Ataque en curso del ramsomware Qlocker cifrando archivos de NAS Qnap ADSL, VDSL, fibra óptica FTTH e internet móvil en bandaancha.eu

No apagues ni reinicies el NAS si es el proceso 7z está activo todavía es posible ver la contraseña del cifrado y recuperar todos los archivos.

Los atacantes están usando el parámetro -p «7zip» y la contraseña se puede ver en texto plano.

Conéctate por SSH al Nas

Utiliza el comando

Si se está ejecutando 7z, usa el comando:

cd /usr/local/sbin; printf ‘#!/bin/sh necho [email protected] [email protected]>>/mnt/HDA_ROOT/7z.lognsleep 60000’ > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;

Puedes usar luego cat

cat /mnt/HDA_ROOT/7z.log

aquí está el contraseña que han usado para cifrar los ficheros:

a -mx = 0 -sdel -pXXXXXXXXXXXX [RUTA DE CARPETA]

donde XXXXXXXXXXXXX es la contraseña

Vídeo:

youtube.com/watch?v=aq_cIdY_ksQ

Si los datos del usuario están encriptados o se están encriptando, el NAS no debe apagarse. Los usuarios deben ejecutar un escaneo de malware con la última versión de Malware Remover inmediatamente y luego comunicarse con el servicio de Soporte técnico de QNAP en service.qnap.com.

qblog.es/respuesta-a-los-ataques-de-qloc…-tu-nas-qnap

Fuente obtenida de: https://bandaancha.eu/foros/ataque-curso-ramsomware-qlocker-cifrando-1742646

Compartelo en las redes sociales

Compartir en facebook Compartir en google+ Compartir en twitter Compartir en pinterest Compartir en likedin Compartir en WhatsApp

Sobre Kamal Majaiti 1380 artículos
Administrador de sistemas e informático por vocación.

Sé el primero en comentar

Dejar una contestacion

Tu dirección de correo electrónico no será publicada.


*


Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.