Files op QNAP NAS encrypted door Qlocker

donderdag 22 april 2021 12:19

Acties:

+1 Henk 'm!

Nokando a place near Kathmandu

Topicstarter

Hallo,

Ik kom er net achter dat de bestanden op mijn NAS (QNAP TS-253Be) encrypted zijn. Ik weet niet precies wanneer of hoe het gebeurd is. Ik heb bij mijn weten niks verkeerds gedwonload oid. Bestanden op mijn PC zelf zijn niet encrypted wat me doet vermoeden dat het echt om de NAS zelf gaat maar zeker weten doe ik het niet. Ik heb daar verder weinig kaas van gegeten.

Misschien dat het via de pi's is gebeurd? Ik draai op mijn thuisnetwerk een Picore player met LMS als muziekserver dat het via die weg gelukt is? Maar voor zover ik weet zit er niets rechtstreeks aan het internet gekoppeld

Situatieschets: Vanochtend had ik muziek aan (van de nas) en was er niets aan de hand. Ben net een half uurtje naar de winkel geweest (pc aan gelaten) en toen ik nieuwe muziek aanzette (in foobar) kwam ik er achter dat mijn files encrypted zijn.

Nou heb ik een externe HD aan de nas hangen als backup en een off-site backup. Dus dat is positief maar welke stappen kan ik nu het beste nemen om te boel weer recht te trekken? Ik moet natuurlijk die backup terugzetten maar dan moet ik voorkomen dat wanneer ik die aan de NAS hang daar ook wat mis mee gaat.

Wat ik zo snel even gedaag heb is:
Ik heb het wachtwoord van de NAS al veranderd.
Malwarebyte op de pc gedraaid. (niks gevonden)

Ik heb maar even de gok genomen en de externe HD met de backup aan mijn andere computer te hangen. Daar zijn de files niet op encrypted. Is het voldoende om schijven op de NAS te wissen en de NAS te resetten (met nog weer een niuew wachtwoord dan degene die ik net nieuw heb aangemaakt?

En is er een mogelijkheid om er achter te komen hoe dit nu gebeurt is? Welke stappen kan ik nemen zodat wanneer ik de backup terug zet de boel weer encrypted raakt?

Waarschijnlijk is het dit: https://www.bleepingcompu...-to-encrypt-qnap-devices/

Ik zal dat indertussen gaan doornemen

The blob ain't bothered. Its slime don't care. / The mind commands the body and it obeys. The mind orders itself and meets resistance.

donderdag 22 april 2021 12:58

Panzer_V

Ik zou je het volgende stappenplan adviseren.

Externe HDD afkoppelen van je pc
Alle apparaten uitzetten
Dan 1 pc herinstalleren (eerst low level format van de schijf)
Die volledig updaten
De externe HDD aan die pc hangen en volledig scannen etc. Is de externe HDD clean, alles oké, is die besmet dan zal je ook deze pc opnieuw moeten installeren
2e pc herinstalleren en updaten
NAS schijven een low level format geven
NAS opnieuw configureren/ inrichten etc.
Alles goed beveiligen
Data van externe HDD, indien nog in orde, erop zetten
Nooit, maar dan ook nooit meer wazige poker shit installeren!!!

Hiermee moet je een eind kunnen komen.

Ik doe wat ik kan, zodoende blijft er veel liggen.

donderdag 22 april 2021 12:24

Acties:

0 Henk 'm!

Panzer_V

Zijn de muziekbestanden die je vanmorgen kon afspelen nu encrypted? Of zijn toevallig andere muziekbestanden encrypted?

Dat wordt mij niet duidelijk uit je verhaal.

Je hebt je NAS ondertussen van t internet afgesloten neem ik aan? En wellicht uitgezet in de tussentijd?

Je zult ook echt eerst de oorzaak moeten achterhalen. Nu alles resetten lost het probleem niet op als je de oorzaak niet weet.

[ Voor 19% gewijzigd door Panzer_V op 22-04-2021 12:24 ]

Ik doe wat ik kan, zodoende blijft er veel liggen.

donderdag 22 april 2021 12:28

Acties:

0 Henk 'm!

Dwarlorf

Nokando a place near Kathmandu

Topicstarter

Panzer_V schreef op donderdag 22 april 2021 @ 12:24:
Zijn de muziekbestanden die je vanmorgen kon afspelen nu encrypted? Of zijn toevallig andere muziekbestanden encrypted?

Dat wordt mij niet duidelijk uit je verhaal.

Ja dat is basically it. (al mijn andere bestanden zijn ook encrypted). Nouja, ik selecteerde een ander album en die bleek encrypted. Het album dat in de playlist stond zal wel in de cache hebben gezeten (maar die is nu ook encrypted).

Panzer_V schreef op donderdag 22 april 2021 @ 12:24:

Je hebt je NAS ondertussen van t internet afgesloten neem ik aan? En wellicht uitgezet in de tussentijd?

Van internet (hij hing aan de router/modem) afgehaald. Nog niet uitgezet, doe ik nu.

Panzer_V schreef op donderdag 22 april 2021 @ 12:24:
Je zult ook echt eerst de oorzaak moeten achterhalen. Nu alles resetten lost het probleem niet op als je de oorzaak niet weet.

Akkoord. Daarvan vraag ik mij nu af hoe ik dat moet aanpakken. Ik heb echt geen idee hoe het gebeurd kan zijn. Of het moet via de pokerstars client zijn die ik vannochtend heb geupdate.

[ Voor 11% gewijzigd door Dwarlorf op 22-04-2021 12:32 ]

The blob ain't bothered. Its slime don't care. / The mind commands the body and it obeys. The mind orders itself and meets resistance.

donderdag 22 april 2021 12:36

Acties:

+1 Henk 'm!

Tsurany

⭐⭐⭐⭐⭐

Elk systeem opnieuw installeren, inclusief de NAS. Zorgen dat overal een nieuw wachtwoord op komt dat je niet eerder gebruikt hebt. Dan, zonder internet verbinding, data gaan herstellen. Liefst vanaf de onsite backup als die nog in orde is, anders van de offsite backup via internet.

SMA SB5.0 + 16x Jinko 310wp OWO + 10x Jinko 310wp WNW |--|--| Daikin 4MXM68N + 1x FTXA50AW + 3x FTXM20N

donderdag 22 april 2021 12:52

Acties:

0 Henk 'm!

Dwarlorf

Nokando a place near Kathmandu

Topicstarter

Panzer_V schreef op donderdag 22 april 2021 @ 12:32:
Als de bestanden vanmorgen niet encrypted zijn en nu wel dan is er poep aan de ventilator.

Nu dat ding uitzetten dus!!! Zonder stroom kan ie niks. Ook niet verder encrypten.

En dan idd nagaan wat er allemaal mis kan zijn.
Was ie wel geüpdatet;
Heb je 2FA toegepast;
Welke poorten stonden er open;
Wat hangt nog meer aan je netwerk;
Welke poorten daarvan staan open;
Heeft dat 2FA;
etc. etc. etc.

Hij was geüpdatet. (ik had het nog snel gecheckt)
Nee, geen 2FA. Dat zal ik zeker gaan doen zodra de boel is opgelost
Misschien dat er op mijn modem een aantal poorten open staan (dat zal ik checken)
Voorzover ik weet zijn er op de nas geen poorten open, alhoewel ik weel ooit een keer via qnap geprobeerd heb externe toegang te kunnen regelen va het internet. Dat zou ik moeten checken.

Aan mijn netwerk hangen 2 PC's.
En de genoemde pi als LMS server picore/speler combo. Dat heeft volgens mij geen 2FA maar dat staat niet rechtstreeks
Verder via wifi mijn telefoon

Die externe HDD heb ik op de secundaire pc gehangen (en daar de lan kabel uitgehaald). Kan verder niks besmetten.

Ik heb om 13u een belangrijke videocall daarna zal ik in actie gaan en de boel herinstalleren..

Wat is wijsheid?
Ik neig er naar om de offsite backup te gaan gebruiken.
De externe HDD is niet encrypted maar zie wel een !!readme file op die ik ook op de nas zag. Mss dat ze daar net aan begonnen waren toen ik het oipmerkte. Ik heb random files bekeken en geen is nog encrypted maar ik ga er van uit dat die onbetrouwbaar is..

Zal ik eerst de externe HDD wissen op de secundaire pc en dan die secundaire pc opnieuw installeren (zonder aan het internet te hangen)?
En dan mijn primaire pc herinstalleren.
En daarna de qnap herinstellen? Ik neem aan dat ik de qnap een hard reset kan geven om alles te wissen en opnieuw in te stellen.

Fit staat er aan poorten open op mijn modem/router:

Afbeeldingslocatie: https://tweakers.net/i/52h53E6LDQR9rWEO8Iuaw1xRZHA=/100x75/filters:strip_icc():strip_exif()/f/image/pfxqufcwU1JwN828Nn59HRHS.jpg?f=fotoalbum_small

[ Voor 26% gewijzigd door Dwarlorf op 22-04-2021 12:57 ]

The blob ain't bothered. Its slime don't care. / The mind commands the body and it obeys. The mind orders itself and meets resistance.

donderdag 22 april 2021 12:58

Acties:

Beste antwoord ✓
0 Henk 'm!

Panzer_V

Ik zou je het volgende stappenplan adviseren.

Externe HDD afkoppelen van je pc
Alle apparaten uitzetten
Dan 1 pc herinstalleren (eerst low level format van de schijf)
Die volledig updaten
De externe HDD aan die pc hangen en volledig scannen etc. Is de externe HDD clean, alles oké, is die besmet dan zal je ook deze pc opnieuw moeten installeren
2e pc herinstalleren en updaten
NAS schijven een low level format geven
NAS opnieuw configureren/ inrichten etc.
Alles goed beveiligen
Data van externe HDD, indien nog in orde, erop zetten
Nooit, maar dan ook nooit meer wazige poker shit installeren!!!

Hiermee moet je een eind kunnen komen.

Ik doe wat ik kan, zodoende blijft er veel liggen.

donderdag 22 april 2021 13:06

Acties:

+1 Henk 'm!

RodeStabilo

Panzer_V schreef op donderdag 22 april 2021 @ 12:32:
Alleen al die naam geeft bij mij een hele kazerne vol met rode lampen!!!

Waarom precies? Pokerstars is v.z.i.w een grote en 'reputabele' naam in dat wereldje? Wil niet zeggen dat hun clients niet infected kunnen zijn maar het is ook zomaar een partij.

donderdag 22 april 2021 13:11

Acties:

0 Henk 'm!

Anoniem: 316512

Panzer_V schreef op donderdag 22 april 2021 @ 12:58:
Ik zou je het volgende stappenplan adviseren.
Externe HDD afkoppelen van je pc
Alle apparaten uitzetten
Dan 1 pc herinstalleren (eerst low level format van de schijf)
Die volledig updaten
De externe HDD aan die pc hangen en volledig scannen etc. Is de externe HDD clean, alles oké, is die besmet dan zal je ook deze pc opnieuw moeten installeren
2e pc herinstalleren en updaten
NAS schijven een low level format geven
NAS opnieuw configureren/ inrichten etc.
Alles goed beveiligen
Data van externe HDD, indien nog in orde, erop zetten
Nooit, maar dan ook nooit meer wazige poker shit installeren!!!
Hiermee moet je een eind kunnen komen.

Het artikel wat TS zelf meestuurt geeft wat meer inzage over de oorzaak. Lijkt eerder dus te komen door recente CVE's, mogelijk is de QNAP niet goed geupdatet en was deze kwetsbaar.

Zoals al aangegeven is Pokerstars een legitieme partij en kan je met een gerust hart de software op je computer gebruiken.

donderdag 22 april 2021 13:11

Acties:

+4 Henk 'm!

Archie_T

Ik zie Port 8080 naar je NAS open staan toch? Dit in combinatie met:
https://www.google.nl/amp...rabilities-in-nas-devices
Lijkt mij duidelijk.

donderdag 22 april 2021 13:17

Acties:

0 Henk 'm!

RodeStabilo

Archie_T schreef op donderdag 22 april 2021 @ 13:11:
Ik zie Port 8080 naar je NAS open staan toch? Dit in combinatie met:
https://www.google.nl/amp...rabilities-in-nas-devices
Lijkt mij duidelijk.

Ja, maar dat heeft QNAP dus gefixt n.a.v deze ransomware aanval als je naar de data kijkt van dat artikel. Dus TS kon daar niet zoveel aan doen (behalve poort 8080 niet forwarden).

[ Voor 4% gewijzigd door RodeStabilo op 22-04-2021 13:17 ]

donderdag 22 april 2021 13:25

Acties:

0 Henk 'm!

Archie_T

Ik heb natuurlijk alleen de details die de TS geeft. Maar als zijn pc voorzien was verkeerde software dan zou de PC wel ge-encrypt zijn. In dit geval is het alleen een Qnap nas. Er is een RCE en ransomware bekend van Qnap en de TS heeft Port 8080 (Qnap management) vanuit internet open staan. Ik ben natuurlijk geen helderziende maar vind dit alles bij elkaar opgeteld best wel een reden om het daar te gaan zoeken.

donderdag 22 april 2021 13:29

Acties:

0 Henk 'm!

The Eagle

I wear my sunglasses at night

Vanuit dat in de TS gelinkte artikel:

Update 4/22/21 12:44 AM: A weakness may have been found that could potentially allow victims to recover their files for free. We are still investigating this and will post an update around 10 AM EST, or possibly earlier..

Dus even wachten nog op een oplosing

Voor de rest: Ding van het internet af, uit en poorten dicht tot er meer duidelijk is.

Al is het nieuws nog zo slecht, het wordt leuker als je het op zijn Brabants zegt :)

donderdag 22 april 2021 13:49

Acties:

0 Henk 'm!

Dwarlorf

Nokando a place near Kathmandu

Topicstarter

Ok, wat verschillende inzichten. Ik zal inderdaad even die poorten dichtgooien.

Nu zit een beetje in dubio wat ik verder het beste kan doen. De nas is nu van het netwerk af en uit.

Ik neig er naar om de de nieuwsberichten en updates van QNAP af te wachten en zodra daar meer over bekend is de NAS verder updaten cq fixen?

Ik denk dat ik voor de zekerheid de externe HDD ook maar als infected beschouw.

Maar mijn PC's lijken niet geinfecteerd. Is het nog wel nodig om die dan te herinstalleren?

Anoniem: 316512 schreef op donderdag 22 april 2021 @ 13:11:
[...]
Het artikel wat TS zelf meestuurt geeft wat meer inzage over de oorzaak. Lijkt eerder dus te komen door recente CVE's, mogelijk is de QNAP niet goed geupdatet en was deze kwetsbaar.

Volgens mij had ik wel de meest recente update (het was sowieso 4.5.iets). Er was iig geen update beschikbaar toen ik op de nas keek nav de hack. Zeker weten doe ik het niet maar ik check toch wel af en toe of er nog updates zijn.

[ Voor 40% gewijzigd door Dwarlorf op 22-04-2021 13:55 ]

The blob ain't bothered. Its slime don't care. / The mind commands the body and it obeys. The mind orders itself and meets resistance.

donderdag 22 april 2021 14:37

Acties:

0 Henk 'm!

peter-rm

je kunt misschien nog in de logfiles van de qnap zien wat er gebeurt is.

donderdag 22 april 2021 14:55

Acties:

+1 Henk 'm!

Dwarlorf

Nokando a place near Kathmandu

Topicstarter

Ik heb de externe harde schijf aan mijn secundaire pc gehangen (en die aan het netwerk gehangen) en mijn primaire PC van het netwerk af gehaald.

Ik heb Trend Micro House Call gedraaid en die heeft op de externe hd de Trojan Ransom.9682423A gevonden (het Readme textbestand dat ik al gespot had). Deze is nu verwijderd. Er zijn op die HD een aantal niet belangrijke files encrypted. Die ga ik gewoon verwijderen. En daarna nog eens House Call draaien. Dan ga ik er van uit dat de HDD wel weer te gebruiken is om de backup terug te zetten zodra de NAS gefikst is.

Ik heb ook de netwerk scanner van Trend micro gedraaid en die heeft verder geen threaths in mijn overige (modem, 2 switches en 2 mobieltjes) gevonden

Ik neig er naar om hierna toch de NAS weer aan te slingeren om via mijn secundaire pc in ieder geval alle updates te doorvoeren nav het eerder genoemde artikel en te scannen met trend micro housecall. En inderdaad eens de logfiles bekijken.

The blob ain't bothered. Its slime don't care. / The mind commands the body and it obeys. The mind orders itself and meets resistance.

donderdag 22 april 2021 15:24

Acties:

+1 Henk 'm!

Allard

Als de bestanden nu in een 7zip file staan, dan is het waarschijnlijk wel die Qlocker ransomeware.
Als de NAS al geïnfecteerd is dan zou ik updaten niet meer vertrouwen, de ransomware is al 'binnen'. Een update is dan geen gegarandeerde oplossing meer IMO.

Als je een volledige backup van je NAS hebt zou ik de nas in recoverymode zetten en van de grond af aan opnieuw opbouwen, dan de updates (ook de apps die je gebruikt) eroverheen, en dan de backup terug zetten.

I think all rightthinking people in this country are sick and tired of being told that ordinary, decent people are fed up in this country with being sick and tired.

donderdag 22 april 2021 16:08

Acties:

0 Henk 'm!

Dwarlorf

Nokando a place near Kathmandu

Topicstarter

Allard schreef op donderdag 22 april 2021 @ 15:24:
Als je een volledige backup van je NAS hebt zou ik de nas in recoverymode zetten en van de grond af aan opnieuw opbouwen, dan de updates (ook de apps die je gebruikt) eroverheen, en dan de backup terug zetten.

Dit snap ik niet helemaal.

Betekent dat een volledige hardware reset (waarbij ook de harde schijven gewist worden)? Of is recovery mode wat anders? Ik kom er niet helemaal uit met google. Dit proces? https://www.qnap.com/en/h...etting-your-nas-explained

Daarna inloggen en de boel updaten. En dan de externe harde schijf (of mijn andere offsite backup) er aan hangen.

[ Voor 8% gewijzigd door Dwarlorf op 22-04-2021 16:12 ]

The blob ain't bothered. Its slime don't care. / The mind commands the body and it obeys. The mind orders itself and meets resistance.

donderdag 22 april 2021 16:11

Acties:

+1 Henk 'm!

Panzer_V

Goed te lezen dat je de basterd te pakken hebt @Dwarlorf!

Succes met de verdere recovery.

Ik doe wat ik kan, zodoende blijft er veel liggen.

donderdag 22 april 2021 16:16

Acties:

0 Henk 'm!

Dwarlorf

Nokando a place near Kathmandu

Topicstarter

Panzer_V schreef op donderdag 22 april 2021 @ 16:11:
Goed te lezen dat je de basterd te pakken hebt @Dwarlorf!

Succes met de verdere recovery.

Nou, House Call checkte hoogstwaarschijnlijk alleen de PC (c schijf) en niet de externe schijf. Ik heb nu Malwarebytes op de externe schijf losgelaten. Het duurt nog wel ff voordat dat klaar is.

Maar ik heb er vertrouwen in dat het gaat lukken. Ik ga niet die fix afwachten in dat artikel maar gewoon een backup terugzetten. Blijkbaar is er een moglijkheid om via de console het wachtwoord ev te achterhalen maar dan moet je alle files nog gaan ontsleutelen. Dat kan niet anders dan dit omslachtiger is dan de backup terugzetten.

The blob ain't bothered. Its slime don't care. / The mind commands the body and it obeys. The mind orders itself and meets resistance.

donderdag 22 april 2021 16:21

Acties:

+2 Henk 'm!

jurroen

Security en privacy geek

Dwarlorf schreef op donderdag 22 april 2021 @ 16:08:
[...]

Dit snap ik niet helemaal.

Betekent dat een volledige hardware reset (waarbij ook de harde; sch;ijven gewist worden)? Of is recovery mode wat anders? Ik kom er niet helemaal uit met google. Dit proces? https://www.qnap.com/en/h...etting-your-nas-explained

Een volledige reset wist de instellingen en data, maar veranderd niets aan QTS (het OS). Als de aanvallers volledige toegang tot de NAS hebben gehad, kan het zo zijn dat ze ook delen van het systeem vervangen hebben en bijvoorbeeld een blijvend achterdeurtje erop gezet hebben.

De manier om dat op te lossen is door de NAS in recovery modus te plaatsen en het OS volledig opnieuw te installeren. Vergelijk het met een herinstallatie van je PC. Wellicht dat dit artikel genoeg informatie daarover geeft.

Daarnaast zag ik in je schermfoto dat je poort 8080 geforward had in je modem. Dat is de HTTP poort. Als je eerder een keer vanaf een externe locatie bent ingelogt, bijvoorbeeld in een cafe of via een openbaar WiFi netwerk, zijn je credentials (login) onversleuteld de ether in gestuurd. Ik zou met die wetenschap (en de de hack) ook een ander wachtwoord instellen op je NAS. Schakel ook nog 2FA in en expose 'm voortaan - indien mogelijk - niet via internet.

Als je voortaan wel extern wilt kunnen inloggen op je NAS, kun je het beste een VPN-server instellen op je modem of bijvoorbeeld op een Raspberry Pi. Zorg dan wel dat je die ook up-to-date houdt natuurlijk

[ Voor 6% gewijzigd door jurroen op 22-04-2021 16:23 ]

Ongevraagde verzoeken per DM beantwoord ik niet, sorry

donderdag 22 april 2021 16:34

Acties:

0 Henk 'm!

Dwarlorf

Nokando a place near Kathmandu

Topicstarter

jurroen schreef op donderdag 22 april 2021 @ 16:21:
[...]

Een volledige reset wist de instellingen en data, maar veranderd niets aan QTS (het OS). Als de aanvallers volledige toegang tot de NAS hebben gehad, kan het zo zijn dat ze ook delen van het systeem vervangen hebben en bijvoorbeeld een blijvend achterdeurtje erop gezet hebben.

De manier om dat op te lossen is door de NAS in recovery modus te plaatsen en het OS volledig opnieuw te installeren. Vergelijk het met een herinstallatie van je PC. Wellicht dat dit artikel genoeg informatie daarover geeft.

Ah, ik zie inderdaad een methode er tussen voor mijn nas. Gaan we dat doen na de malwarebytes scan

jurroen schreef op donderdag 22 april 2021 @ 16:21:
Daarnaast zag ik in je schermfoto dat je poort 8080 geforward had in je modem. Dat is de HTTP poort. Als je eerder een keer vanaf een externe locatie bent ingelogt, bijvoorbeeld in een cafe of via een openbaar WiFi netwerk, zijn je credentials (login) onversleuteld de ether in gestuurd. Ik zou met die wetenschap (en de de hack) ook een ander wachtwoord instellen op je NAS. Schakel ook nog 2FA in en expose 'm voortaan - indien mogelijk - niet via internet.

Als je voortaan wel extern wilt kunnen inloggen op je NAS, kun je het beste een VPN-server instellen op je modem of bijvoorbeeld op een Raspberry Pi. Zorg dan wel dat je die ook up-to-date houdt natuurlijk

Die heb ik ooit geforward om myQNAPcloud in te stellen met het idee om inderdaad externe toegang te hebben. Ik heb het alleen thuis en bij mijn moeder getest. Maar ik heb het nooit werkend gekregen omdat er iets fout bij qnap zat/zit (weet de details niet meer precies, had het opgegeven met de gedachte het is toch veiliger zonder externe toegang

) Dus dat daar iets fout is gegaan acht ik klein.

Maar uiteraard neem ik je tips mee.

The blob ain't bothered. Its slime don't care. / The mind commands the body and it obeys. The mind orders itself and meets resistance.

donderdag 22 april 2021 16:37

Acties:

0 Henk 'm!

zetje01

Paar jaar geleden alweer merkte ik dat mijn laptop steeds aan het communiceren was met mijn NAS.
(heb mijn taakmanager altijd open staan en zag netwerkcommunicatie 'terwijl ik niks deed'.)

Op mijn NAS werden tekstbestanden (zoals SRT enz.) versleuteld.
Wat ik dus wou zeggen: bij mij kwam de malware, de veroorzaker, dus gewoon van mijn computer af.

donderdag 22 april 2021 16:40

Acties:

+2 Henk 'm!

Dwarlorf

Nokando a place near Kathmandu

Topicstarter

Ik sluit op zich niks uit. Ik ga alle computers ook nog checken uiteraard. Het is lastig vaststellen waar het uiteindelijk vandaan komt. Maar het lijkt me het meest voor de hand liggend dat het door die vulnerability komt.

The blob ain't bothered. Its slime don't care. / The mind commands the body and it obeys. The mind orders itself and meets resistance.

donderdag 22 april 2021 17:23

Acties:

+1 Henk 'm!

Allard

Dwarlorf schreef op donderdag 22 april 2021 @ 16:08:
[...]

Dit snap ik niet helemaal.

Betekent dat een volledige hardware reset (waarbij ook de harde schijven gewist worden)? Of is recovery mode wat anders? Ik kom er niet helemaal uit met google. Dit proces? https://www.qnap.com/en/h...etting-your-nas-explained

Daarna inloggen en de boel updaten. En dan de externe harde schijf (of mijn andere offsite backup) er aan hangen.

Zoals anderen al hebben aangegeven, ik bedoelde die recovery mode inderdaad. Is wel even wat werk maar de enige garantie dat je met een schone lei begint. Installeer ook alleen de apps/services die je gebruikt e.d.

I think all rightthinking people in this country are sick and tired of being told that ordinary, decent people are fed up in this country with being sick and tired.

donderdag 22 april 2021 17:25

Acties:

0 Henk 'm!

Dwarlorf

Nokando a place near Kathmandu

Topicstarter

Allard schreef op donderdag 22 april 2021 @ 17:23:
[...]

Zoals anderen al hebben aangegeven, ik bedoelde die recovery mode inderdaad. Is wel even wat werk maar de enige garantie dat je met een schone lei begint. Installeer ook alleen de apps/services die je gebruikt e.d.

Duidelijk. Nee, niet helemaal duidelijk. Volgens de instructies moeten de harddisks er uit. Maar als ik dan de recovery doe en de schijven er in gooi loop ik dan niet weer het risico van besmetting. Dan zou ik eerst de boel moeten wissen maar zit de malware dan mogelijk nog steeds niet op de schijven?

Ik had al zo min mogelijk apps/services geinstalleerd maar er kunnen nog wel een paar weg. Ik gebruik eigenlijk alleen maar de 'backup app'.

[ Voor 23% gewijzigd door Dwarlorf op 22-04-2021 17:33 ]

The blob ain't bothered. Its slime don't care. / The mind commands the body and it obeys. The mind orders itself and meets resistance.

donderdag 22 april 2021 18:18

Acties:

+1 Henk 'm!

Allard

Dwarlorf schreef op donderdag 22 april 2021 @ 17:25:
[...]

Duidelijk. Nee, niet helemaal duidelijk. Volgens de instructies moeten de harddisks er uit. Maar als ik dan de recovery doe en de schijven er in gooi loop ik dan niet weer het risico van besmetting. Dan zou ik eerst de boel moeten wissen maar zit de malware dan mogelijk nog steeds niet op de schijven?

Ik had al zo min mogelijk apps/services geinstalleerd maar er kunnen nog wel een paar weg. Ik gebruik eigenlijk alleen maar de 'backup app'.

Ik heb zelf geen Qnap NAS maar een Synology.
Ik had verwacht dat de Qnap recovery op dezelfde manier gaat als bij Synology, namelijk de NAS in recoverymode zetten en vanaf een PC op het netwerk met een recoverytool de firmware erop zetten. Als ik de Qnap handleiding lees snap ik er echter weinig van. Ik begrijp niet helemaal waarom de schijven eruit moeten en kennelijk VMware Player gebruiken om de firmware te installeren???
Ik hoop daarom dat iemand die zelf een Qnap heeft je beter kan helpen hiermee.

I think all rightthinking people in this country are sick and tired of being told that ordinary, decent people are fed up in this country with being sick and tired.

vrijdag 23 april 2021 07:46

Acties:

0 Henk 'm!

The-Priest-NL

Ik ben bang dat je de Sjaak was door deze.
https://therecord.media/n...__twitter_impression=true

•Geocaching•Security, Media & OSINT Junkie•Opinions are my own and not those of my employer.

vrijdag 23 april 2021 12:46

Acties:

0 Henk 'm!

Dwarlorf

Nokando a place near Kathmandu

Topicstarter

Zou het voor de Recovery Mode nog van /belang zijn om het oorspronkelijke ram terug te zetten om zo risico zo op een installatieprobleem te verkleinen

The blob ain't bothered. Its slime don't care. / The mind commands the body and it obeys. The mind orders itself and meets resistance.

vrijdag 23 april 2021 12:51

Acties:

+1 Henk 'm!

Gizzy

Ik kreeg gisteren nog een mail van QNAP voor de qnap gebruikers om hierop te letten. Staan ook tips in wat te doen om het te voorkomen en om wat te doen als je bent incrypted:

Begin Quote QNAP mail

Response to Qlocker Ransomware Attacks: Take Actions to Secure QNAP NAS

Taipei, Taiwan, April 22, 2021 – QNAP® Systems, Inc. (QNAP), a leading computing, networking and storage solution innovator, today issued a statement in response to recent user reports and media coverage that two types of ransomware (Qlocker and eCh0raix) are targeting QNAP NAS and encrypting users’ data for ransom. QNAP strongly urges that all users immediately install the latest Malware Remover version and run a malware scan on QNAP NAS. The Multimedia Console, Media Streaming Add-on, and Hybrid Backup Sync apps need to be updated to the latest available version as well to further secure QNAP NAS from ransomware attacks. QNAP is urgently working on a solution to remove malware from infected devices.

QNAP has released an updated version of Malware Remover for operating systems such as QTS and QuTS hero to address the ransomware attack. If user data is encrypted or being encrypted, the NAS must not be shut down. Users should run a malware scan with the latest Malware Remover version immediately, and then contact QNAP Technical Support at https://service.qnap.com/.

For unaffected users , it's recommended to immediately install the latest Malware Remover version and run a malware scan as a precautionary measure. All user should update their passwords to stronger ones, and the Multimedia Console, Media Streaming Add-on, and Hybrid Backup Sync apps need to be updated to the latest available version. Additionally, users are advised to modify the default network port 8080 for accessing the NAS operating interface. Steps to perform the operation can be found in the information security best practice offered by QNAP (https://qnap.to/3daz2n). The data stored on NAS should be backed up or backed up again utilizing the 3-2-1 backup rule, to further ensure data integrity and security.

For details, please refer to the QNAP security advisory QSA-21-11 (https://qnap.to/3eq7hy) and QSA-21-13 (https://qnap.to/3dygse).

QNAP Product Security Incident Response Team (PSIRT) constantly monitors the latest intelligence to deliver up-to-date information and software updates, ensuring data security for users. Once again, QNAP urges users to take the above-mentioned actions and periodically check/install product software updates to keep their devices away from malicious influences. QNAP also provides the best practice for improving personal and organizational information security. By working together to fight against cybersecurity threats, we make the Internet a safer place for everyone.

About QNAP Systems, Inc.

QNAP (Quality Network Appliance Provider) is devoted to providing comprehensive solutions in software development, hardware design and in-house manufacturing. Focusing on storage, networking and smart video innovations, QNAP now introduce a revolutionary Cloud NAS solution that joins our cutting-edge subscription-based software and diversified service channel ecosystem. QNAP envisions NAS as being more than simple storage and has created a cloud-based networking infrastructure for users to host and develop artificial intelligence analysis, edge computing and data integration on their QNAP solutions.

Media Contacts

marketing@qnap.com

Einde Quote QNAP Mail

[ Voor 5% gewijzigd door Gizzy op 23-04-2021 12:52 ]

flickr - WOT Profile - Game PC

vrijdag 23 april 2021 14:01

Acties:

0 Henk 'm!

Dwarlorf

Nokando a place near Kathmandu

Topicstarter

Allard schreef op donderdag 22 april 2021 @ 18:18:
[...]
Ik begrijp niet helemaal waarom de schijven eruit moeten en kennelijk VMware Player gebruiken om de firmware te installeren???

Als ik het goed begrijp nav dit artikel is dat de methode om de schijven te formateren wanneer je ze er weer in steekt.

Ik vraag me af of een reinitialisation niet voldoende is ipv die volledige recovery mode procedure.

The blob ain't bothered. Its slime don't care. / The mind commands the body and it obeys. The mind orders itself and meets resistance.

vrijdag 23 april 2021 15:44

Acties:

+1 Henk 'm!

G.Shumway

Frappant... recent stond in C'T 2021-04 dit artikel: "NAS veilig gebruiken (nav een ransomware hack v/e lezer)."

Suc6 TS !

zaterdag 24 april 2021 06:19

Acties:

+1 Henk 'm!

Dwarlorf

Nokando a place near Kathmandu

Topicstarter

Ik heb het weer in orde gekregen. Ik heb recovery mode niet gebruikt. We zullen gaan meemaken hoe onverstandig dat is.

Verder heb ik alle veiligheidsmaatregelen die geopperd zijn doorgevoerd. 2FA, een nieuwe administator, Alle onnodige apps en services uitgezet, Port forwarding uit op de modem.

De backupschijf sluit ik de komende tijd nog even niet aan totdat ik meer duidelijkheid heb of de exploit echt is opgelost.

Ik moet alleen nog even kijken hoe het zit met het instellen van een aparte user voor toegang tot de shares.

The blob ain't bothered. Its slime don't care. / The mind commands the body and it obeys. The mind orders itself and meets resistance.

zaterdag 24 april 2021 16:41

Acties:

+1 Henk 'm!

Panzer_V

Goed bezig @Dwarlorf. Fijn dat het opgelost is. Top 👍🏻

Ik doe wat ik kan, zodoende blijft er veel liggen.

zondag 25 april 2021 14:43

Acties:

+1 Henk 'm!

peter-rm

in de c't van april 2021 staat een artikel over nas veilig gebruiken (p78), waarin een NAS ook het slachtoffer van ransomware was.
De grote vraag was daar ook hoe de ransomware binnegekomen was. in die situatie bleek dat op de NAS Upnp niet uitgezet was waardoor de NAS zelf in de router een poort voor toegang kon openzetten.

misschien dat dit een aanknopingspunt biedt voor TS

zondag 25 april 2021 15:42

Acties:

0 Henk 'm!

Dwarlorf

Nokando a place near Kathmandu

Topicstarter

Ik heb upnp op de router uitgezet. Volgens mij heb ik ook alle niet relevante services op de nas uitgezet. Maar ik zal eens specifiek kijken naar upnp.

Ik heb trouwens gelezen dat het waarschijnlijk was te exploiteren omdat er in de HBS3 app door een programmeur een soort van permanent admin account was ingeprogrammeerd als workaround om 1 of ander probleem op te lossen.

The blob ain't bothered. Its slime don't care. / The mind commands the body and it obeys. The mind orders itself and meets resistance.

zondag 25 april 2021 18:15

Acties:

0 Henk 'm!

DJMaze

https://www.security.nl/p...ansomware+betalen+losgeld

Maak je niet druk, dat doet de compressor maar

maandag 26 april 2021 09:41

Acties:

+1 Henk 'm!

Jazzy

Moderator SSC/PB

Moooooh!

Beetje laat, maar heb de termen Qnap en Qlocker toch nog even in de titel gefrommeld.

Exchange en Office 365 specialist. Mijn blog.

dinsdag 27 april 2021 21:11

Acties:

0 Henk 'm!

Jos_M

aka jos_jalla aka josti

Ik kwam er 2 dagen terug achter dat ik ook getroffen ben. Ik kwam erachter nadat ik een firmware update gedraaid had, en wat documenten wilde opslaan van laptop naar nas.

Vooral mn in jaren opgebouwde muziekcollectie lijkt getroffen tot nu toe. Vervelend, maar meer vanuit nostalgische waarde, maar luister er eigenlijk nooit meer naar... De folders/files met foto's van vakanties en de kinderen lijken nog niet aangetast.

Heb in de paniek snel apparaat uitgeschakeld. Hoewel dat mogelijk niet het beste was om te doen, kan de versleuteling nu niet verder uitbreiden. Ik heb al gelezen dat een soort workaround al dichtgezet was door de hackers, dus zo erg is het mogelijk niet.

Inmiddels heb ik Malware remover en alle andere apps geüpdate en Malware Remover gedraaid. Ik zie dat hij malware verwijderd heeft. Betekent dit nu ook dat het verdere proces van versleuteling afgebroken/gestopt is? Kan ik nu mijn nog niet aangetaste folders/files veiligstellen?

dinsdag 27 april 2021 21:31

Acties:

0 Henk 'm!

Dwarlorf

Nokando a place near Kathmandu

Topicstarter

Jos_M schreef op dinsdag 27 april 2021 @ 21:11:
Inmiddels heb ik Malware remover en alle andere apps geüpdate en Malware Remover gedraaid. Ik zie dat hij malware verwijderd heeft. Betekent dit nu ook dat het verdere proces van versleuteling afgebroken/gestopt is? Kan ik nu mijn nog niet aangetaste folders/files veiligstellen?

Ik durf het niet met zekerheid te zeggen (dus op eigen risico) maar ik denk het wel (er van uitgaande dat de malware remover goed werk).

Je kunt er eventueel nog met een virusscanner overheen gaan. Ik heb op mijn externe harde schijf Trend Micro House Call gebruikt.

The blob ain't bothered. Its slime don't care. / The mind commands the body and it obeys. The mind orders itself and meets resistance.

Onderwerpen

Vraag

Beste antwoord (via Dwarlorf op 24-04-2021 13:37)

Alle reacties