Устранение последствий программы-шифровальщика Qlocker

Начиная с 19 апреля 2021 года некоторые сетевые хранилища Qnap подверглись атаке шифровальщиком Qlocker.
В отличии от прошлых версий новый вариант Qlocker просто архивирует файлы в архив с расширением *7z и установленным паролем.

Если ваше устройство было атаковано, не перезагружайте и не выключайте накопитель! Если процесс шифрования запущен, то следуя действиям описанным ниже, вы сможете получить ключ шифрования и разблокировать зашифрованные файлы. Как только вы перезагрузите накопитель, процесс шифрвоания будет сброшен и больше не запустится и вы не сможете извлечь ключ шифрования из процесса Qlocker

 

 

Есть два способа как узнать пароль архива и оба варианта требуют подключения к командной строке:

 

1 способ.

Подключитесь к командной строке и введите следующую команду: 

ps -ef

2021-04-22_23-49-59.jpg

 

В списке процессов нужно найти

 

"/usr/local/sbin/7z a -mx=0 -sdel -pCcrP7PCP1euF0MBjD2C866YYi388m9jD"

Пароль для доступа к архиву будет после -p в примере (у вас будет другое сочетание): CcrP7PCP1euF0MBjD2C866YYi388m9jD

Сохраните его, пароль потребуется для расшифровки данных.

 

2 способ.

В командной строке введите следующую команду :

cd /usr/local/sbin; printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;

2021-04-22_23-55-43.jpg

 

Далее нужно будет перенести созданный архив в папку Public следующей командной:

cp /mnt/HDA_ROOT/7z.log /share/Public/

На компьютере войдите сетевую папку Public и любым текстовым редактором откройте файл 7z.log

 

Чтобы подключить сетевую папку воспользуйтесь инструкцией: 

Подключение папки сетевого накопителя Qnap к компьютеру с операционной системой Windows 10

 

Рядом с названием зашифрованного файла будет отображаться пароль для доступа к архиву.

2021-04-22_23-58-16.jpg

 

Если вам не удалось получить ключ шифрования, вы все еще можете вернуть свои данные:

Восстановление файлов после атаки шифровальщика Qlocker

 

KB-6058

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 10 из 25