Skip to content

기글하드웨어기글하드웨어

커뮤니티 게시판 : 아주 기본적인 네티켓만 지킨다면 자유롭게 쓸 수 있는 커뮤니티 게시판입니다. 포럼에서 다루는 주제는 각각의 포럼 게시판을 우선 이용해 주시고, 민감한 소재는 비공개 게시판이나 수상한 게시판에, 홍보는 홍보/외부 사용기 게시판에 써 주세요. 질문은 포럼 게시판의 질문/토론 카테고리를 사용해 주세요.

NAS를 써보고 싶어 비싼 시놀로지 사기 전에 연습용으로 QNAP 2베이 NAS를 사서 쓴지 얼마 되지 않았습니다.

그러나 이틀 전만 해도 멀쩡했던 NAS가 갑자기 랜섬웨어에 감염되었네요 ㅠㅠ

 

감염된 랜섬웨어 관련해서 간략히 말씀드리면, 랜섬웨어 명칭은 Qlocker이며, 7zip 파일 확장자로 파일을 암호화시킵니다.

image.png

<해당 랜섬웨어 감염 시 QNAP 리소스 모니터에서 매우 많은 7z 프로세스를 보실 수 있습니다>

 

image.png

<감염된 폴더 내에서 README 파일이 생성되며, 다음과 같은 txt 파일이 생성됩니다.>

 

QNAP 측에서 밝힌 감염 원인은 QNAP 내부 취약점 2개로 인한 것으로 보인다고 링크의 뉴스에서 밝혔다는데요, 

CVE-2020-2509: Command Injection Vulnerability in QTS and QuTS hero
CVE-2020-36195: SQL Injection Vulnerability in Multimedia Console and the Media Streaming Add-On

해당 취약점은 4/16일에 패치되었다고 밝혔지만 저의 경우에는 이미 17일에 모두 업데이트가 완료되어 있는 상황이었습니다.

 

QNAP에서 밝힌 것으로 볼때는 APP 중 MediaStreaming Addon과 Multimedia Console이 엮인 것으로 설명했지만, 저의 경우 패치가 완료되었었고 외부 로그인 기록 등이 전혀 존재하지 않는걸 볼때, 제로데이 취약점일 가능성이 높아 QNAP을 사용중이시라면 인터넷에 연결되기만 해도 감염되는 것으로 생각됩니다. 비슷하게 외국에서도 어제부터 피해 사례가 보고되고 있습니다.

(저의 경우 20일날 감염된 것으로 보이며, 시간을 볼때 감염되자마자 바로 확인한 것 같습니다)

 

QNAP NAS 쓰시는 분들 중 불가피한 경우가 아니라면 모든 업데이트가 되어 있더라도 외부에서 접속하는 포트를 모두 닫아놓는것을 추천드립니다.(특히 HTTP 8080포트를 닫아놓으셔야 할것 같습니다)

 

저의 경우 영화 자막파일인 smi, srt, 혹은 pdf 등의 약 100MB 이하의 용량의 파일만이 암호화된걸 확인했으며, 다행히 중요한 자료가 전혀 없었기에 QNAP 내부 dom을 덮어씌우고 펌웨어 재설치 등을 수행하였습니다.

저는 사용하는 일부 포트를 제외하고 모두 닫아놓은 상태이며 열린 포트도 외부와 내부를 다르게 했으나 이렇게 되었습니다.

아마 이번 Qlocker 랜섬웨어는 작은 용량의 문서 등의 업무용 파일을 주 대상으로 하는 것 같습니다.

저 외에 QNAP 쓰시는 분들의 피해가 최대한 적기를 기원합니다.

 

관련 링크를 첨부합니다. 첫번째 뉴스가 아마 가장 빠르고 정확한 상황을 올린 것 같습니다.

1. 관련 내용을 정리한 뉴스 : https://www.bleepingcomputer.com/news/security/massive-qlocker-ransomware-attack-uses-7zip-to-encrypt-qnap-devices/

2. 이스트시큐리티 뉴스 : https://blog.alyac.co.kr/3721

3. 문제 관련해서 보고가 시작된 포럼 및 본문 이미지들 출처

https://www.bleepingcomputer.com/forums/t/749247/qlocker-qnap-nas-ransomware-encrypting-with-extension-7z/

 

[업데이트1] 해당 랜섬웨어는 4/19일부터 전세계적으로 퍼진 것으로 보입니다(3일 지났네요), 관리자 권한 획득 혹은 로그인이 필요 없는 랜섬웨어로 보이며 내부로 침입 후 QNAP 내부 7z로 압축하며 암호화시킵니다. 특이한 점은 랜섬 본체의 파일 등의 흔적을 확인할 수 없었습니다.


[업데이트2] 해당 암호화가 QNAP 내부 7z 프로그램을 사용하는 것에 착안해 복구를 위해 많은 시도가 이루어지고 있습니다. 첫번째 링크 뉴스 댓글에서 해당 뉴스 및 포럼 사용자들이 7z 암호를 찾기 위한 명령어들을 시도하고 있습니다. (일부는 성공한 것으로 보입니다) 아마 방법이 나온다면 해당 뉴스 링크가 가장 빠른 소식이 되지 않을까 싶습니다.



  • profile
    오노데라코사키      おのでらちゃんマジ天使! 2021.04.22 18:26
    감사합니다.
    잘때 시끄러워서 쓸때만 켜고 외부에서 접속할때는 VPN 통해서 접속하는데 이렇게 도움이 될줄이야..
  • profile
    title: 흑우허태재정      본업보다는부업 2021.04.22 18:26
    저희도 QNAP..ㄷㄷ
    사내 ip 로 접근제한을 둔 상태인데 확인해봐야 겠네요.
  • profile
    임시닉네임      "시간이 지나면 이통사 수입이 남으면 틀림없이 요금을 내릴 겁니다." - 오남석 2021.04.22 18:26
    NAS도 랜섬웨어에서 안전하지 못하군요... 큰 피해 없으셨다니 다행입니다.
    포럼에 올려 주시면 더욱 편하게 찾을 수 있는 글 같습니다.
  • profile
    Facto      R5-5600X / MSI B450I 2021.04.22 18:45
    정말로 중요한 파일이 없어서 다행이었습니다 ㅠㅠ
    아무 생각 없이 잡담 탭으로 올렸는데, 포럼에 올려도 괜찮을까요?
  • profile
    임시닉네임      "시간이 지나면 이통사 수입이 남으면 틀림없이 요금을 내릴 겁니다." - 오남석 2021.04.22 19:50
    뉴스 링크가 한둘이 아닙니다. 이런 전문적인 글은 충분히 포럼에 올리실 수 있다고 생각합니다.
  • profile
    방송 2021.04.22 18:30
    정말 무섭네요.

    저는 웨스턴 디지털 NAS를 쓰는데 이것은 별로 안 유명하니 안 건들었으면 좋겠습니다.ㅠㅠ
  • profile
    clocks 2021.04.22 18:35
    wd cloud ex2 인가 혹시 그거 쓰시나요?
  • profile
    방송 2021.04.22 18:37
    저렴한 마이 클라운드 홈 4TB짜리를 씁니다.
  • profile
    급식단 2021.04.22 18:35
    와 이거 장난 아니네요
  • profile
    Facto      R5-5600X / MSI B450I 2021.04.22 18:57
    [업데이트] 7z를 사용했다는 점에 착안하여 압축할때 생성된 7z.log에서 암호를 찾아내는 방법을 테스트중인것 같습니다.
    댓글 1
    Try this command:
    cd /usr/local/sbin; printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;
    the encryption key would be stored in /mnt/HDA_ROOT/7z.log which you can then use to decrypt
    댓글 2
    Run the following command: cd /usr/local/sbin; printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;
    After that, right click on 7z.log - select download and save the file on your computer. Now you can open the file from your computer. Use the password without first "p"
    해당 방법은 뉴스 링크의 댓글에서 가져왔으며 도움이 되셨으면 좋겠습니다.
  • ?
    title: AMD포인      збройовий завод 2021.04.22 19:01
    킹더우 1승..
  • ?
    PLAYER001 2021.04.22 19:52
    스냅샷같은걸 해둬도 소용없을까요?
  • profile
    디렉터즈컷 2021.04.22 20:17
    아 이건 1면에 올려서 보다 많은 분들께서 보시게 하는 걸로...
  • profile
    증강가상      Augmented Virtuality 2021.04.23 01:20
    제로데이 취약점으로 뿌려지는거면 위험도 최상 아닌가요? ㄷㄷ
  • profile
    라데니안 2021.04.23 03:55
    저도 이것 보고 뒤늦게 업데이트 하고 보안 강화하고 어쩌고 하고서 보니까 랜섬웨어에 당한 흔적이 남아 있었네요. 근데 HDD 2개 중에 파일이 들어 있는 하드는 멀쩡하고 정작 텅 비어 있는 하드에만 쪽지가 남아있어서 이게 뭔가 싶었습니다(...) 피해를 안 입은 것은 천만 다행이지만요.
  • profile
    KTHDevKR      우유가 좋아! 2021.04.23 06:15
    어째 경쟁사 시놀로지와 달리 심심하면 털리는게 큐냅이군요.

작성된지 4주일이 지난 글에는 새 코멘트를 달 수 없습니다.


List of Articles
번호 분류 제목 글쓴이 날짜 조회 수
82101 잡담 오테뮤 피치축 라임축이 궁금한 1인 10 file 몜무 2024.02.29 502
82100 잡담 수익 인증 3 file 염발 2024.02.29 492
82099 잡담 결과 스포?) LCK 녹방을 지금 틀어주네요 4 유입입니다 2024.02.29 484
82098 퍼온글 애플워치는 단돈 5천원이면 등급 업그레이드가 되... 2 file 고자되기 2024.02.28 839
82097 잡담 쿠팡 로켓배송 첫 주문 6 file 임시닉네임 2024.02.28 465
82096 잡담 끝이 좋으면 뭐든 좋은거 아니겠습니까 8 file 낄낄 2024.02.28 554
82095 퍼온글 호주 정부, 곰팡이병에 강한 새 바나나 품종을 허가 12 Touchless 2024.02.28 761
82094 잡담 미어캣은 또 속았습니다 9 file title: 명사수린네 2024.02.28 621
82093 잡담 개인적으로 조금 눈물 나는 이모티콘 2 file title: AI360Ghz 2024.02.28 465
82092 퍼온글 블루 아카이브 사키 목소리로 듣는 팔각모 사나이 임시닉네임 2024.02.28 362
82091 잡담 九空哀愁 10 file leesoo 2024.02.28 468
82090 잡담 LCK 비상~~~ 12 file 유입입니다 2024.02.28 526
82089 잡담 내일 롯데리아에 나온다는 것 9 file title: 부장님유니 2024.02.28 595
82088 퍼온글 게임사:버그를 수정해서 죄송합니다. 10 file Loliconite 2024.02.28 726
82087 퍼온글 귀금속은 일반쓰레기임 9 file title: AMD아무개 2024.02.28 785
82086 잡담 디도스 사과를 라이엇 코리아에서 해야지.... 3 file 유입입니다 2024.02.28 667
82085 퍼온글 대전의 신제품 8 file 뚜찌`zXie 2024.02.28 845
82084 잡담 스쿠터나 하나 사볼까 해서 알아봤는데.. 23 file title: 부장님유니 2024.02.28 488
82083 잡담 슈킹배송도 나름 빠르네요 6 file 고자되기 2024.02.28 521
82082 퍼온글 어떻게 여자애 이름이 예거... 35 file title: 부장님유니 2024.02.28 958
82081 잡담 그 조립해줄 컴잘알 남사친이라는 사람한테 360ti... 15 file 고자되기 2024.02.28 886
82080 퍼온글 “1원 송금으로 10만원 빼냈다고?”…은행권, 1원인... 20 title: 가난한카토메구미 2024.02.28 1197
82079 퍼온글 샤오미는 만들지만 애플은 못 만드는것 16 file 고자되기 2024.02.28 1047
82078 잡담 맘에드는 케이스를 찾았어요 4 file title: AMD툴라 2024.02.28 501
82077 잡담 엔진오일 갈았습니다. 7 file veritas 2024.02.28 520
82076 잡담 아니 알리양반, 그게 무슨소리요...?! 14 file 포도맛계란 2024.02.27 833
82075 잡담 t5 드라이버 어디서 팔까요? 10 seoch 2024.02.27 506
82074 잡담 띠용 S20+ 보안업데이트가 떴습니다 7 file Quinoa 2024.02.27 633
82073 잡담 CR2 2개로 AA 4개 대체하기 6 file 임시닉네임 2024.02.27 658
82072 잡담 책상 밑으로 들어가는 난로 어떨까요.. 11 뚜찌`zXie 2024.02.27 514
목록
Board Pagination Prev 1 ... 23 24 25 26 27 28 29 30 31 32 ... 2764 Next
/ 2764

최근 코멘트 30개
낄낄
01:11
Loliconite
01:10
카토메구미
00:59
낄낄
00:55
이유제
00:51
연금술사
00:48
노예MS호
00:47
연금술사
00:39
아스트랄로피테쿠스
00:36
Lynen
00:29
아이들링
00:20
스와마망
00:16
Kylver
00:15
포인트 팡팡!
00:14
슬렌네터
00:14
연금술사
00:14
이게뭘까
00:08
급식단
00:07
급식단
00:06
아스트랄로피테쿠스
00:04
가네샤
00:03
가네샤
00:00
가네샤
00:00
가네샤
00:00
가우스군
23:59
가네샤
23:59
가네샤
23:58
그림자
23:53
낄낄
23:50
그림자
23:42

더함
AMD
MSI 코리아
한미마이크로닉스

공지사항        사이트 약관        개인정보취급방침       신고와 건의


기글하드웨어는 2006년 6월 28일에 개설된 컴퓨터, 하드웨어, 모바일, 스마트폰, 게임, 소프트웨어, 디지털 카메라 관련 뉴스와 정보, 사용기를 공유하는 커뮤니티 사이트입니다.
개인 정보 보호, 개인 및 단체의 권리 침해, 사이트 운영, 관리, 제휴와 광고 관련 문의는 이메일로 보내주세요. 관리자 이메일

sketchbook5, 스케치북5

sketchbook5, 스케치북5

나눔글꼴 설치 안내


이 PC에는 나눔글꼴이 설치되어 있지 않습니다.

이 사이트를 나눔글꼴로 보기 위해서는
나눔글꼴을 설치해야 합니다.

설치 취소