QNAP ותבדוק ע"י ה-resourse monitor, (systm resources) האם עדיין יש ריצות של 7Z
2. אם יש אז כנראה שההתקפה עוד לא הסתיימה
3. תפתח טרמינל SSH עם PUTTY או תוכנה דומה (ניתן להכנס אך ורק כ-ADMIN)
4.
cd /usr/local/sbin; printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;
5. זה הופך את הלוג לנראה ותוכל למצוא בפנים את שורת ההצפנה עם הסיסמה (cat 7z.log)
6. כדי לשחזר מה שכבר הוצפן תיצור קובץ כמו הבחור ווידאו ממליץ ותתאים את הפולדרSOURCE ל-NAS שלך תפעיל אותו מחול CMD או POWERSHELL (אני מניח כאן שמ-PC כלשהו יש לך חיבור דרייב ל-NAS)
בהצלחה
הצלחתי לעצור את זה ולשחזר.
אם ההתקפה עדיין רצה אז תוכל לשלוף את סיסמת ההצפנה מתוך טרמינל על ה-QNAS
יש וידאו ביוטיוב שמסביר (קצת כבד הבנאדם אבל מועיל)
אקצר לך במילים:
1. כנס ל-QNAP ותבדוק ע"י ה-resourse monitor, (systm resources) האם עדיין יש ריצות של 7Z
2. אם יש אז כנראה שההתקפה עוד לא הסתיימה
3. תפתח טרמינל SSH עם PUTTY או תוכנה דומה (ניתן להכנס אך ורק כ-ADMIN)
4.
cd /usr/local/sbin; printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;
5. זה הופך את הלוג לנראה ותוכל למצוא בפנים את שורת ההצפנה עם הסיסמה (cat 7z.log)
6. כדי לשחזר מה שכבר הוצפן תיצור קובץ כמו הבחור ווידאו ממליץ ותתאים את הפולדרSOURCE ל-NAS שלך תפעיל אותו מחול CMD או POWERSHELL (אני מניח כאן שמ-PC כלשהו יש לך חיבור דרייב ל-NAS)
בהצלחה
לעולם אל תיסוג! תסתובב ותמשיך להתקדם!
Re: Qnap . חטפתי הצפנה לכל הקבצים 7z
אחרי זה, בתור שיפור ה-NAS שלי שיניתי את הפורט התחברות מ-8080 למשהו אחר
וגם ניטרלתי את המשתמש admin
וגם ניטרלתי את המשתמש admin
לעולם אל תיסוג! תסתובב ותמשיך להתקדם!
Re: Qnap . חטפתי הצפנה לכל הקבצים 7z
לא נראה שזה קרה בגלל qsync כי זה לא מופיע באזהרות שלהם - מופיעות אפליקציות אחרות.29/04/2021 10:59mark13 כתב: ↑ גם לי זה קרה. כנראה בגלל שימוש באפליקציה שלהם QSYNC.
הצלחתי לעצור את זה ולשחזר....
איך שמת לב שזה קורה לך, בדיוק שניסית להפעיל קובץ זה דרש סיסמא או קיבלת התראות?
Re: Qnap . חטפתי הצפנה לכל הקבצים 7z
קניתי נייד חדש ורציתי לבדוק האם מעדכן ב-NAS תמונות , דרך QSYNC,29/04/2021 12:32boubi כתב: ↑ לא נראה שזה קרה בגלל qsync כי זה לא מופיע באזהרות שלהם - מופיעות אפליקציות אחרות.
איך שמת לב שזה קורה לך, בדיוק שניסית להפעיל קובץ זה דרש סיסמא או קיבלת התראות?...
אז ראיתי שהקבצים עם סיומת 7z והתחלתי לבדוק בגוגל מה קורה וככה גיליתי גם את הפתרון
אגב, הקהילה ברשת יודעת יותר טוב מ-QNAP (שעד עכשיו לא נתנו פתרון למי שהותקף) ושמה תראה שאחת החשיפות לרשת זה דרך QSYNC
חוץ מזה ה-NAS שלי בשימוש לגמרי פנימי בבית, כך שזו האופציה היחידה שלהדבקות
(ועוד משהו, למרות שהפתרון שדווחתי עובד ופשוט וחינמי, לא פורסם בהרבה אתרים, גם לא ע"י QNAP)
לעולם אל תיסוג! תסתובב ותמשיך להתקדם!
Re: Qnap . חטפתי הצפנה לכל הקבצים 7z
וואוו, איזה תזמון מעולה יצא לך לבדוק סנכרון ולראות את זה.
בד"כ התוקפים בונים על זה שהנאס לא בשימוש רציף ויש להם את הזמן להצפין בלי שישימו לב.
מעניין מה שאתה אומר לגבי הqsync כי גם אני לא חשוף החוצה אבל כן משתמש בתוכנה הזו.
בד"כ התוקפים בונים על זה שהנאס לא בשימוש רציף ויש להם את הזמן להצפין בלי שישימו לב.
מעניין מה שאתה אומר לגבי הqsync כי גם אני לא חשוף החוצה אבל כן משתמש בתוכנה הזו.
Re: Qnap . חטפתי הצפנה לכל הקבצים 7z
מצד אחד, היה לי הרבה מזל, כמו שאתה אומר. אבל בגלל שלוקח להצפין כמה שניות לכל קובץ ההתקפה יכולה להימשך ימים29/04/2021 23:02boubi כתב: ↑ וואוו, איזה תזמון מעולה יצא לך לבדוק סנכרון ולראות את זה.
בד"כ התוקפים בונים על זה שהנאס לא בשימוש רציף ויש להם את הזמן להצפין בלי שישימו לב.
מעניין מה שאתה אומר לגבי הqsync כי גם אני לא חשוף החוצה אבל כן משתמש בתוכנה הזו....
אני יודע שלאחר שהיה לי את הסיסמה שלהם לקח כמעט יום לפתוח את הקבצים שהוצפנו
מצד שני, חשוב שיהיה לך גיבוי על הקבצים החשובים שלך בצד, במקרה הגרוע תשחזר מהגיבוי
לעולם אל תיסוג! תסתובב ותמשיך להתקדם!
Re: Qnap . חטפתי הצפנה לכל הקבצים 7z
היי , אשמח אם תשתף איך שינית פורט ? ולאיזה פורט אפשר לשים ? ואיך לשנות את היוזר Admin29/04/2021 11:01mark13 כתב: ↑ אחרי זה, בתור שיפור ה-NAS שלי שיניתי את הפורט התחברות מ-8080 למשהו אחר
וגם ניטרלתי את המשתמש admin...
תודה מראש
Re: Qnap . חטפתי הצפנה לכל הקבצים 7z
@big27
הכל נעשה מה- Control Panel
ב-General Settings אפשר לשנות את הפורט, לא יודע אם יש הגבלות, אני בחרתי מספר אקראי בן 4 ספרות
ב-Users יש רשימה .אתה חייב שיהיה לפחות עוד יוזר עם הרשאות מלאות ולהיכנס ל-NAS איתו, רק אז תוכל לבטל את admin (ע"י האייקון עם העיפרון שבשורה שלו)
הכל נעשה מה- Control Panel
ב-General Settings אפשר לשנות את הפורט, לא יודע אם יש הגבלות, אני בחרתי מספר אקראי בן 4 ספרות
ב-Users יש רשימה .אתה חייב שיהיה לפחות עוד יוזר עם הרשאות מלאות ולהיכנס ל-NAS איתו, רק אז תוכל לבטל את admin (ע"י האייקון עם העיפרון שבשורה שלו)
לעולם אל תיסוג! תסתובב ותמשיך להתקדם!
- plataoplomo (פותח השרשור)
-
- חבר פעיל מאוד
- הודעות: 243
- הצטרף: פברואר 2016
- נתן תודות: 24 פעמים
- קיבל תודות: 7 פעמים
Re: Qnap . חטפתי הצפנה לכל הקבצים 7z
אין לי מושג איך הפריצה קרתה אבל מבלי ששמתי לב שיש הצפנה אני עשיתי עדכון קושחה שעצר כנראה את ההצפנה תיקייה אחת הוצפנה.. רק חבל שזאת התיקייה הכי חשובה של העבודה..אבל מזל שיש לנו עוד גיבויים.