QRescue    Response to Qlocker    Q&A

 

 

针对 Qlocker 勒索病毒的说明

近期 Qlocker 勒索病毒针对性地攻击 QNAP NAS,给用户带来恐慌与困扰。我们理解数据遭受加密勒索的痛苦,并对于此次恶意攻击给用户造成的损失深表遗憾。及时修补漏洞并完整揭露病毒信息,我们责无旁贷。我们将持续优化资安防护功能,并提供更完整而便捷的安全设置操作。期望您与我们一起提升资安防护层级,共同阻绝恶意攻击。

事件说明

2021 年 4 月 16 日,QNAP 发布了 Hybrid Backup Sync 应用程序 (HBS;混合型备份与同步平台) 的更新版本 (16.0.0415),目的为追加新功能并解决 QNAP 资安通报 QSA-21-13 中所述的安全议题。4 月 21 日,我们开始收到用户反馈,称可能受到勒索病毒攻击。随后,经我们调查后证实,此次 Qlocker 勒索病毒是针对 QNAP NAS 用户而来,利用了 HBS 此 App 内已修补漏洞的软件弱点,对直接联机至因特网,且尚未安装 HBS 更新版本的 QNAP NAS 发起恶意攻击。

Qlocker 攻击者发现了一个 HBS 内已修补的弱点,该弱点可让恶意软件取得不当 NAS 权限。攻击者入侵 QNAP NAS 后,会植入恶意软件,并以最高权限删除存储池内的所有快照,更以 QTS 内置的 7-Zip 软件,对 NAS 里的文件进行加密压缩。Qlocker 在攻击后会留下勒索信息及付款信息,并移除自身的恶意代码,增加我们追溯的难度。

基于上述特性,我们在获得用户通报攻击事件后,立即在 QNAP NAS 的恶意软件检测程序 Malware Remover 中新增相关规则,来检知及阻挡 Qlocker 的活动,并尝试通过特定手段,在加密压缩进行的过程中拦截攻击者所使用的压缩密码。

随后,我们在 4 月 22 日发布新闻稿,呼吁用户尽快安装近期发布的所有更新,断绝攻击者可能利用的所有通道。而在证实 Qlocker 使用 HBS 漏洞后,我们也继续增修 Malware Remover 规则,为尚未安装 HBS 更新的 QNAP NAS 优先隔离弱点位置的程序代码。

感染症状

  • 尚未发作
    1. 感染 Qlocker 但尚未发作的 QNAP NAS 没有任何异状。
  • 加密压缩进行中
    1. 被 Qlocker 攻击中 (加密压缩进行中) 的 QNAP NAS 上,用户会观察到其文件扩展名逐一变成 .7z,或在 QTS 内的 Resource Monitor 中观察到 7z 这个程序异常占用大量的系统资源。
  • 已完全加密
    1. Qlocker 攻击结束 (加密压缩已停止) 的 QNAP NAS 上,用户会观察到其文件扩展名均变成 .7z,且文件夹中留有攻击者的勒索信息及赎金付款指示 (纯文本文件)。

与 Qlocker 相关的资安措施纪录

  • 2021 年 3 月 19 日
    1. 接获 ZUSO ART 提交的 HBS 弱点通报。
  • 2021 年 4 月 16 日
    1. 发布当前版本 HBS 的弱点修正版本,为了防止尚未更新的用户可能因我们过早揭露病毒而被进一步攻击,我们调整了资安通报的发布时间点。
  • 2021 年 4 月 21 日
    1. 我们开始接获用户通报加密勒索事件,并立即启动调查。
  • 2021 年 4 月 22 日
    1. 首次针对 Qlocker 发布 Malware Remover 检测规则阻止加密压缩,并在 QNAP 网站发布新闻稿及对应资安通报。
  • 2021 年 4 月 23 日至 25 日
    1. 全球各地 QNAP 技术服务单位持续协助受影响用户,检测并排除 Qlocker 的影响及提供一切可行的协助。
  • 2021 年 4 月 26 日
    1. 再次次针对 Qlocker 发布 Malware Remover 检测规则,为尚未安装 HBS 更新的 QNAP NAS 优先隔离弱点所在的程序代码。

Malware Remover 扫描功能

  • 在感染 Qlocker 但尚未进行攻击的 QAP NAS 上执行 Malware Remover 扫描,会清除 Qlocker 恶意代码。如果这台 QNAP NAS 上的 HBS 应用程序尚未更新到修补后的版本,Malware Remover 会一并移除该 App 内存在弱点的程序代码。
  • 在 Qlocker 攻击中 (加密压缩进行中) 的 QNAP NAS 上执行 Malware Remover 扫描,会中止加密压缩,并尝试抓取攻击者所使用的加密密码。如果这台 QNAP NAS 上的 HBS 应用程序尚未更新到修补后的版本,Malware Remover 会一并移除该 App 内存在弱点的程序代码。
  • 在 Qlocker 攻击结束 (加密压缩已停止) 的 QNAP NAS 上执行 Malware Remover 扫描,如果这台 QNAP NAS 上的 HBS 应用程序尚未更新到修补后的版本,Malware Remover 会移除该 App 内存在弱点的程序代码。

关于 Malware Remover 的相关操作,QNAP NAS 的系统事件记录中均会留下相关记录。

用户对于 Qlocker 应采取的行动

对于所有用户,我们均强烈建议立即在 QNAP NAS 连接因特网的情况下手动进行 Malware Remover 扫描。Malware Remover 会自动更新其扫描规则到新版本,并检测 QNAP NAS 是否受到 Qlocker 勒索病毒及旧版 HBS 弱点的影响。

但请注意,QNAP NAS 连接因特网的方式,也会对系统安全有所影响。若要安全进行,请参考下列一般建议事项的说明。

此外,

  • 加密压缩进行中或已完全加密
    1. 如果您的 QNAP NAS 受到 Qlocker 影响,不论加密压缩是否进行中,请勿将 NAS 关机或重启,也不要更新 NAS 操作系统。请在进行上述 Malware Remover 扫描后,尽快联系 QNAP 技术支持部门寻求协助。我们将查看您的 QNAP NAS,判断是否能取回您的资料;
  • 尚未发作
    1. 如果 Malware Remover 在您的 QNAP NAS 检测到 Qlocker 并加以清除,但您的文件未被加密,请立即采取列于一般建议事项的措施,强化 QNAP NAS 安全性;
  • 未受感染
    1. 如果 Malware Remover 未在您的 QNAP NAS 检测到 Qlocker,您仍应采取下列一般建议事项的措施,强化 QNAP NAS 安全性。

资安一般建议事项

若用户要从因特网 (外网) 连接到位于局域网络 (家中或办公室) 的 QNAP NAS,我们建议启用 QNAP 免费提供的 myQNAPcloud Link 服务。myQNAPcloud Link 不需繁复的网络设定,即可快速启用联机,供您安全取用数据。对于进阶用户,我们强烈建议不要直接将 QNAP NAS 连接到因特网,避免遭到攻击者直接利用。我们建议启用路由器或分享器的 VPN 服务器功能,通过 VPN 连入内网,再存取 QNAP NAS,提高攻击难度与安全性。关于相关说明及建议设置,请参阅 QNAP Blog 文章:https://blog.qnap.com/zh/nas-internet-connect-zh/

除了 QNAP 随时发布资安更新修补外,用户也可采取一系列的措施,进一步强化 QNAP NAS 安全性,让攻击者难以入侵。这些措施包括:

  • 启用自动更新,或自行定期检查操作系统及 App 相关更新
  • 参考 3-2-1 备份策略,对 QNAP NAS 上所存数据进行备份。
    1. 请注意,如果数据仅存储一份在 QNAP NAS,即使您已启用 RAID 及快照等数据保护功能,也无法提供完整保护。RAID 只能在硬盘意外故障的情况下发挥作用,而快照可在计算机端中毒时保护 NAS 内的数据。适当备份您存在 NAS 的数据,或再次备份您存在 NAS 的备份档,才能提供更严密的保护。
  • 请参照此篇 QNAP Blog 文章后半部的安全设置建议,提高 NAS 安全性并增加恶意人士攻击难度:https://blog.qnap.com/zh/nas-internet-connect-zh/
  • 注册 QNAP ID 并订阅我们的资安通报,可实时收到我们发布的资安更新信息:https://account.qnap.com/ 

特别感谢

QNAP 感谢同样位于台湾的资安公司 ZUSO 如梭世代通报弱点,并协助 IR 事件调查,共同打击网络攻击。后续 QNAP 仍将持续与 ZUSO 如梭世代及其他资安研究团队合作,提升全系列产品的安全防护。