示範攻擊手法:
recovery 方法:
未重開機與系統持續加密時處理方法
2021-04-23 更新:
昨晚 Malware Remover 已經更新,可行的話,他會自動取得加密 Key 及砍掉加密程式。
如有發現 QLocker 加密病毒,會出現
「Detected abnormal system files. Contact QNAP support immediately.」
QNAP NAS 最近中了 7z 加密病毒的
- 不要重新開機;重新開機過可以直接放棄
- SSH 登入進去
- 使用以下 command 檢查加密是否進行中;如果不是進行中,可以直接放棄
ps | grep 7z - 如果加密進行中,請輸入以下 command
cd /usr/local/sbin; printf '#!/bin/sh \necho \(@\necho \)@>>/mnt/HDA_ROOT/7z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z; - 等待10秒,輸入以下 command
cat /mnt/HDA_ROOT/7z.log
得出
a -mx=0 -sdel -pmFyBIvp55M46kSxxxxxYv4EIhx7rlTD [FOLDER PATH]
「mFyBIvp55M46kSxxxxxYv4EIhx7rlTD」就是加密的密碼 - 重新開機,自行解壓
付錢後,解密檔案:
檔案使用說明 https://youtu.be/-e43DFQu0gY
檔案下載網頁連結 https://www.ku88.xyz/?p=1142
至於如何預防中毒
至於為什麼會中毒,或者說要如何預防中毒,這就得回到人性說起,所謂知此知彼百戰百勝。先從暸解駭客是怎樣入侵你的系統,首先,除非你是所謂的鎖定攻擊(target attack)就是駭客已經確認要攻擊的目標是妳,不然先決步驟就是先找到攻擊的目標,就是所謂的xx scan, 從你用的系統,軟體等等下手,再去搜尋相對應的漏洞,所以簡單的更改常用的port number 跟常見的帳號等等就是很簡單卻很重要的方式,另外在資安防護中很重要的一點就是所謂的最小權限,不要給太大的系統權限。甚至最少曝露在網路中也是很重要的,例如你裝一台很簡單沒太多重要的機器當跳板。一定要透過這台機器才能跳到內部其他伺服器。這樣假使這台電腦不小心被攻破。也不一定會馬上連結到你重要的伺服器