NAS포럼 입니다.

북마크 아이콘

NAS, 자작 NAS, 클라우드, 웹하드 등 네크워크 대용량 저장 장치와 관련된 정보를 공유하는 공간입니다.
qnap 나스 7zip 랜섬웨어감염 암호 찾는 방법 공유해 봅니다. 10
분류: 정보
이름: 꼬마750


등록일: 2021-04-24 09:50
조회수: 1488 / 추천수: 0





저는 22일 감염된 것을 발견하여 이 방법으로 7zip암호를 찾았는데 모두가 찾을 수 있는 것은 아닌 것 같으니 참고하시기 바랍니다. 혹시나 중요한 파일은 건질 수도 있어 공유해봅니다.

 

가정에서 개인용으로 qnap TS-431P사용 중입니다.

근무지에서 22일 업무에 필요한 파일을 나스에서 내려받았더니 7zip으로 파일이 압축되어 있어 무엇가 이상함을 감지하였습니다.

파일스테이션으로 확인해 보았더니 20MB이하의 파일들이 7zip으로 압축되어 암호화 되어있었습니다.

바이러스 스캔, MalwareRemover를 실행해도 아무 것도 나오지 않아 구글에서 폭풍검색을 한 후에 랜섬웨어에 감염된 것을 알게되었습니다.

맨붕이 와서 구글 및 여러 가지 검색을 하여 복구를 시도하였으나 복구할 수 있는 방법이 없어 아래 뉴스의 댓글에 나온 방법을 시도하던 중 7z.log 파일을 찾아 열어보니 암호를 찾을 수 있었습니다.


 

https://www.bleepingcomputer.com/news/security/massive-qlocker-ransomware-attack-uses-7zip-to-encrypt-qnap-devices/

 

퇴근하고 집에서 터미널접속을 위하여 qnap에 웹으로 접속하여

네트워크 및 가상 스위치 telnet / SSH 활성화 및 허용(외부에서 접속을 방지하기 위하여 포트번호는 다른 것으로 바꿈)한 후

admin계정 활성화한 후 터미널 프로그램 PUTTY를 다운받아 나스에 텔넷 또는 SSH로 접속(사용법은 조금만 검색하면 나옴)하고

admin계정으로 로그인하여 /mnt/HDA_ROOT/7z.log 파일을 찾아서 암호를 알아낼 수 있었습니다.

 

7z.log 파일 열어보니 아래 내용의 -p다음 부분(4wfwhNfbF9yIikdn7YxcKvrDKXXZTpNQ)7zip암호였습니다.

 

 

 

a -mx=0 -sdel -p4wfwhNfbF9yIikdn7YxcKvrDKXXZTpNQ /share/.....이하 생략

 

 

 

위에 뉴스링크 댓글에서 이 방법으로 비밀번호를 찾은 사람도 있고 로그파일이 비어있다고 하는 사람도 있으니 아래 유튜브 링크를 보시고 시도해보시기 바랍니다. 저는 리눅스 명령어로 qnap파일스테이션으로 접속할 수 있는 폴더로 7z.log를 복사해서 파일스테이션으로 열어서 확인했습니다.

 

https://youtu.be/aq_cIdY_ksQ

 

 

---- 추가 ----

 

구글에서 검색해보니 이미 암호화가 완료되면 해커들이 7z.log를 통해 암호를 찾을 수 있다는 것을 알고 스트립트를 수정한 것 같다는 내용들이 있었습니다.

비트코인을 주었지만 잘못된 암호를 제공하여 복원할 수 없었다는 내용들도 다수 보입니다.

 

그런데 아래 링크의 댓글 중에 지워진 파일을 복원하여 7z.log에서 암호를 찾아내는 방법을 포스팅했습니다. 방법이 상당히 어렵지만 능력자분들은 시도해볼만한 것 같습니다. 혹시 성공하신분은 댓글로 알려주시면 좋을 것 같습니다.

 

Qlocker (QNAP NAS) Ransomware encrypting with extension .7z (!!!READ_ME.txt) - Page 22 - Ransomware Help & Tech Support (bleepingcomputer.com)

 

 

msolav, on 23 Apr 2021 - 12:33 AM, said:Quote snapback image

 

mai2vin, on 22 Apr 2021 - 11:55 PM, said:Quote snapback image

It is working fine. The perpetrator has archived the files to 7z. So the source file is deleted and will be compressed to the 7z archive. Because of that, the tool has the possibility to restore the files from the sectors.
Here you can see my progress. The files and pictures are there without any problems.

 

https://imgur.com/oSqmfyl

 

mai2vin, this could save a lot of people if it can be a method everyone is able to apply.

Could you explain how you specifically achieved this? I'm a bit stuck at:

1. mounting the network as a local disk

2. using TestDisk to actually scan the specific .7z files (or any other method to retrieve the lost data).

 

 

My Steps:

 

FIRST: NO WRITING/CHANGE/DELETE/CRTEATE FILES AFTER ENCRYPTION ATTACK

 

 

 

MAKE SURE THE NAS IS NOT AVAILABLE IN THE INTERNET, DELETE ALL EXPOSED HOST RULES ON YOUR ROUTER

 

The files are deleted after archiving and encrypting with 7z and exists in the not allocated space of your disk.

You need to have access the ssh terminal of your QNAP NAS (you can activate it over the GUI it doesn't change your data)

 

1. Create a samba share on your windows computer (yes it should be work on linux or macOS but I didn't tried it)

HowTo: https://pureinfotech.com/setup-network-file-sharing-windows-10/

You should use your Windows Account with a password (if your account haven't one, create it. You can delete it after recovering)

 

2. Login over SSH (Putty on Widows) on your NAS. You should use ypur admin credentials to login.

 

3. After Login you get an screen with some option. You didn't need it ant press only 'Q'. (Confirm it with 'Y') You should get a shell.

 

4. Connect to your samba share:

mkdir /mnt/rescue-share
sudo mount -t  cifs -o user=<USERNAMEOFREMOTECOMPUTER>//XXX.XXX.XXX.XXX/<NAMEOFYOURSHARE> /mnt/rescue-share
cd /mnt/rescue-share

5. look for your architecture (uname -a) for i386 or x86_64

Linux NAS-XXXX 4.14.24-qnap #1 SMP Tue Mar 2 06:10:10 CST 2021 x86_64 GNU/Linux

6. Download testdisk

i386: wget https://www.cgsecurity.org/testdisk-7.2-WIP.linux26.tar.bz2 -O testdisk.tar.bz2
x86_64: wget https://www.cgsecurity.org/testdisk-7.2-WIP.linux26-x86_64.tar.bz2 -O testdisk.tar.bz2

7. Untar testdisk, go to the directory and change the permissions of the executable

tar -xvf testdisk.tar.bz2
cd testdisk*
chmod +x ./photorec_static

8. Search for your volume. At me it was '/dev/mapper/cachedev1' (You can use df -h for it) and note it

FilesystemSizeUsedAvailableUse%Mounted on
none                    300.0M272.7M27.3M91%/
devtmpfs                938.4M8.0K938.4M0%/dev
tmpfs                    64.0M3.1M60.9M5%/tmp
tmpfs                   949.7M156.0K949.6M0%/dev/shm
tmpfs                    16.0M016.0M0%/share
/dev/mmcblk0p5            7.7M46.0K7.7M1%/mnt/boot_config
tmpfs                    16.0M016.0M0%/mnt/snapshot/export/dev/md9                493.5M140.1M353.4M28%/mnt/HDA_ROOT
cgroup_root             949.7M0949.7M0%/sys/fs/cgroup
/dev/mapper/cachedev1
                        898.3G573.5G324.3G64%/share/CACHEDEV1_DATA
/dev/md13               417.0M387.7M29.3M93%/mnt/ext
tmpfs                    48.0M72.0K47.9M0%/share/CACHEDEV1_DATA/.samba/lock/msg.lock
tmpfs                    16.0M016.0M0%/mnt/ext/opt/samba/private/msg.sock
//XXX.XXX.XXX.XXX/share1.8T104.7G1.7T6%/mnt/samba_spar_abo_share

9. open photorec_static with 'sudo ./photorec_static'
 

10. choose the /dev/mapper/cachedev1 disk (it should be the disk from step 8)

11. choose the ext2/3/4 partition

12. choose ext2/ext3 option
13. choose FREE option

14. chosse the directory you want on the share (if you follow exactly the steps, you only need to select once '..' and after it press c)

 

15. wait and the files would be recover in folders named 'recup_dir.X' on the share

 

16. sort the results (HAVE FUN xD)

 

Big thanks to the guys of received.eu and Tobias Vorwachs (https://twitter.com/tobias_vorwachs) for the help!

 

본 게시글은 작성자에 의해 2021-04-25 03:03:01에 최종 수정되었습니다. (4회)


추천 0

다른 의견 0

다른의견 0 추천 0 vitive
2021-04-24

다른의견 0 추천 0 은경이남푠
2021-04-24

다른의견 0 추천 0 꼬마750
2021-04-25

다른의견 0 추천 0 그파::
2021-04-24

다른의견 0 추천 0 사필귀정
2021-04-25 *

다른의견 0 추천 0 끝까지뽑자
2021-04-25

다른의견 0 추천 0 은경이남푠
2021-04-25

다른의견 0 추천 0 그파::
2021-04-25

다른의견 0 추천 0 츠카사1111
2021-04-27 *

다른의견 0 추천 0 88꿈나무
2021-05-28 *
  • 욕설, 상처를 줄 수 있는 댓글은 삼가주세요.
이모티콘 사진  익명요구    다른의견   
△ 이전글▽ 다음글 -목록보기