QRescue    回應 Qlocker 事件    Q&A

 

 

針對 Qlocker 勒索病毒的說明

近期 Qlocker 勒索病毒極具針對性地襲擊 QNAP NAS,對用戶造成恐慌與困擾。我們理解資料遭受加密的痛苦,並對於此次惡意攻擊造成的損失深表遺憾。及時修補漏洞並完整揭露資訊,我們責無旁貸。我們將持續深化資安防護功能,並提供更完整而便捷的安全設定操作。期望您與我們一起提升資安防護層級,共同阻絕惡意攻擊。

事件說明

2021 年 4 月 16 日,QNAP 發布了 Hybrid Backup Sync 應用程式 (HBS;混合型備份與同步中心) 的更新版本 (16.0.0415),目的為追加新功能並解決 QNAP 資安通報 QSA-21-13 中所述的安全議題。4 月 21 日,我們開始收到使用者回報,稱可能受到勒索病毒攻擊。隨後,經我們調查後證實,此次 Qlocker 勒索病毒乃針對 QNAP NAS 使用者而來,利用了 HBS 此 App 內甫修補的軟體弱點,對直接連線至網際網路,且尚未安裝 HBS 更新版本的 QNAP NAS 發起惡意攻擊。

Qlocker 攻擊者開採了一個 HBS 內已修補的弱點,該弱點可讓惡意軟體取得不當 NAS 權限。攻擊者入侵 QNAP NAS 後,會植入惡意程式,並以最高權限刪除儲存池內的所有快照,更以 QTS 內建的 7-Zip 軟體,對 NAS 裡的檔案進行加密壓縮。Qlocker 在攻擊後會留下勒索訊息及付款資訊,並移除自身的惡意程式碼,增加我們追溯的難度。

基於上述特性,我們在接獲使用者通報攻擊事件後,第一時間便於 QNAP NAS 的惡意軟體偵測程式 Malware Remover 中新增相關規則,來檢知及阻擋 Qlocker 的活動,並嘗試透過特定手法,在加密壓縮進行中攔截攻擊者所使用的密碼。

隨後,我們在 4 月 22 日發布新聞稿,優先呼籲用戶儘速安裝近期所發布的所有更新,阻絕攻擊者可能利用的所有管道。而在證實 Qlocker 開採 HBS 漏洞後,我們也繼續增修 Malware Remover 規則,為尚未安裝 HBS 更新的 QNAP NAS 優先隔離弱點所在的程式碼。

感染症狀

  • 尚未發作
    1. 感染 Qlocker 但尚未發作的 QNAP NAS 沒有任何異狀。
  • 加密壓縮進行中
    1. 在 Qlocker 發作中 (加密壓縮進行中) 的 QNAP NAS 上,使用者會觀察到其檔案副檔名逐一變成 .7z,或在 QTS 內的 Resource Monitor 中觀察到 7z 這個程序佔用異常大量的系統資源。
  • 已完全加密
    1. 在 Qlocker 發作結束 (加密壓縮已停止) 的 QNAP NAS 上,使用者會觀察到其檔案副檔名均變成 .7z,且資料夾中留有攻擊者的勒索訊息及贖金付款指示 (純文字檔案)。

與 Qlocker 相關的資安措施紀錄 

  • 2021 年 3 月 19 日
    1. 接獲 ZUSO ART 提交的 HBS 弱點通報。 
  • 2021 年 4 月 16 日
    1. 發布當前版本之 HBS 的弱點修正版本,為了保護尚未更新的使用者,降低過早揭露引起攻擊的風險,我們調整了資安通報的發布時間點。
  • 2021 年 4 月 21 日
    1. 我們開始接獲使用者通報加密勒索事件,並立即啟動調查。
  • 2021 年 4 月 22 日
    1. 第一次針對 Qlocker 發布 Malware Remover 偵測規則阻止加密壓縮,並在 QNAP 網站發布新聞稿及對應資安通報。
  • 2021 年 4 月 23 日至 25 日
    1. 全球各地 QNAP 技術服務單位持續協助受影響使用者,檢測並排除 Qlocker 的影響及提供一切可行的協助。
  • 2021 年 4 月 26 日
    1. 第二次針對 Qlocker 發布 Malware Remover 偵測規則,為尚未安裝 HBS 更新的 QNAP NAS 優先隔離弱點所在的程式碼。

Malware Remover 掃描功能

  • 在感染 Qlocker 但尚未發作的 QAP NAS 上執行 Malware Remover 掃描,會清除 Qlocker 惡意程式碼。如果這部 QNAP NAS 上的 HBS 應用程式尚未更新到修補後的版本,Malware Remover 會一併移除該 App 內存在弱點的程式碼。
  • 在 Qlocker 發作中 (加密壓縮進行中) 的 QNAP NAS 上執行 Malware Remover 掃描,會中止加密壓縮,並嘗試擷取攻擊者所使用的加密密碼。如果這部 QNAP NAS 上的 HBS 應用程式尚未更新到修補後的版本,Malware Remover 會一併移除該 App 內存在弱點的程式碼。
  • 在 Qlocker 發作結束 (加密壓縮已停止) 的 QNAP NAS 上執行 Malware Remover 掃描,如果這部 QNAP NAS 上的 HBS 應用程式尚未更新到修補後的版本,Malware Remover 會移除該 App 內存在弱點的程式碼。

針對 Malware Remover 所進行的動作,QNAP NAS 的系統事件記錄中均會留下相關記錄。

使用者對於 Qlocker 應採取的行動

對於所有使用者,我們均強烈建議立即在 QNAP NAS 連接網際網路的情況下手動進行 Malware Remover 掃描。Malware Remover 會自動更新其掃描規則到最新版本,並偵測 QNAP NAS 是否受到 Qlocker 勒索病毒及舊版 HBS 弱點的影響。

但請注意,QNAP NAS 連接網際網路的方式,亦對系統安全性有所影響。若要安全地進行,請參考下列一般建議事項的說明。

此外,

  • 加密壓縮進行中或已完全加密
    1. 如果您的 QNAP NAS 受到 Qlocker 影響,不論加密壓縮是否進行中,請勿將 NAS 關機或重啟,也不要更新 NAS 作業系統。請在進行上述 Malware Remover 掃描後,儘速聯繫 QNAP 技術支援部門尋求協助。我們將查看您的 QNAP NAS,判斷是否能取回您的資料;
  • 尚未發作
    1. 如果 Malware Remover 在您的 QNAP NAS 偵測到 Qlocker 並加以清除,但您的檔案未被加密,請立即採取列於一般建議事項的措施,強化 QNAP NAS 安全性;
  • 未受感染
    1. 如果 Malware Remover 未在您的 QNAP NAS 偵測到 Qlocker,您仍應採取下列一般建議事項的措施,強化 QNAP NAS 安全性。

資安一般建議事項

若使用者要從網際網路 (外網) 連接到位於區域網路 (家中或辦公室) 的 QNAP NAS,我們建議啟用 QNAP 免費提供的 myQNAPcloud Link 服務。myQNAPcloud Link 不需繁複的網路設定,即可快速啟用連線,供您安全取用資料。對於進階使用者,我們強烈建議不要直接將 QNAP NAS 連接到網際網路,避免遭到攻擊者直接利用。我們建議啟用路由器或分享器的 VPN 伺服器功能,透過 VPN 連入內網,再存取 QNAP NAS,提高攻擊難度與安全性。關於相關說明及建議設定,請參閱 QNAP Blog 文章:https://blog.qnap.com/zh/nas-internet-connect-zh/

除了 QNAP 隨時釋出資安更新修補外,使用者也可採取一系列的措施,進一步強化 QNAP NAS 安全性,讓攻擊者難以入侵。這些措施包括:

  • 啟用自動更新設定,或自行定期檢查作業系統及 App 相關更新
  • 參考 3-2-1 備份策略,為 QNAP NAS 上所存資料進行備份。
    1. 請注意,如果資料僅儲存一份在 QNAP NAS,即使您已啟用 RAID 及快照等資料保護功能,亦無法提供完整保護。RAID 只能保護硬碟意外故障的情況,而快照可在電腦端中毒時保護 NAS 內的資料。適當備份您存在 NAS 的資料,或再次備份您存在 NAS 的備份檔,才能提供更全面的保護。
  • 請參照此篇 QNAP Blog 文章後半部的安全設定建議,提高 NAS 安全性並增加惡意人士攻擊難度:https://blog.qnap.com/zh/nas-internet-connect-zh/
  • 註冊 QNAP ID 並訂閱我們的資安通報,可即時收到我們發布的資安更新訊息:https://account.qnap.com/ 

特別感謝

QNAP 感謝同樣位於台灣的資安公司 ZUSO 如梭世代通報弱點,並協助 IR 事件調查,共同打擊網路攻擊。後續 QNAP 仍將持續與 ZUSO 如梭世代及其他資安研究團隊合作,提升全系列產品的安全防護。