吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 4825|回复: 9
收起左侧

威联通被入侵,勒索病毒并加密,求助大佬

[复制链接]
wswk_et 发表于 2021-4-25 11:18
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
IMG_2539.PNG IMG_2540.PNG
威联通被入侵,家人珍贵的照片被加密,家里网络开了公网IP,做了端口映射,且设备连接日志已经被删掉,联系威联通技术说希望渺茫,现来论坛求助大佬能否破解?提供几个已经加密文档供大佬试试。
样本地址:https://wwa.lanzouj.com/b0a9tahij
密码:dup7

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

风之暇想 发表于 2021-4-25 12:43
威联通NAS遭勒索软件Qlocker攻击,疑似始修补的重大漏洞惹祸
https://www.163.com/dy/article/G8BONFTL05481Z39.html

多备份才是王道
JuncoJet 发表于 2021-4-25 13:12
威联通如果映射了远程WEB管理的话可能会被破壳漏洞攻击,导致获取SHELL权限
建议网盘之类的纯内网使用,被勒索的自认倒霉吧,本身Linux勒索病毒比较罕见杀软公司不会为小众服务的
而且看样子是被7z加密压缩的,把硬盘拆出来去数据恢复中心恢复数据吧
JuncoJet 发表于 2021-4-25 13:16
不过既然是7z加密的,那可以断定是依赖7z命令来加密,histroy中说不定会记录到命令
就算没有的话,grep -ir 全盘搜索包含7z命令的脚本,也是有一定记录找出来的
列明 发表于 2021-4-25 14:12
剛下載了文件,
在擔心會不會通過這兩個文件再感染了我的電腦!
害怕.jpg.7z
horse5700 发表于 2021-5-26 19:29
这说明方便自己也方便了他人。
edelweiss92 发表于 2021-5-27 08:54
想问下楼主安全方面的设置,也警示其他用户
1.admin账户是否过于简单?
2.映射了哪些端口? 公网访问的途径有哪些?
3.公网ip是静态的还是动态的?

我个人打算弄个防火墙禁止墙外ip访问或者只允许我所在城市的ip访问
edelweiss92 发表于 2021-5-27 09:21
如今随着消费者使用的数字设备,例如手机和单反微单相机产生的数据体量越来越大,网盘业务纷纷倒闭,家用NAS市场正处于快速增长阶段。但是,近来随着多名主播数据被锁,表明黑客已经将黑手伸向了“高价值”的NAS设备。

上周,中国台湾NAS硬件供应商威联通(QNAP)敦促客户更新其NAS设备的固件和应用程序,以避免感染名为AgeLocker的新型勒索软件。

自今年6月首次攻击勒索受害者以来,AgeLocker勒索软件一直处于活跃状态。

该勒索软件因使用“Actually Good Encryption”(AGE)算法来加密文件而被命名为AgeLocker。AGE加密算法被认为是加密安全的,这意味着如果不支付赎金要求就无法恢复加密文件。

目前来说,一旦NAS被AgeLocker“搞定”,用户要想恢复数据就只能支付赎金。因此,用户应特别注意保护威联通NAS设备的安全。

威联通(QNAP)上周表示,它确定了AgeLocker如何获得QNAP设备访问权限的两个来源。第一个是QNAP设备固件(称为 QTS),而第二个是预装在最新QNAP系统(称为PhotoStation)中的默认应用程序之一 。

威联通在博客中说:“初步调查显示,QTS目前未发现未修补的漏洞。所有受[AgeLocker]影响的NAS运行的是未修补的旧QTS版本 。”

该公司还在9月25日的警报中说:“QNAP产品安全事件响应小组(PSIRT)已经发现了勒索软件可能攻击Photo Station早期版本的证据 。”

已知PhotoStation应用程序的旧版本包含安全漏洞。

上述两个发现是威联通建议用户 同时更新QTS和PhotoStation应用程序的原因。

威联通表示:“威联通再次敦促用户定期检查并安装产品软件更新,以使他们的设备远离恶意影响。”

这与威联通在今年早些时候向NAS所有者提供的建议相同,当时威联通的NAS设备受到另一种勒索软件病毒eCh0raix的攻击。
edelweiss92 发表于 2021-5-27 09:23
针对QNAP(威联通)NAS设备的勒索软件攻击已经持续数日,在最新一波攻击中,攻击者利用已修复漏洞,用7-Zip开源文件工具锁定受害者的数据。

据安全研究人员劳伦斯·艾布拉姆斯(Lawrence Abrams)称,勒索软件团伙已在五天内“赚取”了26万美元,因为许多不幸的受害者决定支付0.01比特币(约550美元)的赎金,以获取解锁文件的密码。

威联通于4月16日宣布,他们已修复两个漏洞:

    CVE-2020-2509,QTS和QuTS hero中的命令注入漏洞;
    CVE-2020-36195,一个SQL注入漏洞,影响运行多媒体控制台或媒体流附加组件的QNAP NAS。

4月22日,威联通宣布他们还修复了一个不当授权漏洞CVE-2021-28799,该漏洞影响了运行HBS 3 Hybrid Backup Sync的QNAP NAS。

威联通认为Qlocker勒索软件团伙利用CVE-2020-36195(SQL注入漏洞)来访问联网NAS设备并锁定用户数据,但事实证明,是CVE-2021-28799不当授权漏洞。

无论是利用哪个漏洞,攻击者成功入侵了数以千计的消费者和中小型企业(SMB)的存储设备,并锁定数据。艾布拉姆斯(Abrams)估计,至少有500多名受害者支付了赎金。

安全研究员Jack Cable曾利用7-Zip中的漏洞,帮助大约50位受害者免密恢复了文件,省去了2.7万美元的赎金。但不幸的是,机会之窗并没有持续很长时间:勒索软件操作员似乎已修复了此问题。

建议那些尚未受到勒索软件攻击的威联通NAS用户尽快更新系统和补丁,关注威联通的安全公告(链接在文末)免遭勒索软件毒手。
edelweiss92 发表于 2021-5-27 10:14
if you are suffering from the encryption and the proces is still running you can still get the encryption key by running this command:

cd /usr/local/sbin; printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;
the encryption key would be stored in /mnt/HDA_ROOT/7z.log which you can then use to decrypt

hopes this helps !!!
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 16:10

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表