Hvordan gjenopprette Qlocker 7z-nøkkel på berørt QNAP NAS

Dessverre er det foreløpig ikke kjent hvordan man får tak i dekrypteringsnøkkelen for denne løsepenger som har påvirket QNAP NAS hvis de allerede har blitt fullstendig kryptert, bortsett fra å følge instruksjonene og betale 0.01 bitcoin til nettkriminelle som har gjort dette. Hvis du for tiden blir utsatt for filkryptering, kan du ha muligheten til å gjenopprette denne brukte krypterings- / dekrypteringsnøkkelen.

Hvordan fungerer Qlocker-filkryptering?

Krypteringen av filene på NAS-serveren har blitt gjort gjennom 7z-verktøyet som er installert som standard på QNAP NAS-serveren, en populær kjent programvare som lar oss komprimere og dekomprimere både filer og mapper, denne programvaren lar oss også kryptere innholdet i filene med et passord, som med hvilket som helst Linux or Windows-basert operativsystem. Det nettkriminelle har gjort er å skanne alle volumene på NAS og kryptere filene som er inne i de forskjellige mappene.

De har også hatt ansvaret for å slette øyeblikksbilder eller “øyeblikksbilder” som vi hadde konfigurert, øyeblikksbildene er fortsatt der, men de er helt tomme. Foreløpig er det foreløpig ikke kjent hvordan informasjonen kan gjenopprettes ved hjelp av disse "øyeblikksbilder". Det er mulig at visse data og metadata fra disse slettede øyeblikksbildene kan gjenopprettes, ettersom de er blokkbaserte og bør kunne gjenopprettes.

Hvis du ikke har blitt berørt av denne løseprogrammet, er vår anbefaling at du oppdaterer NAS til den nyeste versjonen av operativsystemet, oppdaterer alle applikasjoner og følger denne komplett guide for å beskytte QNAP NAS .

Hvordan gjenopprette dekrypteringsnøkkel fra Qlocker-filer

Det er for øyeblikket to metoder for å gjenopprette dekrypteringsnøkkelen, men det fungerer bare hvis ransomware fungerer med en gang. Hvis du allerede har blitt rammet av løsepenger, vil ikke disse metodene hjelpe deg.

Metode 1

1. Vi kobler med SSH til NAS-serveren som administrator, klikker på “Q” og deretter på “Y” for å gå inn i konsollen uten veiviseren.
2. Vi utfører kommandoen «ps | grep 7z ». Hvis det ikke er noen prosess som kjører, eller vi har startet NAS på nytt, dårlige nyheter, vil vi ikke kunne gjenopprette nøkkelen.
3. Hvis 7z for øyeblikket fungerer, må vi utføre følgende kommando: cd / usr / local / sbin; printf '#! / bin / sh necho $ @ necho $ @ >> / mnt / HDA_ROOT / 7z.lognsleep 60000 '> 7z.sh; chmod + x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;
4. Når vi er utført, venter vi noen minutter og utfører følgende kommando: cat /mnt/HDA_ROOT/7z.log
5. I denne loggen kan vi se et innhold som ligner på dette: a -mx = 0 -sdel -p mFyBIvp55M46kSxxxxxYv4EIhx7rlTD [STI]
6. Denne nøkkelen med fet skrift er passordet som informasjonen blir kryptert med, og også som nøkkelen må dekrypteres med.

Metode 2

1. Vi installerer Malware Remover-programmet fra App Center og skanner datamaskinen vår.
2. Vi kobler med SSH til NAS-serveren som administrator, klikker på “Q” og deretter på “Y” for å gå inn i konsollen uten veiviseren.
3. Vi utfører følgende kommando: cp `getcfg MalwareRemover Install_Path -f /etc/config/qpkg.conf`/7z.log / share / Public
4. Hvis konsollen returnerer en "Ingen slik fil eller katalog" -melding, betyr det at vi ikke kan gjøre noe, NAS har startet på nytt eller datakrypteringsprosessen er ferdig.
5. Hvis det ikke returnerer en feil, kjører vi: cat /share/Public/7z.log. Og vi får nøkkelen i samme format som før: a -mx = 0 -sdel -p mFyBIvp55M46kSxxxxxYv4EIhx7rlTD [STI]

Vi insisterer på at disse to metodene bare fungerer hvis ransomware fungerer, og hvis vi ikke har startet NAS på nytt i prosessen, ellers er det ennå ikke kjent hvordan du gjenoppretter de berørte filene. Sikkert hvis du hadde konfigurert øyeblikksbilder eller øyeblikksbilder, kan informasjonen gjenopprettes, men denne løsepenger har også "tømt" disse øyeblikksbildene som ble opprettet.