俺のメモ帖

とあるインフラ系SEのメモ帖。日常的なものや、趣味や技術的なもとか書けたらいいなぁ。

【QNAP】自宅のNAS『TS-231P』がランサムウェアにファイルを暗号化されてしまった件

9月下旬から世界中で徐々に被害が上がっているらしい、『Muhstik』っていうファイルを暗号化するランサムウェアに、自宅のNASである、QNAP『TS-231P』がやられて、ファイルを暗号化されてしまった件について、あまりにも情報が少ないので、情報共有を兼ねて書いておく。

事の発端

2019年10月04日(金)のことだった。
仕事してると、自宅で子供の面倒見ている嫁から、
NAS上のとある動画が、見られなくなっているんだけど。見たい動画があるフォルダにファイルが無くなって、他のフォルダには動画があって見られるのに。』
というLINEが届いた。

そのLINEを受けたときは、
『そういや朝に誰もアクセスしていないのに、なんか矢鱈NASガリガリ動いていたなー。 メディアサーバ機能かなんかのインデックス作成処理でも動いているのかな?』
って感じであんまり気に留めていなかった。

『とりあえず、帰ったら様子見てみるけど、時間経ったら直るかも知れないから、後でもう一回見てみて』
と返信して帰ったら様子を見ることにした。
しかしこの時は、この放っておくという行為が被害を拡大させることになるとは微塵も思っていなかったのだった。。。

とはいえ、わかっていたとしても、嫁だけだと対処しようがなかったけども。

被害について

帰宅して、いざNASの様子を見てみる。
エクスプローラで見られなくなったというフォルダを覗いて見る。
なんだ、ファイルちゃんとあるじゃん?じゃあ、NASの機能的なもの?

ん?ちょっと待って。。。なんかファイルの拡張子が2重拡張子になって、元のファイルの後ろに『.muhstik』って付いてるぞ?なんだこれ?

ん? なんか各フォルダの中に変なテキストファイルが入っているぞ?
『DECRYPT_FOR_README.txt』(だったかな?)。
『複合化するために読め』だと・・・?
ちなみに中身はこんな感じ

All your files have been encrypted.

You can find the steps to decrypt them in any the following links:
http://13.234.89.185/.unlock/payment/f809d075-fb65-4005-93e6-440d1ea6d5b9   Could go offline at any time 
http://51.38.231.30/.unlock/payment/f809d075-fb65-4005-93e6-440d1ea6d5b9   Could go offline at any time

Or use TOR link, guaranteed Online 100% of the time:
http://5mngytmdpeyyp6xk.onion/payment/f809d075-fb65-4005-93e6-440d1ea6d5b9   Use TOR browser to access .onion websites.
https://duckduckgo.com/html?q=tor+browser+how+to


Do NOT remove this file and DO NOT remove last line in this file!

Your ID: f809d075-fb65-4005-93e6-440d1ea6d5b9

多分知られても問題ないだろうから、俺の複合化のためのIDとか、サーバのIPとかそのまま載せますね。

ざっくり訳すと、

あんたのファイル全部暗号化したよ。  
以下のリンク行けば、複合化の手順が見つけられるよ。
このファイルを消したり、最後の行を削除するんじゃないよ。

一応用心しながら、リンクを踏んで見るw
すると、QRコードと0.045BTC払えばいいよとメッセージ。 なるほどビットコインで払えと。
0.045BTC=およそ4万円(この記事執筆時点)。大事なデータがあったら払ってしまいそうな絶妙な金額設定だ。

ちなみに、帰宅時点でまだ全てのファイルは暗号化されておらず、暗号化が済んでるorファイルが置いてないディレクトリに上記のテキストがある状態で、データ量の多さとNASの処理速度がそこまで速くないことが幸いして、1/3くらいのデータのみしか暗号化されていなかった。

対処について

とはいえ、現在進行形で暗号化処理は続いていたため、まずは暗号化処理を必要がある。
これ以上ファイルを暗号化されても困る。
まずは、TeraTermSSHログインを試みる・・・反応なしでログインできず、プロセスを殺すことができない。
おかしい・・・ならば管理用Webページを・・・503・・・ありゃま・・・打つ手ないや。

そこまでこのNASに詳しくない自分では手の打ちようがなかったので、しょうがないので電源ボタン長押しで、強制電源OFFしました。
この時のタイミングが悪かったのか、HDD1つ逝きました・・・。
正確には生きているけど、SMART情報によると、読み取りエラーとなるセクタや不良セクタが出来てしまい、使用し続けるにはちょっと・・・な状態になってしまいました。 物理的にちょっとまずったようです。。。orz

で、その間にWEBでQNAPに感染するランサムウェアに関して調べてみたのですが・・・ 全く情報が出てこなくて困りました。いやほんと困った。
『QNAP ランサムウェア』なんてキーワードで調べても、見つかるページは『ランサムウェアとかに感染しないためにやるべきこと』とかの説明ページばかりで役立ちませんでした。

まあ今になってようやく情報が得られたけど、9月末から流行しだした&QNAPでのみなんて絶対数が少ないだろうしそりゃあ情報が出てこないよね。

結局有効な情報が得られなかったため、NAS上のデータは諦めて一旦NASを初期化して再度セットアップすることを選びました。
ただ、何が悪くてランサムウェアにやられたのか、原因がはっきりしていなかったため、若干の不安を残したままでした。

うちのNASはあくまでPC上のデータのバックアップ&リビングのFire TV Stickで動画を見るため用だったので、PC本体にデータは残ってたのが幸いでしたね。

で、初期化再セットアップしたんですが、その際に、念のために調べた情報を参考に以下を実施しました。

  • QTSの最新化
    (再起動が億劫で4ヶ月くらいバージョンアップを放置してた)
  • SSHログインを無効にした
    ぶっちゃけ使ってなかったので。
  • パスワードに日本語を混ぜて複雑化した
    (総当りなら日本語混ぜるだけでだいぶやられる確率下がると思う)
  • 余計な機能はできるだけインストールせず最小限のアプリのみ導入
  • Malware Remover をインストール(以前は未導入だった)

で、再セットアップして、しばらく様子を見たけど平気そうだったので、データを復元しましたとさ。

事後のはなし

10月10日に、スラドに以下の記事が掲載されました。

security.srad.jp

この記事でようやく、今回の感染の直接の原因が判明しました。

今回の感染の原因は『phpMyAdmin』というアプリがパスワードの総当り攻撃でやられてしまうことでした。

あーそういえば、QNAPでWordpress試してみるために入れてたなー・・・・
最も、入れるだけ入れて満足して使ってなかったから初期化後は入れてなかったけど。

やっぱ自分みたいなスキルが特別高いわけではない奴は、余計な機能って入れておかないほうがよかったようで・・・・。

ちなみに、公開された暗号化IDと複合化キーのリストだけど、
自分の暗号化ID『809d075-fb65-4005-93e6-440d1ea6d5b9』で検索したら見事にヒットしたwww
まあ、複合化出来てたとしてもランサムウェアにやられた環境なんて気持ち悪くて心配で使えないので遣わなかっただろうけど。