26.04.21

QNAP NAS Daten verschlüsselt - Europol knackt Verschlüsselung

QNAP NAS Daten verschlüsselt - Europol knackt Verschlüsselung

Seit dem 22. April 2021 erhalten wir Meldungen von Betreibern von NAS Speichersystemen der Firma QNAP. Die Daten auf den NAS wurden verschlüsselt. Die Erpresser fordern eine Lösegeldzahlung in Bitcoin um die Daten wieder zu entschlüsseln. Die Ransomware wurde "QLocker" betitelt.
Europol knackt die Verschlüsselung

Die Betrugsmasche

Die Hacker nutzen eine Sicherheitslücke im QNAP NAS System aus und verschlüsseln die Daten mit dem bekannten Programm 7ZIP. Sie hinterlassen eine !!!READ_ME.TXT Datei. In dieser steht: “!!! All your files have been encrypted !!! All your files were encrypted using a private and unique key generated for the computer. This key is stored in our server and the only way to receive your key and decrypt your files is making a Bitcoin payment.”

Verlangt werden 0.01 Bitcoin (ca. CHF 480). Die Zahlung soll via eine TOR (Darknet) Webseite getätigt werden:

To purchase your key and decrypt your files, please follow these steps:

1. Dowload the Tor Browser at "https://www.torproject.org/". If you need help, please Google for "access onion page".

2. Visit the following pages with the Tor Browser:

gvka2m4qt5fod2fltkjmdk4gxh5oxemhpgmnmtjptms6fkgfzdd62tad.onion

3. Enter your Client Key:

RdCcN29oD5APdCRC5g19a9mqrbC1uPCXbCJTu1RFKoMIYw4bAXHHL/I/UjlqRg1EW3iuoXCx+l2XaToe6pelcYdl/OBT/+tHdZzloBG8K4Rcog/U2bQd02O3YC……………..

Seit dem 10.5.2021 verlangen die Erpresser ein dreifach so hohes Lösegeld! 0.03 Bitcoins anstatt 0.01 Bitcoin (ca. CHF 1'576 ).

 

Lösegelderhöhung

Screenshot Read.me Datei

Was muss ich tun

Update Anleitung

Ich bin betroffen

Europol Anleitung Entschlüsselung

The way to retrieve the password is simple for someone that is a bit more technical.
A caveat that I forgot to mention (and very important) is that the ransom script must be still running on the NAS (the intervention should be done as soon as possible as this ransomware takes very long to encrypt everything).
User needs to login into QNAP NAS shell as admin, then run this command:
cd /usr/local/sbin; printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep<mailto:$@>>/mnt/HDA_ROOT/7z.log\nsleep> 60000' >7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z; Once done, if you run cat /mnt/HDA_ROOT/7z.log
You will find the encryption password there in the form of ... -pXXXXX ... where XXXXX is the encryption password.
In the end the QNAP firmware should be updated.

Europol Video Anleitung Entschlüsselung

Meine Daten wurden verschlüsselt

Screenshot Darknet Webseite QLocker mit Lösegelderhöhung

Screenshot Darknet Webseite QLocker

Bekannte Erpresserische Bitcoin-Adressen

15
Betroffene Personen haben sich bei uns gemeldet
Persönliche Daten
Angaben zum Fall

Zum Schutz vor Missbrauch dieser Funktion werden beim Senden zusätzlich das Datum und Ihre IP-Adresse übermittelt.

Weiterführende Informationen

Tags