No apagues ni reinicies el NAS si es el proceso 7z está activo todavía es posible ver la contraseña del cifrado y recuperar todos los archivos.
Los atacantes están usando el parámetro -p «7zip» y la contraseña se puede ver en texto plano.
Conéctate por SSH al Nas
Utiliza el comando
Si se está ejecutando 7z, usa el comando:
cd /usr/local/sbin; printf ‘#!/bin/sh necho $@necho $@>>/mnt/HDA_ROOT/7z.lognsleep 60000’ > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;
Puedes usar luego cat
cat /mnt/HDA_ROOT/7z.log
aquí está el contraseña que han usado para cifrar los ficheros:
a -mx = 0 -sdel -pXXXXXXXXXXXX [RUTA DE CARPETA]
donde XXXXXXXXXXXXX es la contraseña
Vídeo:
youtube.com/watch?v=aq_cIdY_ksQ
Si los datos del usuario están encriptados o se están encriptando, el NAS no debe apagarse. Los usuarios deben ejecutar un escaneo de malware con la última versión de Malware Remover inmediatamente y luego comunicarse con el servicio de Soporte técnico de QNAP en service.qnap.com.
qblog.es/respuesta-a-los-ataques-de-qloc…-tu-nas-qnap
Fuente obtenida de: https://bandaancha.eu/foros/ataque-curso-ramsomware-qlocker-cifrando-1742646
