針對Qlocker 勒索病毒的說明 - QNAP
文章推薦指數: 80 %
近期Qlocker 勒索病毒極具針對性地襲擊QNAP NAS,對用戶造成恐慌與困擾。
我們理解資料遭受加密的痛苦,並對於此次惡意攻擊造成的損失深表遺憾。
及時修補漏洞並完整揭露 ...
QRescue 回應Qlocker事件 Q&A
針對Qlocker勒索病毒的說明
近期Qlocker勒索病毒極具針對性地襲擊QNAPNAS,對用戶造成恐慌與困擾。
我們理解資料遭受加密的痛苦,並對於此次惡意攻擊造成的損失深表遺憾。
及時修補漏洞並完整揭露資訊,我們責無旁貸。
我們將持續深化資安防護功能,並提供更完整而便捷的安全設定操作。
期望您與我們一起提升資安防護層級,共同阻絕惡意攻擊。
事件說明
2021年4月16日,QNAP發布了HybridBackupSync應用程式(HBS;混合型備份與同步中心)的更新版本(16.0.0415),目的為追加新功能並解決QNAP資安通報QSA-21-13中所述的安全議題。
4月21日,我們開始收到使用者回報,稱可能受到勒索病毒攻擊。
隨後,經我們調查後證實,此次Qlocker勒索病毒乃針對QNAPNAS使用者而來,利用了HBS此App內甫修補的軟體弱點,對直接連線至網際網路,且尚未安裝HBS更新版本的QNAPNAS發起惡意攻擊。
Qlocker攻擊者開採了一個HBS內已修補的弱點,該弱點可讓惡意軟體取得不當NAS權限。
攻擊者入侵QNAPNAS後,會植入惡意程式,並以最高權限刪除儲存池內的所有快照,更以QTS內建的7-Zip軟體,對NAS裡的檔案進行加密壓縮。
Qlocker在攻擊後會留下勒索訊息及付款資訊,並移除自身的惡意程式碼,增加我們追溯的難度。
基於上述特性,我們在接獲使用者通報攻擊事件後,第一時間便於QNAPNAS的惡意軟體偵測程式MalwareRemover中新增相關規則,來檢知及阻擋Qlocker的活動,並嘗試透過特定手法,在加密壓縮進行中攔截攻擊者所使用的密碼。
隨後,我們在4月22日發布新聞稿,優先呼籲用戶儘速安裝近期所發布的所有更新,阻絕攻擊者可能利用的所有管道。
而在證實Qlocker開採HBS漏洞後,我們也繼續增修MalwareRemover規則,為尚未安裝HBS更新的QNAPNAS優先隔離弱點所在的程式碼。
感染症狀
尚未發作
感染Qlocker但尚未發作的QNAPNAS沒有任何異狀。
加密壓縮進行中
在Qlocker發作中(加密壓縮進行中)的QNAPNAS上,使用者會觀察到其檔案副檔名逐一變成.7z,或在QTS內的ResourceMonitor中觀察到7z這個程序佔用異常大量的系統資源。
已完全加密
在Qlocker發作結束(加密壓縮已停止)的QNAPNAS上,使用者會觀察到其檔案副檔名均變成.7z,且資料夾中留有攻擊者的勒索訊息及贖金付款指示(純文字檔案)。
與Qlocker相關的資安措施紀錄
2021年3月19日
接獲ZUSOART提交的HBS弱點通報。
2021年4月16日
發布當前版本之HBS的弱點修正版本,為了保護尚未更新的使用者,降低過早揭露引起攻擊的風險,我們調整了資安通報的發布時間點。
2021年4月21日
我們開始接獲使用者通報加密勒索事件,並立即啟動調查。
2021年4月22日
第一次針對Qlocker發布MalwareRemover偵測規則阻止加密壓縮,並在QNAP網站發布新聞稿及對應資安通報。
2021年4月23日至25日
全球各地QNAP技術服務單位持續協助受影響使用者,檢測並排除Qlocker的影響及提供一切可行的協助。
2021年4月26日
第二次針對Qlocker發布MalwareRemover偵測規則,為尚未安裝HBS更新的QNAPNAS優先隔離弱點所在的程式碼。
MalwareRemover掃描功能
在感染Qlocker但尚未發作的QAPNAS上執行MalwareRemover掃描,會清除Qlocker惡意程式碼。
如果這部QNAPNAS上的HBS應用程式尚未更新到修補後的版本,MalwareRemover會一併移除該App內存在弱點的程式碼。
在Qlocker發作中(加密壓縮進行中)的QNAPNAS上執行MalwareRemover掃描,會中止加密壓縮,並嘗試擷取攻擊者所使用的加密密碼。
如果這部QNAPNAS上的HBS應用程式尚未更新到修補後的版本,MalwareRemover會一併移除該App內存在弱點的程式碼。
在Qlocker發作結束(加密壓縮已停止)的QNAPNAS上執行MalwareRemover掃描,如果這部QNAPNAS上的HBS應用程式尚未更新到修補後的版本,MalwareRemover會移除該App內存在弱點的程式碼。
針對MalwareRemover所進行的動作,QNAPNAS的系統事件記錄中均會留下相關記錄。
使用者對於Qlocker應採取的行動
對於所有使用者,我們均強烈建議立即在QNAPNAS連接網際網路的情況下手動進行MalwareRemover掃描。
MalwareRemover會自動更新其掃描規則到最新版本,並偵測QNAPNAS是否受到Qlocker勒索病毒及舊版HBS弱點的影響。
但請注意,QNAPNAS連接網際網路的方式,亦對系統安全性有所影響。
若要安全地進行,請參考下列一般建議事項的說明。
此外,
加密壓縮進行中或已完全加密
如果您的QNAPNAS受到Qlocker影響,不論加密壓縮是否進行中,請勿將NAS關機或重啟,也不要更新NAS作業系統。
請在進行上述MalwareRemover掃描後,儘速聯繫QNAP技術支援部門尋求協助。
我們將查看您的QNAPNAS,判斷是否能取回您的資料;
尚未發作
如果MalwareRemover在您的QNAPNAS偵測到Qlocker並加以清除,但您的檔案未被加密,請立即採取列於一般建議事項的措施,強化QNAPNAS安全性;
未受感染
如果MalwareRemover未在您的QNAPNAS偵測到Qlocker,您仍應採取下列一般建議事項的措施,強化QNAPNAS安全性。
資安一般建議事項
若使用者要從網際網路(外網)連接到位於區域網路(家中或辦公室)的QNAPNAS,我們建議啟用QNAP免費提供的myQNAPcloudLink服務。
myQNAPcloudLink不需繁複的網路設定,即可快速啟用連線,供您安全取用資料。
對於進階使用者,我們強烈建議不要直接將QNAPNAS連接到網際網路,避免遭到攻擊者直接利用。
我們建議啟用路由器或分享器的VPN伺服器功能,透過VPN連入內網,再存取QNAPNAS,提高攻擊難度與安全性。
關於相關說明及建議設定,請參閱QNAPBlog文章:https://blog.qnap.com/zh/nas-internet-connect-zh/
除了QNAP隨時釋出資安更新修補外,使用者也可採取一系列的措施,進一步強化QNAPNAS安全性,讓攻擊者難以入侵。
這些措施包括:
啟用自動更新設定,或自行定期檢查作業系統及App相關更新
參考3-2-1備份策略,為QNAPNAS上所存資料進行備份。
請注意,如果資料僅儲存一份在QNAPNAS,即使您已啟用RAID及快照等資料保護功能,亦無法提供完整保護。
RAID只能保護硬碟意外故障的情況,而快照可在電腦端中毒時保護NAS內的資料。
適當備份您存在NAS的資料,或再次備份您存在NAS的備份檔,才能提供更全面的保護。
請參照此篇QNAPBlog文章後半部的安全設定建議,提高NAS安全性並增加惡意人士攻擊難度:https://blog.qnap.com/zh/nas-internet-connect-zh/
註冊QNAPID並訂閱我們的資安通報,可即時收到我們發布的資安更新訊息:https://account.qnap.com/
特別感謝
QNAP感謝同樣位於台灣的資安公司ZUSO如梭世代通報弱點,並協助IR事件調查,共同打擊網路攻擊。
後續QNAP仍將持續與ZUSO如梭世代及其他資安研究團隊合作,提升全系列產品的安全防護。
延伸文章資訊
- 1回應Qlocker 勒索病毒攻擊事件:立即採取行動,保護QNAP NAS
QNAP 已經更新適用於QTS/QuTS hero 等作業系統的Malware Remover,針對相關惡意軟體進行處理。使用者若受到勒索病毒影響,或觀察到勒索病毒執行中,並正在 ...
- 2你的NAS也中了勒索病毒嗎? 防疫三步驟趕快照著做防堵病毒入侵!
你的NAS也中了勒索病毒嗎? 防疫三步驟趕快照著做防堵病毒入侵! · 關閉對外連線 · a.關閉啟用UPnP連接阜轉送 · b.My DDNS · c.myQNAPcloud Link · 更換...
- 3[防毒]Qlocker 勒索病毒攻擊事件 - 國立清華大學工程與系統科學系
事件簡述:自4/19 起,一個名為Qlocker 的勒索病毒鎖定QNAP(威聯通)品牌的NAS 進行攻擊,會將檔案加密壓縮為7zip 的壓縮檔,並勒索0.01 BTC (約14700 TWD)。
- 4QNAP NAS又大規模勒索?
先是上周一次臨時性更新派版造成大量QNAP NAS當機,重開機能解但還是讓不少NAS使用者有點驚嚇,怨聲連連這周又開始有大規模勒索病毒肆虐,而且價格都0.03 btccoin起跳 ...
- 5QNAP裝置成肉票2/最衰用戶遭雙重加密2年前曾有6.2萬裝置 ...
... 臉書早就出現「QNAP威聯通出來面對︱Qlocker勒索病毒自救會」社團, ... 1名用戶在該社團表示,「買威聯通的NAS就是看上『檔案快照』(暫存檔) ...