QNAP社のNASを狙うランサムウェア(Qlocker)について
Qlockerが流行中 幸いにも私の家のTS-251Dは感染していないようですが、QNAPのNASを狙うランサムウェア Qlockerが流行中のようです。 色々なフォーラムの情報をみてまわってみたのですが、どうやら ・Multimedia Console、Hybrid Backup Syncが使用しているSQLの脆弱性をついて感染 ・一度感染すると、7zのパスワード付き圧縮機能を使って、NAS内部のファイルを次々に暗号化していく。 という動きをしているようです。 QNAPさんから 公式の案内 も出ていて、それによると感染しないためには、 ・ファームウェアを最新版に更新する。 ・Multimedia Console、Multimedia Streaming Add-on、Hybrid Backup Syncを最新版に更新する ・Malware Removerを実行する ・webUIのポートをデフォルトの8080から変更する。 といった対応が必要なようです。 万が一感染してしまった場合は・・・? 万が一感染してしまった場合、ご自分のファイルが次々に".7z"ファイルとなっていくようなので、そのあたりの挙動から感染してしまっていることがわかるようです。 また、まだ暗号化が進行中の状態であれば、7zファイルに細工をすることで、パスワード付き圧縮処理の「パスワード」を入手することができるようです。 その方法は、 こちらのサイト に書かれており、下記コマンドを実行するとのことです。 要するに、 #!/bin/sh echo $@ echo $@ >> /mnt/HDA_ROOT/7z.log nsleep 60000 という内容の7z.shスクリプトを作成。実行権を追加したのち、オリジナルの7zファイルと差し替える。 差し替えられたのちの7zコマンドは、実行された時の引数をすべて7z.logファイルに保存する。(かつ、nsleepが入っているので、暗号化処理を遅らせることができる??) ※通常、コマンドを実行するときには、 7z filename -p パスワード という形でパスワードを設定するので、ランサムウェアが7z圧縮時に指定しているパスワードを取得してやろう。というアプローチですね。 この方法でQlockerが7zコマンドを実行する
