Wie man "QLocker" wieder entschlüsselt

Update: Europol knackt Verschlüsselung der QNAP-Ransomware

Uhr
von René Jaun und Coen Kaat und cwa lha

Seit April greifen Cyberkriminelle vermehrt NAS-Systeme der Firma QNAP an, verschlüsseln sämtliche darauf befindlichen Daten und fordern ein Lösegeld. Europol hat die Verschlüsselung unterdessen geknackt und eine Anleitung geliefert, wie man verschlüsselte Daten wieder zurück kriegt.

(Source: freepik/freepik.com)
(Source: freepik/freepik.com)

Update vom 18.05.2021: Wie die Kantonspolizei Zürich mitteilt, hat Europol die Verschlüsselung der "QLocker"-Ransomware geknackt. Das Schadprogramm verschlüsselte seit dem 22. April zahlreiche NAS-Speichersysteme des taiwanischen Herstellers QNAP.

Das Passwort für die Entschlüsselung abzurufen, sei für technisch versierte Personen einfach. Die Methode funktioniere aber nur, wenn das Ransomware-Skript noch auf dem NAS laufe. Die Ransomware brauche sehr lange, um alles zu verschlüsseln, daher solle man möglichst rasch eingreifen.

Wer die Verschlüsselung knacken will, muss sich in der QNAP-NAS-Shell als Administrator anmelden und den folgenden Befehl ausführen: "cd /usr/local/sbin; printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep<mailto:$@>>/mnt/HDA_ROOT/7z.log\nsleep> 60000' >7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z" Wenn man anschliessend "cat /mnt/HDA_ROOT/7z.log" ausführe, erhalte man das Passwort (mit einem kleinen "p" am Anfang). Zuletzt solle man noch die Firmware aktualisieren.

Zusammen mit der Anleitung verwies die Kantonspolizei Zürich auch auf eine Videoanleitung des Youtube-Nutzers Francesco Cruciani. Dieser zeigt in dem Video, wie man die Verschlüsselung der Ransomware wieder rückgängig macht. Cruciani ist gemäss seinem Linkedin-Profil für die EU als Senior Consultant Java/Python Developer tätig.

Originalmeldung vom 28.04.2021: Hacker verschlüsseln reihenweise NAS-Server von QNAP

Wer ein NAS-System der Firma QNAP besitzt, sollte dringelnd handeln. Wie die Kantonspolizei Zürich mitteilt, verschlüsseln Cyberkriminelle seit mehreren Tagen Daten auf Speichersystemen der taiwanesischen Firma. Danach fordern die Erpresser eine Lösegeldzahlung in der Höhe von 0,01 Bitcoin, was aktuell rund 500 Franken entspricht.

Die Ransomware namens "QLocker" nutzt laut der Polizei eine Sicherheitslücke im QNAP NAS System aus und verschlüsselt die Daten mit dem bekannten Programm "7ZIP". Anweisungen, wie die Lösegeldzahlung zu erfolgen hat, hinterlassen die Angreifer in einer Datei Namens "README.TXT".

Dringende Empfehlung: Updates installieren!

NAS-Hersteller QNAP schreibt in einer eigenen Mitteilung, dass neben "QLocker" noch eine zweite Ransomware Namens "eCh0raix" gezielt die Speichersysteme angreife. Das Unternehmen rät den Besitzern der Speicherserver dringend, die neuste Version der "Malware Remover" Software zu installieren. Diese stehe für die Betriebssysteme "QTS" und "QuTS hero" zur Verfügung. Wichtig dabei: Sowohl QNAP als auch die Polizei betonen, den Speicherserver nicht auszuschalten, falls Daten bereits verschlüsselt worden seien. Anwenderinnen und Anwender sollten stattdessen das "Malware Removal" Tool starten, ihr System scannen, und anschliessend online den Kundendienst kontaktieren.

Alle Nutzerinnen und Nutzer, ob betroffen oder nicht, sollten laut QNAP zudem

  • ihre Passwörter ändern. Tipps für starke und sichere Passwörter finden Sie hier.

  • die Programme "Multimedia Console", "Media Streaming Add-on" sowie "Hybrid Backup Sync" auf die neueste Version aktualisieren.

  • den Standard-Port, über den sie auf das NAS zugreifen, ändern. Wie man das macht, verrät QNAP in einer separaten Anleitung.

  • ein regelmässiges Backup aller auf dem NAS befindlichen Daten veranlassen.

Betroffene: Anzeige erstatten!

Wer Opfer dieses Ransomware-Angriffs geworden ist, dem rät die Kantonspolizei Zürich dazu, Anzeige zu erstatten. "Es handelt sich um einen Erpressungsversuch oder um eine Erpressung."

Generell raten Sicherheitsexperten bei Ransomware-Angriffen, die geforderte Lösegeldsumme nicht zu bezahlen, zumal keine Garantie besteht, dass die Daten dann auch wirklich entschlüsselt werden. Recherchen von "Bleeping Computer" lassen vermuten, dass viele Anwenderinnen und Anwender diesem Rat nicht folgen: Demnach sollen die QNAP-Hacker binnen weniger Tage 260'000 US-Dollar eingenommen haben.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_215062