Recovery Italia® può aiutarVi a risolvere con successo qualsiasi caso di perdita di dati.

Contatti preventivo immediato

Recupero dati da QNAP QLOCKER

Hai bisogno di aiuto ?

Recovery Italia offre diagnosi e preventivo gratuito entro 12 ore dalla accettazione in laboratorio.
Contatta il nostro call center o inviaci una richiesta di assistenza a info@recoveryitalia.it. I nostri esperti sono a tua completa disposizione per una consulenza gratuita.

In questa guida affrontiamo il recupero da server QNAP attaccato da QLOCKER il nuovo attacco eseguito ad aprile sfruttando alcune vulnerabilita dei sistemi NAS QTS.

Il metodo applicato è semplice e universalmente applicabile e prevede l'analisi a freddo dei dischi contenuti nel QNAP e la ricerca di tracce di log utilizzate dal ransomware.

Introduzione ransomware QNAP QLOCKER

Durante aprile 2021 moltissimi NAS QNAP hanno subito un attacco massivo ransomware che ha causato

la modifica di tutti i file contenuti nello storage in formato .7z con password.

La vulnerabilita è nota come CVE-2020-36195 e riguarda le features Multimedia Console e Media Streaming.

L'attacco viene prodotto utilizzando una SQL injection ed è relativa alle seguenti versioni di QNAP:

Il ransomware comprime tutti i file originali nelle cartelle del NAS creandone una copia compressa con achivio 7zip bloccato da password

Al termine delle operazioni di cifratura dei file il ransomware si occupa di eseguire comandi di cancellazione sicura per evitare che programmi di recupero dati come recuva possano recuperare i dati cancellati nel processo di attacco

QTS 4.3.3
QTS 4.3.6
QTS 4.4.x

Maggiori Informazioni:

https://www.qnap.com/de-de/security-advisory/qsa-21-11

Considerazioni sulla sicurezza di QNAP

Inutile insistere nel sottolineare la gravita di questa falla di sicurezza di QNAP, ma come nei sistemi windows la vulnerabilita è semplicemente il risultato dello sviluppo e della implementazione eccessiva e maldestra di funzionalità praticamente inutili per il 99% degli utilizzi applicate ad una base di sistema semplicemente perfetta che è il kernel linux. Chi ama QNAP, si prenda tutto il pacchetto, pregi e difetti.

Non ci soffermiamo in tutti gli inutili metodi per rimuovere il virus, aggiornare il firmware e le patch di sicurezza ( voi Vi fidereste ancora di QNAP ? ) in quanto l'unico obiettivo e decriptare i file .7z e recuperare i dati presenti sul volume.

Obiettivo di questa guida è il recupero della password utilizzata dal ransomware per criptare tutti i dati contenuti nel qnap per poi sbloccare tutti i file criptati.

Il sistema proposto prevede la ricerca della password utilizzata dal Ransomware in modo forense e completamente in offline considerando che se la chiave è ancora disponibile nei settori del NAS qualsiasi utilizzo a caldo potrebbe provocare la perdita di questa informazione essenziale.

Sintesi delle operazioni da eseguire:

1) spegnere il qnap

2) eseguire una clonazione di ogni singolo disco contenuto nel QNAP utilizzando il ChallengerOS ( cerca le guidel per clonare hard drive utilizzando il challengerOS o altri metodi di acquisizione forense.

3) eseguire una ricerca forense nel disco o nel volume clonato utilizzando un pattern di ricerca specifico per localizzare l'istruzione di cifratura.

4) riavviare il QNAP e decriptare i file .7z utilizzando la password localizzata

Step 1 Spegnimento del QNAP

Anche se siete abituati a spegnere il qnap da segnale ACPI ( premendo per alcuni secondi il tasto di accensione ) o da interfaccia di controllo web, in questo caso lo shutdown deve essere brutale staccando il connettore di alimentazione.

Questo perchè dobbiamo congelare se possibile lo scenario dati interno ed evitare che il ransomware cancelli tracce dei file utilizzati durante il processo di attacco.

Step 2 Estrazione dei dischi dal QNAP

Estrarre i dischi dal qnap numerandoli e annotandone posizione e slot per poterli riposizionare nella bay originale

Step 3 Clonazione dei dischi

Il processo di clonazione dei dischi del QNAP originale è attività propedeutica e importante per salvaguardare lo scenario binario dei dati originale.

Benchè possa apparire superflua e ritenete che i dischi siano in perfetto stato di funzionamento, è necessaria in quanto ogni attivita di recupero dati e di analisi svolta in modo professionale deve essere eseguita SEMPRE su una copia del sorgente dati originale.

Recuperate quindi dischi della stessa dimensione o maggiore di quelli originali e procedere ad una clonazione completa di tutti i settori del disco sul drive target.
Per la clonazione suggeriamo l'utilizzo del challengerOS, progettato per il recupero e l'acquisizione di hard drive periferiche di memorizzazione dati.

Scarica il sistema operativo Challenger per il recupero dei dati

Step 4 Analisi dei dischi

Obiettivo della analisi è localizzare tracce del comando utilizzato dal ransomware per criptare i files.
Un errore progettuale del Virus consente la localizzazione sui settori di un piccolo file di log utilizzato dal ransomware QLOCKER.

Collegate il disco clonato del QNAP al sistema ChallengerOS e aprite Rocket.

Selezionate il disco clonato dalla lista delle periferiche e selezionate la funzione "Binary Analysis"

Aprite la funzione search e digitate "-sdel" all'interno del box di ricerca.

Selezionate la casella max occurrences e premete il tasto search.
E' necessario attendere il processo completo su tutto il volume. E' possibile che la ricerca duri anche diverse ore.
Al termine del processo di analisi e ricerca sarà possibile localizzare un frammento di log dove risulta ancora esistere una traccia del comando utilizzato dal ransomware e la chiave applicata durante la creazione degli archivi compressi .7zip

Navigando tra le occorrenze localizzate sara possibile visualizzare il parametro -p seguito dalla password utilizzata dal virus

Note:

Le seguenti operazioni possono essere eseguite su qualsiasi sistema operativo e con qualsiasi editor esadecimale a disposizione.

Come recuperare i dati da QNAP in RAID 5

La password utilizzata durante l'attacco puo essere localizzata nella partizione iniziale in RAID1 o come frammento nel raid 5.
Se il pattern di ricerca non fosse localizzato entro pochi minuti dall'inizio del processo di ricerca è necessario ricostruire il volume logico completo.

I qnap spesso utilizzano layout lvm complesso, per cui per ricostruire il volume LVM in rotazione RAID sono necessari prodotti software specializzati come UFS EXPLORER.

Importante

Essendo il riassemblaggio di un volume RAID5 LVM2 estrenamamente complesso, considerando le specifiche features dei server QNAP, come THIN PROVISIONING, METADATA e volumi TIER , è possibile considerare di eseguire la ricerca forense della chiave utilizzando ogni singolo disco del raid, analizzando gli stripes del volume RAID.

Come Recuperare SSD AHCI installati su Macbook PRO e Air

I Laptop prodotti da Apple dal 2013 sono equipaggiati da Hard Drive PCI Express con controller integrato AHCI. Questi dischi SSD risultano essere particolarmente critici e molto spesso cessano di funzionare improvvisamente.

Come recuperare i dati da NAS SYNOLOGY inizializzato o formattato

I NAS Synology risultano essere molto resistenti a errori umani o attacchi hacker e sabotaggi. Il file system utilizzato associato al sistema integrato di Hyper Backup possono davvero essere preziosi in caso di disastro.

Recupero dati da galaxy fold z4 caduto in acqua di mare

Immagina di essere in spiaggia, godendoti il sole estivo e l'aria fresca del mare. Hai finalmente quel momento di relax che hai atteso per mesi. Tuttavia, la felicità si trasforma subito in panico quando realizzi che il tuo prezioso Samsung Galaxy Fold Z4 è scivolato accidentalmente dalla tua borsa finendo nelle acque salata!

File Cancellati da Windows 10 perche i programmi recuperano i file corrotti ?

Spesso gli utilizzatori di Windows 10 tentano il recupero dei file cancellati con software per data recovery. Il risultato ? i File ci sono ma sono corrotti.

Recupero dati Server QNAP

Recovery Italia interviene per il recupero dei dati su qualsiasi sistema NAS di rete. Possiamo intervenire su tutti i sistemi QNAP, prodotti professionali ma che sono affetti dalle problematiche comuni a tutti i sistemi server, assemblati in sistemi Raid.

Recupero dati da QNAP QLOCKER

In questa guida affrontiamo il recupero dei dati da NAS QNAP attaccati da ransomware QLOCKER localizzando la chiave di cifratura direttamente dei settori dei dischi

Come recuperare i dati da dischi QNAP con scheda madre rotta

I NAS QNAP vengono gestiti dal sistema operativo QTS che abilita molte features file system fuori standard. Se la scheda madre del QNAP si danneggiasse recuperare i dati dai dischi pu� risultare molto complesso.

Come recuperare i dati da NAS SYNOLOGY inizializzato o formattato

RECUPERO DATI DA HARD DRIVE INTERNI

SERVIZI

HARD DRIVE

Qualsiasi hard disk, anche quello che sembra più affidabile e di qualità può tradirci improvvisamente. Recovery Italia è specializzata nel recupero dei dati da hard disk e memorie esterne con qualsiasi tipo di danneggiamento e perdita di dati, dalle formattazioni accidentali, ad eventi naturali o errori umani come le cadute a terra.

dettagli

RECUPERO DATI DA MEMORIE ESTERNE

SERVIZI

HARD DRIVE

Gli Hard Disk Esterni dominano il mercato dello storage consumer.Chiunque ha una memoria esterna dove salva Foto Video e Film. La portabilità dei drive esterni li espone a rischio di shock fisici e cadute a terra.

dettagli

RECUPERO DATI DA SISTEMI RAID

SERVIZI

RAID

Recovery Italia interviene su tutti i livelli o configurazioni di Raid, in qualsiasi caso di perdita dei dati, anche quando l'array presenti numerose unità degradate o in fault.I nostri ingegneri sono in grado di intervenire su qualsiasi tipo di assemblaggio RAID come RAID 0, RAID 1, RAID 3, RAID 5, RAID 6 oltre raid proprietari e configurazioni ibride.

dettagli

RECUPERO DATI DA SERVER E NAS

SERVIZI

NAS

Recovery Italia può recuperare dati da sistemi NAS (Netword Attached Storage) di qualsiasi produttore, e con qualsiasi tipo di danneggiamento. Il NAS è un sistema che può essere dotato di una o più unita disco, generalmente usato per la condivisione di documenti,file ed elementi multimediali tra diverse postazioni di lavoro collegate in rete.

dettagli

Recovery Italia®

Sedi Operative
Procedura recupero dati
Richiesta Pickup
Richiesta Assistenza
Listino Prezzi
Preventivo ON LINE
Contatto
Privacy Policy

Servizi & Data Recovery

Recupero dati da Qualsiasi Device
Hard Disk Drive
Hard Disk USB
Pen Drive USB
Enterprise Servers
Sistemi RAID
NAS & DAS
Cellulari e Smartphone

Prodotti

Mobile Data Rescue
WhatsApp Data Recovery
iPhone Data Recovery
Challenger Rocket
Challenger PCI Board

Tecnologia

Tecnologia
Camera Bianca
ChallengerOS

Risorse

Blog Recovery Italia
Faq Recovery Italia
Training

Recovery Italia® GROUP

DATA RECOVERY SERVICE SRL
Via del Fosso Centroni, 4 Roma (RM)
PIVA.: 14931361001

Sede di Roma Sud

Via del fosso centroni, 4
00118 ROMA
Call Center 39 06 98357672
Email: info@recoveryitalia.it

METRO A ANAGNINA

Sede di Roma Prati

Via Attilio Regolo 19
00192 ROMA
Call Center 39 06 98357672
Email: info@recoveryitalia.it

METRO A LEPANTO

Sede di Milano

Via Dante, 16
21221 Milano
Call Center 39 02 00611518
Email: info@recoveryitalia.it

METRO M3 MISSORI