QNAP warnt vor Ransomware, die Daten verschlüsselt
QNAP hat seine Kunden angesichts eines Anstiegs von Ransomware-Infektionen dringend aufgefordert, die neueste Firmware und Tools zur Malware-Entfernung auf ihren NAS-Boxen zu installieren und auszuführen. Dem Unternehmen sind zahlreiche Kunden bekannt, die ein anfälliges NAS über das Internet erreichbar haben. Angreifer nutzten Sicherheitslücken aus und verschlüsselten Inhalte von Benutzern. So nahmen sie Dateien quasi in Geiselhaft und fordern von den Besitzern Kryptowährung als Lösegeld. Ein mittlerweile übliches Vorgehen bei Ransomware-Kampagnen. Was passiert da im Hintergrund, wenn ein NAS mit QLocker befallen wurde?
# | Vorschau | Produkt | Preis | |
---|---|---|---|---|
1 | Synology DiskStation DS224+ 2 Bay Dekstop NAS | 368,90 EUR | Bei Amazon ansehen | |
2 | Synology DS223J 2 Bay Desktop NAS, weiß | 210,73 EUR | Bei Amazon ansehen | |
3 | Synology DiskStation DS723+ NAS/Storage Server Tower Ethernet LAN Black R1600 | 525,83 EUR | Bei Amazon ansehen |
In jedem Ordner des NAS wird eine Textdatei hinterlegt mit dem Namen „!!!READ_ME.txt“ welche die Anleitung zum Download des TOR Browsers enthält und wie man bezahlen muss, um das Passwort für seine Dateien zu bekommen. Die Höhe der Summe ist offenbar weltweit gleich und unabhängig von der Datenmenge, es geht immer um 0,01 BTC (Bitcoin). Auf dem NAS läuft ein Prozess von 7Zip im Hintergrund der die Dateien verschlüsselt. Solange der Prozess noch aktiv läuft, gibt es wohl auch noch eine Chance an das Passwort zu kommen, ist der Prozess abgeschlossen, ist die Möglichkeit vermutlich vertan, so unser Leser Daniel in einer Mail an uns. Die ganze Verschlüsselung nennt sich „Qlocker“ und man findet schon in diversen Foren, unter anderem bei QNAP selbst, Meldungen von betroffenen Nutzern.
Sollte der 7Zip-Prozess auf einem NAS noch aktiv sein, so kann man mit dem folgenden Befehl als „admin“ per SSH (z.B. Putty unter Windows oder direkt das Terminal unter MacOS) das Passwort in Klartext in eine Textdatei schreiben:
cd /usr/local/sbin; printf ‚#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000‘ > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;
Die Datei befindet sich dann unter:
/mnt/HDA_ROOT/7z.log
Die Datei „7z.log“ enthält dann das Passwort in Klarschrift.
QNAP hat auch eine aktualisierte Version des Malware Removers für Betriebssysteme wie QTS und QuTS hero veröffentlicht, um dem Ransomware-Angriff zu begegnen. Wenn Benutzerdaten verschlüsselt sind oder verschlüsselt werden, darf das NAS nicht heruntergefahren werden. Benutzer sollten sofort einen Malware-Scan mit der neuesten Version von Malware Remover durchführen und dann den technischen Support von QNAP kontaktieren.
Für nicht betroffene Benutzer wird empfohlen, sofort die neueste Version des Malware Removers zu installieren und vorsorglich einen Malware-Scan durchzuführen. Alle Benutzer sollten ihre Passwörter auf stärkere Passwörter aktualisieren und die Apps Multimedia Console, Media Streaming Add-on und Hybrid Backup Sync müssen auf die neueste verfügbare Version aktualisiert werden. Zusätzlich wird den Benutzern empfohlen, den Standard-Netzwerkport 8080 für den Zugriff auf die NAS-Bedienoberfläche zu ändern. Siehe auch die dazugehörigen Sicherheitsberichte.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Mal ehrlich: wer macht denn sein NAS direkt über’s Internet zugänglich? Das ist in meinen Augen schon grob fahrlässig und gehört entsprechend bestraft. Richtig wäre, sich für wenig Geld einen Raspberry zuzulegen und einen VPN (z. B. Wireguard) darauf zu installieren. Zugriff von außen dann nur über den VPN. Wireguard bietet übrigens Clients für quasi alle Endgeräte (Windows, Android, iOS etc) und ist sauschnell. Und dazu auch noch gratis.
Wieso gehört das denn „bestraft“? Das ergibt ja nun gar keinen Sinn.
Und es geht ja auch nicht darum, dass ein NAS grundsätzlich über das Internet erreichbar ist. Das Problem liegt vielmehr an vorhandenen Sicherheitslücken, die nicht beseitigt wurden. Wer sein NAS online verfügbar macht UND Sicherheitspatches nicht zeitnah einspielt, der handelt grob fahrlässig. Wenn dann etwas passiert, ist derjenige aber sicher schon selbst gestraft genug.
Die Gefahr besteht aber auch von innen, indem jemand über irgendeine Malware Zugriff auf einen Client bekommt, der wiederum Zugriff auf das NAS hat.
@ Joe: Die Möglichkeit, seine Daten über so ein Gerät über das Internet zugänglich zu machen, dürfte für viele, wenn nicht sogar für die meisten, der Grund sein, sich sowas überhaupt erst anzuschaffen. Entsprechend werden diese Geräte auch beworben. Natürlich geht es da auch um die Möglichkeit einer zentralen Dateiablage, das ist aber für viele Kunden, gerade auch im Heimbereich, nicht das ausschlaggebende Argument sein.
Vergeht eigentlich auch mal ne Woche, in der es keine Negativschlagzeilen zu Qnap gibt… schon Wahnsinn wie löcherig die Kisten sind, denen Millionen Leute ihr persönlichen Daten anvertrauen.
Ist doch kein Wunder, bei der ganzen Bloatware, die QNAP installiert und die sich teilweise nicht mal deaktivieren und/oder entfernen lässt. Ich hatte hiervon irgendwann die Nase voll und habe QTS gegen Debian ausgetauscht. Läuft viel besser und schneller. QTS ist einfach viel zu aufgebläht mit Zeugs, welches sowieso nicht vernünftig läuft.
Nun ja. Wenn man sich die Tipps von QNAP durchliest, scheinen ja vor allem nicht aktuell gehaltene Applikationen für die Sicherheitslücke verantwortlich zu sein. Und unsichere Passwörter. Aber wie gesagt „scheinen“. Nichts genaues weiß man wohl noch nicht.
Das stimmt leider so nicht ganz. Die Lücke die für den Angriff verantwortlich ist wurde vor 6 Monaten entdeckt und gemeldet. Der Angriff, der diese Lücke ausnutzt, startete am 20. April. Der Patch in HSB3, der diese Sicherheitslücke (wirklich) behebt wurde aber erst am 22. April veröffentlicht. Des weiteren musste nicht das komplette NAS am Internet hängen, es reichte aus nur einen Port geforwarded zu haben, über den sich die Hacker Zugang verschaffen konnten.
Bei Synology gab es auch ein paar Fälle.
Dort war das Problem eine ungesicherte iobroker-Instanz (über Docker), wo der User wiederum ein Addon für Synology installiert hat und die Zugangsdaten (admin) für das NAS hinterlegt hat (blöder geht es kaum noch).
Es war immer der gleiche Typ, der sich diese Lücke zu Nutze machte. Er scannte (Portscan) nach offenen iobroker-Instanzen (ist Standard ohne PW) und checkte dann, ob das Addon installiert worden ist. Nun klaute er die Zugangsdaten, loggte sich ins DSM ein und verschlüsselte die betreffenden Ordner.
Als Erpressungsgeld wollte er eine kleine dreistellige Summe (ca. 100-200 Euro). Danach rückte er aber auch das echte Passwort raus.
Hat jemand eine Info was der Code MR1902 bedeutet? Ich finde dazu nichts im Netz und im Qnap Forum.
Mein NAS war –>NIE im Netz und hat keinerlei Zugang dazu. Updates & Virenscanner Definitionen wurde immer nur lokal geladen und installiert.
Sehr bizzar das Ganze.
Das kann Dir nur QNAP beantworten. MR1902 ist ein Code des QNAP Malware Remover Tools. Dabei werden Schädlinge durchnummeriert und dadurch anonymisiert. Über den Grund könnte man spekulieren, bringt aber nichts. MR1902 sollte vor 2019 gewesen sein. Am besten den Malware Remover aktualisieren und hoffen, dass er das Problem beseitigt. Wenn nicht, QNAP Support-Ticket eröffnen.
Die Datei befindet sich dann unter:
/mnt/HDA_ROOT/7z.log
Wie komme ich zu diesem Verzeichnis?
Hallo,
an diese Datei kommt man am besten mit einem FTP Programm wie z.B. FileZilla oder WinSCP.
Hier dann die IP des NAS eingeben und auch wieder als Benutzer „admin“ mit dem zugehörigen Passwort anmelden.
Ist man angemeldet kann man dann die gesamte Dateistruktur des NAS durchsuchen und findet auch diesen Pfad und die „7z.log“ Datei mit dem enthaltenen Passwort.
War der Verschlüsselungsprozess bereits abgeschlossen als der Befehl
„cd /usr/local/sbin; printf ‚#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000‘ > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;“
abgesendet wurde so wird einfach keine log Datei erstellt und man kommt auch nicht mehr an das Passwort, so ist zumindest der aktuelle Stand.
Viel Erfolg!
sind derzeit die QNAP Server offline? Mein QNAP würde gerne Apps updaten kann aber nicht, es scheint weder der App Store, der Firmware Check und auch nicht der NTP Server zu antworten? Den NTP Server umzustellen war in der Tat mal angezeigt.
Ich bin nur ein Heimuser und mich hstts voll erwischt. Dabei ist mein Qnap ständig upgedatet. Nun ist alles weg. Meine ganzen Fotos, Dokumente usw. alles 7z. Hat jemand schon das Lösegeld im aktuellen Fall bezahlt und auch das richtige Passwort erhalten? Wenn es keine andere Lösung gibt muss ich wohl zahlen.
Hallo Markus, das Passwort würde mir ebenfalls weiterhelfen.
Hat es hier einer? Oder sind die immer unterschiedlich?
Hallo Alex, das Passwort ist leider jedesmal ein anderes.