2021年4月26日 星期一

QNap Nas 中了7z 系統後的追蹤與處理方法紀錄

示範攻擊手法:

recovery 方法:

未重開機與系統持續加密時處理方法

2021-04-23 更新:
昨晚 Malware Remover 已經更新,可行的話,他會自動取得加密 Key 及砍掉加密程式。
如有發現 QLocker 加密病毒,會出現

「Detected abnormal system files. Contact QNAP support immediately.」

QNAP NAS 最近中了 7z 加密病毒的

  1. 不要重新開機;重新開機過可以直接放棄
  2. SSH 登入進去
  3. 使用以下 command 檢查加密是否進行中;如果不是進行中,可以直接放棄
    ps | grep 7z
  4. 如果加密進行中,請輸入以下 command
    cd /usr/local/sbin; printf '#!/bin/sh \necho \(@\necho \)@>>/mnt/HDA_ROOT/7z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;
  5. 等待10秒,輸入以下 command
    cat /mnt/HDA_ROOT/7z.log
    得出
    a -mx=0 -sdel -pmFyBIvp55M46kSxxxxxYv4EIhx7rlTD [FOLDER PATH]
    「mFyBIvp55M46kSxxxxxYv4EIhx7rlTD」就是加密的密碼
  6. 重新開機,自行解壓

付錢後,解密檔案:

檔案使用說明 https://youtu.be/-e43DFQu0gY
檔案下載網頁連結 https://www.ku88.xyz/?p=1142

至於如何預防中毒

至於為什麼會中毒,或者說要如何預防中毒,這就得回到人性說起,所謂知此知彼百戰百勝。先從暸解駭客是怎樣入侵你的系統,首先,除非你是所謂的鎖定攻擊(target attack)就是駭客已經確認要攻擊的目標是妳,不然先決步驟就是先找到攻擊的目標,就是所謂的xx scan, 從你用的系統,軟體等等下手,再去搜尋相對應的漏洞,所以簡單的更改常用的port number 跟常見的帳號等等就是很簡單卻很重要的方式,另外在資安防護中很重要的一點就是所謂的最小權限,不要給太大的系統權限。甚至最少曝露在網路中也是很重要的,例如你裝一台很簡單沒太多重要的機器當跳板。一定要透過這台機器才能跳到內部其他伺服器。這樣假使這台電腦不小心被攻破。也不一定會馬上連結到你重要的伺服器

沒有留言:

Obsidian 插件介紹:Text Generator

Text Generator 是 Obsidian 的一個插件,它可以根據給定的提示自動生成文本。這個插件使用 GPT-3 語言模型,能夠產生類似人類的文本,非常適合編寫故事、文章、電子郵件和其他類型文本。 主要功能: **生成文本:**根據提示生成各種長度的...