Qlocker 不同一般勒索病毒之特殊之處

本文並非鼓勵受害者支付贖金，付贖金都是最下下策的解決方法，都是萬不得已中的無奈之舉。
如果不付贖金希望取回檔案，請保留檔案並關心以下兩個常見網站獲取免費解密訊息釋出。

https://www.emsisoft.com/ransomware-decryption-tools/?__c=1

https://www.nomoreransom.org/crypto-sheriff.php?lang=zht_Hant

關於此事件QNAP官方回應

https://www.qnap.com/zh-tw/news/2021/%E5%9B%9E%E6%87%89-qlocker-%E5%8B%92%E7%B4%A2%E7%97%85%E6%AF%92%E6%94%BB%E6%93%8A%E4%BA%8B%E4%BB%B6%E7%AB%8B%E5%8D%B3%E6%8E%A1%E5%8F%96%E8%A1%8C%E5%8B%95%E4%BF%9D%E8%AD%B7-qnap-nas?ref=home

不用付錢的解密方法討論串

https://www.facebook.com/groups/nas.tw/permalink/10159342562028245/

轉貼討論串之內容 楊大慶 提供

QNAP NAS 最近中了 7z 加密病毒的

1. 不要重新開機；重新開機過可以直接放棄

2. SSH 登入進去

3. 使用以下 command 檢查加密是否進行中；如果不是進行中，可以直接放棄

ps | grep 7z

4. 如果加密進行中，請輸入以下 command

cd /usr/local/sbin; printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;

5. 等待10秒，輸入以下 command

cat /mnt/HDA_ROOT/7z.log

得出

a -mx=0 -sdel -pmFyBIvp55M46kSxxxxxYv4EIhx7rlTD [FOLDER PATH]

「mFyBIvp55M46kSxxxxxYv4EIhx7rlTD」就是加密的密碼

6. 重新開機，自行解壓

 NAS 網路磁碟伺服器 使用者俱樂部 討論區中 Pctine Ling 提供之方法

透過還原軟體撈QNAP硬碟抓取檔案(僅能取得部分檔案)

https://www.youtube.com/watch?v=qv9mri_xHg0

有資訊不足之處請包涵，本文只討論個人獲取之資訊整理。

進入駭客提供的解密聯繫網站，可以看到以下畫面，需要輸入被綁架的識別資訊

貼入駭客在NAS內的readme.txt資訊中的識別資訊後出現下面畫面
贖金匯款後將區塊練TXID輸入，下一步會取得7z解壓縮密碼

付款後快點輸入TXID到欄位上!!

P.S:此時如果有人搶先一步就會喪失取的密碼的機會!!

以下是輸入成功後系統抓取區塊鍊上資料中的畫面

以下是被人搶走TXID，被他人拿去解密後的資訊畫面。

駭客系統同步後所出現密碼的畫面

注意事項:

該病毒付贖金的設計方式，等於沒錢付贖金的人只要等待區塊鏈上出現TXID，比付款者搶先一步去網頁輸入TXID，即可免費解密。

而付贖金的人，等於付贖金後要與網路上其他受害者一起搶TXID。

提高搶到的勝率方法:

1.避免透過交易所，因為交易所匯出BTC時間不確定，通常5-10分鐘才會出現TXID，這非常非常不利，筆者就是在交易所被人搶過才會寫這篇文章...

2.在筆電安裝 Electrum 電子錢包，先把交易所購買到BTC先匯入自己電腦使用Electrum產生的BTC錢包，透過自己電腦產生BTC錢包的瞬間馬上貼入TXID，目前測試成功機率很高。因為是點擊匯出幾秒後即出現TXID。

最後建議:

NAS請做離線備份 /  異地備份  / 不同品牌備份留存 / 快照 等方式提升資安防禦等級

名世科技 20210427 編輯