!!! All your files have been encrypted !!! questo il messaggio che milioni di utenti in tutto il mondo si sono ritrovati sui loro dispositivi di archiviazione.
Un massiccio attacco ransomware Qlocker in queste ore sta colpendo milioni di utenti in tutto il mondo possessori di dispositivi QNAP, un attacco attraverso un ransomware che utilizza l’app 7zip per crittografare tutti i file presenti nei dispositivi di dimensioni inferiori ai 20mb.
Il ransomware si chiama Qlocker e ha iniziato a prendere di mira i dispositivi QNAP il 19 aprile 2021, la maggior parte dei dispositivi in Italia sono stati colpiti tra il 21 e il 22 aprile 2021.
Gli aggressori utilizzano l’app 7-zip per spostare tutti i file presenti sui dispositivi QNAP in archivi protetti da password, lanciando in simultanea, da riga di comando, numerosi processi ‘7z’ che sono visibili anche dalla QNAP Resource Monitor.
Al termine del ransomware, i file del dispositivo QNAP verranno archiviati in archivi 7-zip protetti da password che terminano con l’estensione .7z e in ogni cartella viene lasciata una richiesta di riscatto in un file dal nome !!! READ_ME.txt che include una chiave client univoca che le vittime devono inserire per accedere al sito di pagamento Tor del ransomware.
Questo il testo del file:
!!! All your files have been encrypted !!!
All your files were encrypted using a private and unique key generated for the computer. This key is stored in our server and the only way to receive your key and decrypt your files is making a Bitcoin payment.
To purchase your key and decrypt your files, please follow these steps:
1. Dowload the Tor Browser at “https://www.torproject.org/”. If you need help, please Google for “access onion page”.
2. Visit the following pages with the Tor Browser:
gvka2m4qt5fod2fltkjmdk4gxh5oxemhpgmnmtjptms6fkgfzdd62tad.onion
3. Enter your Client Key:
xxxxxxxxx (chiave)
Per estrarre questi archivi, le vittime dovranno inserire una password nota solo all’aggressore.
Dalle note di riscatto, a tutte le vittime viene detto di pagare 0,01 Bitcoin, in euro sono circa 454,78 euro oggi, per ottenere una password per i loro file archiviati.
Dopo aver pagato il riscatto e inserito un ID di transazione Bitcoin valido, il sito di pagamento Tor visualizzerà la password per gli archivi 7Zip della vittima.
QNAP ritiene che gli aggressori stiano sfruttando alcune vulnerabilità che consentono ad un utente esterno di ottenere l’accesso completo a un dispositivo ed eseguire un ransomware.
QNAP ha risolto queste due vulnerabilità il 16 aprile con le seguenti descrizioni:
CVE-2020-2509: vulnerabilità di iniezione di comandi in QTS e QuTS hero
CVE-2020-36195: vulnerabilità di SQL Injection nella console multimediale e nel componente aggiuntivo di streaming multimediale
QNAP ha dichiarato di ritenere che Qlocker sfrutti la vulnerabilità CVE-2020-36195 per eseguire il ransomware su dispositivi vulnerabili.
Per questo motivo, si consiglia vivamente di aggiornare QTS, Multimedia Console e Media Streaming Add-on alle versioni più recenti.
“QNAP raccomanda vivamente a tutti gli utenti di installare immediatamente l’ultima versione di Malware Remover ed eseguire una scansione antimalware su QNAP NAS.
Anche le app Console multimediale, Media Streaming Add-on e Hybrid Backup Sync devono essere aggiornate all’ultima versione disponibile per proteggere ulteriormente il QNAP NAS dagli attacchi ransomware. QNAP sta lavorando urgentemente a una soluzione per rimuovere il malware dai dispositivi infetti “, ha affermato QNAP in un avviso di sicurezza.
Il consiglio aggiuntivo che possiamo darvi è quello di fare sempre un backup dei vostri dati, perché niente e nessuno è al sicuro da possibili attacchi.
Comments are closed