عانى جميع عملاء خوادم NAS الخاصة بالشركة المصنعة QNAP خلال الأسبوع الماضي من هجوم فدية موجه بشكل خاص إلى خوادمهم ، مستغلين نقاط ضعف مختلفة كانت موجودة في برامج مختلفة للشركة. تم حاليًا حل هذه الثغرات الأمنية بالفعل ، ولكن من الضروري تحديث كل من نظام التشغيل QuTS إلى أحدث إصدار ، بالإضافة إلى جميع التطبيقات المثبتة على NAS لديك من خلال مركز التطبيقات. سنعلمك اليوم في هذه المقالة كيفية استرداد مفتاح فك التشفير ، طالما أنك حاليًا ضحية لبرامج الفدية.
لسوء الحظ ، لم يُعرف بعد كيفية الحصول على مفتاح فك التشفير لبرامج الفدية هذه التي أثرت على QNAP NAS إذا تم بالفعل تشفيرها بالكامل ، باستثناء اتباع التعليمات ودفع 0.01 بيتكوين لمجرمي الإنترنت الذين فعلوا ذلك. إذا كنت ضحية حاليًا لتشفير الملفات ، فقد يكون لديك إمكانية استعادة مفتاح التشفير / فك التشفير المستخدم.
كيف يعمل تشفير ملفات Qlocker؟
تم تشفير الملفات الموجودة على خادم NAS من خلال الأداة المساعدة 7z المثبتة بشكل افتراضي على خادم QNAP NAS ، وهو برنامج مشهور يسمح لنا بضغط وفك ضغط كل من الملفات والمجلدات ، كما يتيح لنا هذا البرنامج تشفير محتويات الملفات ذات رمز المرور ، كما هو الحال مع أي ملف لينكس or Windows- نظام التشغيل المعتمد. ما فعله مجرمو الإنترنت هو فحص جميع وحدات التخزين على NAS وتشفير الملفات الموجودة داخل المجلدات المختلفة.
لقد كانوا أيضًا مسؤولين عن حذف اللقطات أو "اللقطات" التي قمنا بتكوينها ، وما زالت اللقطات موجودة ، لكنها فارغة تمامًا. في الوقت الحالي ، لم يُعرف بعد كيف يمكن استرداد المعلومات باستخدام هذه "اللقطات" ، فمن الممكن استرداد بعض البيانات والبيانات الوصفية من هذه اللقطات المحذوفة ، لأنها تستند إلى الكتلة ، ويجب أن تكون قابلة للاسترداد.
إذا لم تتأثر ببرنامج الفدية هذا ، فإن توصيتنا هي أن تقوم بتحديث NAS إلى أحدث إصدار من نظام التشغيل ، وتحديث جميع التطبيقات ، واتباع هذا الدليل الكامل لحماية QNAP NAS .
كيفية استرداد مفتاح فك التشفير من ملفات Qlocker
توجد حاليًا طريقتان لاسترداد مفتاح فك التشفير ، ولكنها تعمل فقط إذا كان برنامج الفدية يعمل على الفور. إذا كنت قد تأثرت بالفعل ببرنامج الفدية ، فلن تساعدك هذه الطرق.
طريقة 1
- نقوم بتوصيل SSH بخادم NAS كمسؤول ، انقر فوق "Q" ثم على "Y" للدخول إلى وحدة التحكم بدون المعالج.
- نقوم بتنفيذ الأمر «ps | grep 7z ». إذا لم تكن هناك عملية قيد التشغيل ، أو أعدنا تشغيل NAS ، فهذه أخبار سيئة ، فلن نتمكن من استعادة المفتاح.
- إذا كان 7z يعمل حاليًا ، فيجب علينا تنفيذ الأمر التالي: cd / usr / local / sbin؛ printf '#! / bin / sh necho $ @ necho $ @ >> / mnt / HDA_ROOT / 7z.lognsleep 60000 '> 7z.sh ؛ chmod + x 7z.sh ؛ mv 7z 7z.bak ؛ mv 7z.sh 7z ؛
- بمجرد التنفيذ ، ننتظر بضع دقائق وننفذ الأمر التالي: cat /mnt/HDA_ROOT/7z.log
- في هذا السجل ، يمكننا رؤية محتوى مشابه لهذا: a -mx = 0 -sdel -p mFyBIvp55M46kSxxxxxxYv4EIhx7rlTD [طريق]
- هذا المفتاح المكتوب بالخط العريض هو كلمة المرور التي يتم بها تشفير المعلومات وأيضًا التي يجب فك تشفير المفتاح بها.
طريقة 2
- نقوم بتثبيت برنامج Malware Remover من مركز التطبيقات وفحص جهاز الكمبيوتر الخاص بنا.
- نقوم بتوصيل SSH بخادم NAS كمسؤول ، انقر فوق "Q" ثم على "Y" للدخول إلى وحدة التحكم بدون المعالج.
- نقوم بتنفيذ الأمر التالي: cp `getcfg MalwareRemover Install_Path -f /etc/config/qpkg.conf`/7z.log / share / Public
- إذا قامت وحدة التحكم بإرجاع رسالة "لا يوجد مثل هذا الملف أو الدليل" ، فهذا يعني أنه لا يمكننا فعل أي شيء ، أو تم إعادة تشغيل NAS أو انتهت عملية تشفير البيانات.
- إذا لم يُرجع خطأ ، فسنقوم بتشغيل: cat /share/Public/7z.log. وسوف نحصل على المفتاح بنفس التنسيق السابق: a -mx = 0 -sdel -p mFyBIvp55M46kSxxxxxxYv4EIhx7rlTD [طريق]
نحن نصر على أن هاتين الطريقتين تعملان فقط إذا كان برنامج الفدية يعمل ، وإذا لم نقم بإعادة تشغيل NAS في هذه العملية ، وإلا فليس معروفًا بعد كيفية استرداد الملفات المتأثرة. بالتأكيد إذا كان لديك لقطات أو لقطات مهيأة ، يمكن استعادة المعلومات ، ولكن برنامج الفدية هذا قد "أفرغ" هذه اللقطات التي تم إنشاؤها.
