Hur man återställer Qlocker 7z-nyckel på påverkad QNAP NAS

Tyvärr är det ännu inte känt hur man hämtar dekrypteringsnyckeln för denna ransomware som har påverkat QNAP NAS om de redan har krypterats helt, förutom att följa instruktionerna och betala 0.01 bitcoin till de cyberbrottslingar som har gjort detta. Om du för närvarande utsätts för filkryptering kan du ha möjlighet att återställa den använda krypterings- / dekrypteringsnyckeln.

Hur fungerar Qlocker-filkryptering?

Krypteringen av filerna på NAS-servern har gjorts via 7z-verktyget som är installerat som standard på QNAP NAS-servern, en populärt känd programvara som gör att vi kan komprimera och dekomprimera både filer och mappar, denna programvara låter oss också kryptera innehållet i filerna med ett lösenord, som med alla Linux or Windows-baserat operativsystem. Vad cyberbrottslingar har gjort är att skanna alla volymer på NAS och kryptera filerna som finns i de olika mapparna.

De har också varit ansvariga för att radera ögonblicksbilder eller ”ögonblicksbilder” som vi hade konfigurerat, ögonblicksbilderna finns kvar, men de är helt tomma. För närvarande är det ännu inte känt hur informationen kan återställas med dessa "ögonblicksbilder", det är möjligt att vissa data och metadata från dessa raderade ögonblicksbilder kan återställas, eftersom de är blockbaserade och bör kunna återställas.

Om du inte har påverkats av denna ransomware rekommenderar vi att du uppdaterar NAS till den senaste versionen av operativsystemet, uppdaterar alla applikationer och följer detta komplett guide för att skydda QNAP NAS .

Hur man återställer dekrypteringsnyckel från Qlocker-filer

Det finns för närvarande två metoder för att återställa dekrypteringsnyckeln, men det fungerar bara om ransomware agerar direkt. Om du redan har påverkats av ransomware hjälper dessa metoder dig inte.

Förfarande 1

1. Vi ansluter via SSH till NAS-servern som administratör, klickar på "Q" och sedan på "Y" för att komma in i konsolen utan guiden.
2. Vi utför kommandot «ps | grep 7z ». Om det inte går någon process, eller om vi har startat om NAS, dåliga nyheter, kommer vi inte att kunna återställa nyckeln.
3. Om 7z för närvarande fungerar måste vi utföra följande kommando: cd / usr / local / sbin; printf '#! / bin / sh necho $ @ necho $ @ >> / mnt / HDA_ROOT / 7z.lognsleep 60000 '> 7z.sh; chmod + x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;
4. När vi har kört väntar vi några minuter och kör följande kommando: cat /mnt/HDA_ROOT/7z.log
5. I den här loggen kan vi se ett liknande innehåll: a -mx = 0 -sdel -p mFyBIvp55M46kSxxxxxYv4EIhx7rlTD [VÄG]
6. Den här nyckeln i fetstil är lösenordet som informationen krypteras med och som nyckeln måste dekrypteras med.

Förfarande 2

1. Vi installerar Malware Remover-programmet från App Center och skannar vår dator.
2. Vi ansluter via SSH till NAS-servern som administratör, klickar på "Q" och sedan på "Y" för att komma in i konsolen utan guiden.
3. Vi kör följande kommando: cp `getcfg MalwareRemover Install_Path -f /etc/config/qpkg.conf`/7z.log / share / Public
4. Om konsolen returnerar ett meddelande ”Ingen sådan fil eller katalog” betyder det att vi inte kan göra någonting, NAS har startat om eller datakrypteringsprocessen är klar.
5. Om det inte returnerar ett fel kör vi: cat /share/Public/7z.log. Och vi får nyckeln i samma format som tidigare: a -mx = 0 -sdel -p mFyBIvp55M46kSxxxxxYv4EIhx7rlTD [VÄG]

Vi insisterar på att dessa två metoder bara fungerar om ransomware fungerar, och om vi inte har startat om NAS i processen, annars är det ännu inte känt hur man återställer de drabbade filerna. Visst om du hade konfigurerat snapshots eller snapshots kan informationen återställas, men den här ransomware har också "tömt" dessa snapshots skapade.