Así puedes recuperar la clave 7z de Qlocker que afecta a NAS QNAP

Todos los clientes de servidores NAS del fabricante QNAP, han sufrido durante la semana pasada un ataque de ransomware dirigido específicamente a sus servidores, explotando diferentes vulnerabilidades que había presente en diferentes softwares de la compañía. Actualmente estas vulnerabilidades ya han sido solucionadas, pero es necesario que actualices tanto el sistema operativo QuTS a la última versión, como todas las aplicaciones instaladas en tu NAS a través de App Center. Hoy en RedesZone os vamos a enseñar cómo recuperar la clave de descifrado, siempre y cuando estés siendo víctima del ransomware actualmente.

Lamentablemente, todavía no se conoce cómo conseguir la clave de descifrado de este ransomware que ha afectado a los NAS de QNAP si ya han sido cifrados por completo, excepto seguir las instrucciones y pagar 0.01 bitcoin a los cibercriminales que han hecho esto. Si actualmente estás siendo víctima del cifrado de los archivos, sí podrías tener la posibilidad de recuperar esta clave de cifrado/descifrado utilizada.

¿Cómo funciona el cifrado de archivos de Qlocker?

El cifrado de los archivos del servidor NAS se ha hecho a través de la utilidad 7z que está instalado por defecto en el servidor NAS de QNAP, un software popularmente conocido que nos permite comprimir y descomprimir tanto archivos como carpetas, este software también nos permite cifrar el contenido de los archivos con una contraseña de paso, como ocurre con cualquier sistema operativo basado en Linux o Windows. Los cibercriminales lo que han hecho es escanear todos los volúmenes del NAS y cifrar los archivos que están dentro de las diferentes carpetas.

También se han encargado de borrar los Snapshots o «Instantáneas» que tuviéramos configuradas, las instantáneas siguen estando, pero están completamente vacías. Actualmente no se conoce aún cómo se podría recuperar la información utilizando estas «Instantáneas», es posible que se puedan recuperar ciertos datos y metadatos de estas instantáneas borradas, ya que están basadas en bloque, y deberían poder recuperarse.

Si no has sido afectado por este ransomware, nuestra recomendación es que actualicéis el NAS a la última versión del sistema operativo, a actualizar todas las aplicaciones, y a seguir con esta guía completa para proteger los NAS de QNAP.

Cómo recuperar la clave de descifrado de los archivos de Qlocker

Actualmente hay dos métodos para poder recuperar la clave de descifrado, pero solamente funciona si el ransomware está actuando en ese mismo instante. Si ya has sido afectado por el ransomware, estos métodos no te servirán.

Método 1

  1. Nos conectamos por SSH al servidor NAS como administrador, pinchamos en «Q» y posteriormente en «Y» para entrar por consola sin el asistente.
  2. Ejecutamos el comando «ps | grep 7z». Si no hay ningún proceso funcionando, o hemos reiniciado el NAS, malas noticias, no podremos recuperar la clave.
  3. Si el 7z está funcionando actualmente, debemos ejecutar el comando siguiente: cd /usr/local/sbin; printf ‘#!/bin/sh necho $@necho $@>>/mnt/HDA_ROOT/7z.lognsleep 60000’ > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;
  4. Una vez ejecutado, esperamos unos minutos y ejecutamos el siguiente comando: cat /mnt/HDA_ROOT/7z.log
  5. En este log podremos ver un contenido similar a este: a -mx=0 -sdel -pmFyBIvp55M46kSxxxxxYv4EIhx7rlTD [RUTA]
  6. Esta clave en negrita es la contraseña con la que se está cifrando la información, y también con la que se debe descifrar la clave.

Método 2

  1. Instalamos el programa Malware Remover desde la App Center y escaneamos nuestro equipo.
  2. Nos conectamos por SSH al servidor NAS como administrador, pinchamos en «Q» y posteriormente en «Y» para entrar por consola sin el asistente.
  3. Ejecutamos el siguiente comando: cp `getcfg MalwareRemover Install_Path -f /etc/config/qpkg.conf`/7z.log /share/Public
  4. Si la consola nos devuelve un mensaje de «No such file or directory» significa que no podemos hacer nada, el NAS se ha reiniciado o ya ha terminado el proceso de cifrado de los datos.
  5. Si no devuelve error, ejecutamos: cat /share/Public/7z.log. Y nos saldrá la clave en el mismo formato de antes: a -mx=0 -sdel -pmFyBIvp55M46kSxxxxxYv4EIhx7rlTD [RUTA]

Insistimos en que estos dos métodos solamente funcionan si el ransomware está en funcionamiento, y si no hemos reiniciado el NAS en el proceso, de lo contrario, aún no se conoce cómo recuperar los archivos afectados. Seguramente si teníais configuradas instantáneas o snapshots, se pueda recuperar la información, pero este ransomware también ha «vaciado» estas instantáneas creadas.

¡Sé el primero en comentar!