Merhabalar,
Yıllardır yazı yazmıyordum bu bilinen sebeplerden öte uzun süre ara verdikten
sonra “Bu yazı ile mi döneceğim blog yazmaya ?” diye diye
uzaklaşmıştım. Gönül isterdi ki güzel komik bir içerikle geri döneyim lakin
geçtiğimiz haftalarda Qnap cihazlara ransomware saldırıları yapıldı. Bir sistem
yöneticisi olarak etilenen dostlarımın dertlerine derman olmak istedim. Kısım
kısım açıklamaya başlıyim buyrunuz :
Öncelikle bu sorunun nedeni nedir ?
Kıcasası dışarı port açılması ve yereli güvenliğe sahip olmayan bir yönetici parolası.
Biraz ayrıntı verecek olursak : yedekleme
konusunda de facto bir standart olan qnap nas cihazlar özellikle uzaktan
çalışmalara önem verildiği bu dönemde orta büyüklükteki işletmelerden itibaren
oldukça çok kullanılır hale geldi. Yedekler için doğru depolama yerel mi yoksa
bulut mu sorusu önemli bir ayrım bizler için. Yerelde tutulan yedekler için
elbette erişim daha zor olmakla beraber yedeklerin en az 2 ayrı fiziksel
lokasyonda tutulması gerektiği en az 3 ayrı yedeğin olması gerektiği gerçekleri
ekonomik olarak zorlayıcı oluyor. Burada en hızlı gözüken çözüm qnap
kullanıcıları için qsync uygulaması ile nas cihazını dünyaya açarak bulut
depolama şeklinde kullanmaktı. Fakat “Kazın ayağı öyle değil“.
Blockchainlerin öneminin anlaşılması buna paralel olarak kripto paraların
inanılmaz yükselişiyle birlikte bilgisayar korsanları btc’e sığınarak fidyeleme
ataklarında bulunmaya başladılar. Yakın tarihte şahit olduğumuz en büyük atak
bu saldırı oldu.
Nasıl Bir Sorun Ortaya Çıkıyor ?
Umarım bu sorunun yanıtına şahit olmaz, uzaktan bakan meraklı topluluktan birisi
olursunuz =)
Disk üzerindeki her dosya .7z sıkıştırma yazılımı ile sıkıştırılıyor ve 32
haneli küçük-büyük harf ve sayı içeren bir parola konuyor. Her klasöre !!!READ_ME.txt adında bir metin dosyası
oluşturuluyor ve içerisine tüm dosyalarınız kriptolandı şöyle oldu böyle oldu tor browser indirin buraya girin bize “firmanın büyüklüğüne göre” bu kadar bitcoin yollayın yazıyor.
Peki Çözümümüz nedir Renan ?
Öncelikle nas cihazınızın dış dünya ile bağlantısını kesin. Yönetim panelinden
ssh’ı açın. Kullanacağımız 2 yöntem var bunların her ikisinde de cihaza
erişmemiz için ssh gerekli oluyor.
Eğer ki sükûnetinizi koruduysanız ve bu olaydan sonra cihazınızı yeniden
başlatmadıysanız ilk yöntem size göre :
cmd yazıp komut satırınızı açın :
ssh admin@NASCİHAZINIZINADRESİ
komutu ile cihazımıza bağlanalım, başta parolanızı ve fingerprint alacağını söylecek parolayı yazıp yes diyoruz.
Bizi Qnap’ın menüsü karşılıyor burada q ile çıkış sağlayıp emin misiniz’e yes diyerek geçiyoruz.
gelen boş komut satırına :
cd /usr/local/sbin; printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;
Yazıp enter‘a basıyoruz.
Bu komut eğer başarılı olursa size HDA_ROOT altında 7z.log dosyasını üretecektir. olup olmadığını kontrol için
ls /mnt/HDA_ROOT
Yazabilirsiniz, eğer ki 7z.log’lu bir dosya görüyorsanız iyi haber.
cat /mnt/HDA_ROOT/7z.log
Komutu ile log dosyasının başını okuyabilirsiniz, size şu tarz bir çıktı vermesi gerekiyor :
a -mx = 0 -sdel -pzcgjqdx55U46saRRRBBgd4mQpf7ztbl /KLASORYOLU
-p ile başlayan şey tüm dosyalarınızın parolası, buraya kadar geldiyseniz harika. artık tüm dosyalarınızı tek seferde decrypt etmek kalıyor. şöyle bir betikle çözüme kavuşabilirsiniz :
SET source=[etkilenendosyanınyolu]
FOR /F "TOKENS=*" %%F IN ('DIR /S /B "%source%\*.7z"') DO "C:\Program Files\7-Zip\7z.exe" x -pPAROLA "%%~fF" -o"%%~pF\"
EXIT
Yukarıdaki etkilenendosyanınyolu yerine kriptolanmış dosyanın yolunu girmeniz ve PAROLA kısmına elde ettiğiniz parolayı girmeniz yeterli.
Okuma sınırlarını aşacağı için ikinci yöntemi bir başka yazıda paylaşacağım umarım fayfalı olur saygılarımla,
Twitter’ı Instagram’dan daha aktif kullanıyorsun sanırım 🙂