Data Recovery Heroes.

Recovery Italia® puÚ aiutarVi a risolvere con successo qualsiasi caso di perdita di dati.

Contatti preventivo immediato

Recupero dati da QNAP QLOCKER

numero verde recovery italianumero verde recovery italia
numero verde recovery italia numero verde recovery italia

In questa guida affrontiamo il recupero da server QNAP attaccato da QLOCKER il nuovo attacco eseguito ad aprile sfruttando alcune vulnerabilita dei sistemi NAS QTS.

Il metodo applicato è semplice e universalmente applicabile e prevede l'analisi a freddo dei dischi contenuti nel QNAP e la ricerca di tracce di log utilizzate dal ransomware.

Introduzione ransomware QNAP QLOCKER

Durante aprile 2021 moltissimi NAS QNAP hanno subito un attacco massivo ransomware che ha causato

la modifica di tutti i file contenuti nello storage in formato .7z con password.

La vulnerabilita è nota come CVE-2020-36195 e riguarda le features Multimedia Console e Media Streaming.

L'attacco viene prodotto utilizzando una SQL injection ed è relativa alle seguenti versioni di QNAP:

Il ransomware comprime tutti i file originali nelle cartelle del NAS creandone una copia compressa con achivio 7zip bloccato da password

Al termine delle operazioni di cifratura dei file il ransomware si occupa di eseguire comandi di cancellazione sicura per evitare che programmi di recupero dati come recuva possano recuperare i dati cancellati nel processo di attacco

  1. QTS 4.3.3
  2. QTS 4.3.6
  3. QTS 4.4.x

Maggiori Informazioni:

https://www.qnap.com/de-de/security-advisory/qsa-21-11

Considerazioni sulla sicurezza di QNAP

Inutile insistere nel sottolineare la gravita di questa falla di sicurezza di QNAP, ma come nei sistemi windows la vulnerabilita è semplicemente il risultato dello sviluppo e della implementazione eccessiva e maldestra di funzionalità praticamente inutili per il 99% degli utilizzi applicate ad una base di sistema semplicemente perfetta che è il kernel linux. Chi ama QNAP, si prenda tutto il pacchetto, pregi e difetti.

Non ci soffermiamo in tutti gli inutili metodi per rimuovere il virus, aggiornare il firmware e le patch di sicurezza ( voi Vi fidereste ancora di QNAP ? ) in quanto l'unico obiettivo e decriptare i file .7z e recuperare i dati presenti sul volume.

Obiettivo di questa guida è il recupero della password utilizzata dal ransomware per criptare tutti i dati contenuti nel qnap per poi sbloccare tutti i file criptati.

Il sistema proposto prevede la ricerca della password utilizzata dal Ransomware in modo forense e completamente in offline considerando che se la chiave è ancora disponibile nei settori del NAS qualsiasi utilizzo a caldo potrebbe provocare la perdita di questa informazione essenziale.

Sintesi delle operazioni da eseguire:

1) spegnere il qnap

2) eseguire una clonazione di ogni singolo disco contenuto nel QNAP utilizzando il ChallengerOS ( cerca le guidel per clonare hard drive utilizzando il challengerOS o altri metodi di acquisizione forense.

3) eseguire una ricerca forense nel disco o nel volume clonato utilizzando un pattern di ricerca specifico per localizzare l'istruzione di cifratura.

4) riavviare il QNAP e decriptare i file .7z utilizzando la password localizzata

Step 1 Spegnimento del QNAP

Anche se siete abituati a spegnere il qnap da segnale ACPI ( premendo per alcuni secondi il tasto di accensione ) o da interfaccia di controllo web, in questo caso lo shutdown deve essere brutale staccando il connettore di alimentazione.

Scollegare QNAP dalla rete elettrica

Questo perchè dobbiamo congelare se possibile lo scenario dati interno ed evitare che il ransomware cancelli tracce dei file utilizzati durante il processo di attacco.

Step 2 Estrazione dei dischi dal QNAP

Estrarre i dischi dal qnap numerandoli e annotandone posizione e slot per poterli riposizionare nella bay originale

rimozione dischi qnap

Step 3 Clonazione dei dischi

Il processo di clonazione dei dischi del QNAP originale è attività propedeutica e importante per salvaguardare lo scenario binario dei dati originale.

Benchè possa apparire superflua e ritenete che i dischi siano in perfetto stato di funzionamento, è necessaria in quanto ogni attivita di recupero dati e di analisi svolta in modo professionale deve essere eseguita SEMPRE su una copia del sorgente dati originale.

QNAP NAS

Recuperate quindi dischi della stessa dimensione o maggiore di quelli originali e procedere ad una clonazione completa di tutti i settori del disco sul drive target.
Per la clonazione suggeriamo l'utilizzo del challengerOS, progettato per il recupero e l'acquisizione di hard drive periferiche di memorizzazione dati.

Scarica il sistema operativo Challenger per il recupero dei dati

Step 4 Analisi dei dischi

Obiettivo della analisi è localizzare tracce del comando utilizzato dal ransomware per criptare i files.
Un errore progettuale del Virus consente la localizzazione sui settori di un piccolo file di log utilizzato dal ransomware QLOCKER.

Collegate il disco clonato del QNAP al sistema ChallengerOS e aprite Rocket.

Selezionate il disco clonato dalla lista delle periferiche e selezionate la funzione "Binary Analysis"

Aprite la funzione search e digitate "-sdel" all'interno del box di ricerca.

Selezionate la casella max occurrences e premete il tasto search.
E' necessario attendere il processo completo su tutto il volume. E' possibile che la ricerca duri anche diverse ore.
Al termine del processo di analisi e ricerca sarà possibile localizzare un frammento di log dove risulta ancora esistere una traccia del comando utilizzato dal ransomware e la chiave applicata durante la creazione degli archivi compressi .7zip

qnap ransomware log password ransomware qnap

Navigando tra le occorrenze localizzate sara possibile visualizzare il parametro -p seguito dalla password utilizzata dal virus

Note:

Le seguenti operazioni possono essere eseguite su qualsiasi sistema operativo e con qualsiasi editor esadecimale a disposizione.

Come recuperare i dati da QNAP in RAID 5

La password utilizzata durante l'attacco puo essere localizzata nella partizione iniziale in RAID1 o come frammento nel raid 5.
Se il pattern di ricerca non fosse localizzato entro pochi minuti dall'inizio del processo di ricerca è necessario ricostruire il volume logico completo.

I qnap spesso utilizzano layout lvm complesso, per cui per ricostruire il volume LVM in rotazione RAID sono necessari prodotti software specializzati come UFS EXPLORER.

Importante

Essendo il riassemblaggio di un volume RAID5 LVM2 estrenamamente complesso, considerando le specifiche features dei server QNAP, come THIN PROVISIONING, METADATA e volumi TIER , è possibile considerare di eseguire la ricerca forense della chiave utilizzando ogni singolo disco del raid, analizzando gli stripes del volume RAID.

Pc non riconosce l'hard disk esterno: come accedere e salvare i dati

L'hard disk esterno è uno strumento prezioso per chiunque: un deposito pieno di documenti, foto, video e ricordi che non vorreste mai perdere. Ma cosa succede se un giorno il vostro fidato PC smette improvvisamente di riconoscere l'hard disk esterno? "Ho perso tutto? Sono definitivamente danneggiati i miei dati?" La risposta è no! Anche se può sembrare una situazione disperata, esistono diversi

Come recuperare passo-passo i tuoi dati da un NAS rotto

Capita a tutti di trovarsi in situazioni svantaggiose, ma quando si tratta dei tuoi preziosi dati conservati su un NAS rotto, può sembrare la fine del mondo. Ma non preoccuparti! Siamo qui per aiutarti a superare questo ostacolo apparentemente insormontabile. Il nostro post odierno è una guida passo-passo che ti fornirà strumenti essenziali e consigli pratici su come recuperare i tuoi dati da u

Come recuperare un hard disk esterno che all'accensione fa un rumore meccanico

Capita a tutti, prima o poi: ti affidi al tuo fidato hard disk esterno per conservare i tuoi preziosi dati e, un bel giorno, quando tenti di accendere il dispositivo... nulla! Peggio ancora, senti un inquietante rumore meccanico che potrebbe preannunciare la fine dell'unità. Ma non tutto è perduto! Benché sembri una situazione disperata, esistono dei metodi che possono aiutarti a recuperare que

Recovery Italia Stabilisce Nuovi Standard nelle Perizie e Analisi Forensi su Smartphone

Recovery Italia, leader nel campo delle perizie e delle analisi forensi digitali, annuncia un avanzamento significativo nelle tecniche di investigazione forense su smartphone, riaffermando il suo ruolo di pioniere nella sicurezza e nell'innovazione tecnologica.

RECUPERO DATI DA HARD DRIVE INTERNI
SERVIZI
HARD DRIVE

Qualsiasi hard disk, anche quello che sembra piý affidabile e di qualitŗ puÚ tradirci improvvisamente. Recovery Italia Ť specializzata nel recupero dei dati da hard disk e memorie esterne con qualsiasi tipo di danneggiamento e perdita di dati, dalle formattazioni accidentali, ad eventi naturali o errori umani come le cadute a terra.

dettagli
RECUPERO DATI DA MEMORIE ESTERNE
SERVIZI
HARD DRIVE

Gli Hard Disk Esterni dominano il mercato dello storage consumer.Chiunque ha una memoria esterna dove salva Foto Video e Film. La portabilitŗ dei drive esterni li espone a rischio di shock fisici e cadute a terra.

dettagli
RECUPERO DATI DA SISTEMI RAID
SERVIZI
RAID

Recovery Italia interviene su tutti i livelli o configurazioni di Raid, in qualsiasi caso di perdita dei dati, anche quando l'array presenti numerose unitŗ degradate o in fault.I nostri ingegneri sono in grado di intervenire su qualsiasi tipo di assemblaggio RAID come RAID 0, RAID 1, RAID 3, RAID 5, RAID 6 oltre raid proprietari e configurazioni ibride.

dettagli
RECUPERO DATI DA SERVER E NAS
SERVIZI
NAS

Recovery Italia puÚ recuperare dati da sistemi NAS (Netword Attached Storage) di qualsiasi produttore, e con qualsiasi tipo di danneggiamento. Il NAS Ť un sistema che puÚ essere dotato di una o piý unita disco, generalmente usato per la condivisione di documenti,file ed elementi multimediali tra diverse postazioni di lavoro collegate in rete.

dettagli
Recovery Italia® GROUP

DATA RECOVERY SERVICE SRL
Via del Fosso Centroni, 4 Roma (RM)
PIVA.: 14931361001

Sede di Roma Sud

Via del fosso centroni, 4
00118 ROMA
Call Center 39 06 98357672
Email: info@recoveryitalia.it

METRO A ANAGNINA
Sede di Roma Prati

Via Attilio Regolo 19
00192 ROMA
Call Center 39 06 98357672
Email: info@recoveryitalia.it

METRO A LEPANTO
Sede di Milano

Via Santa Maria Valle, 3
21220 Milano
Call Center 39 02 00611518
Email: info@recoveryitalia.it

METRO M3 MISSORI
'