Emisoft veröffentlicht einen Entschlüsseler für Opfer, während QNAP erklärt, warum und wie es die automatische Aktualisierung der Produkte der Benutzer kontrovers aktualisiert hat.
Bild: Shutterstock / Dennis
Von DeadBolt betroffene QNAP-Benutzer Ransomware Der Vorfall in der vergangenen Woche wurde als weiterer Schlag als Benutzer behandelt Prüfbericht nicht in der Lage ist, seine Dateien nach Zahlung des Lösegelds zu entschlüsseln, da das umstrittene erzwungene Update des Unternehmens die Ransomware-Binärdatei entfernt hat.
Der jetzt zum Download verfügbare Entschlüsseler von Emisoft funktioniert nur für Opfer, die das Lösegeld bezahlt haben, aber keinen offiziellen Entschlüsseler von Ransomware-Betreibern kaufen konnten, bevor ihre Netzwerkspeichereinheit (NAS) aktualisiert wurde. Das erzwungene Sicherheitsupdate von QNAP, das letzte Woche veröffentlicht wurde, isolierte die DeadBolt-Binärdatei und machte sie für Benutzer unzugänglich, aber sie muss zugänglich sein, um das Gerät des Opfers vollständig zu entschlüsseln.
„Um das ganz klar zu sagen: Damit können Sie das Lösegeld nicht zahlen.“ er sagte Fabian Wosar, CTO von Emisoft, in den sozialen Medien. „Opfer müssen trotzdem den Schlüssel bereitstellen. Es ist nur ein alternatives Entschlüsselungstool, wenn Sie den von den Angreifern bereitgestellten Mechanismus aufgrund der Stärke von QNAP für ein Firmware-Update nicht verwenden können.“
Der offizielle QNAP-Support erklärte den Benutzern am Wochenende, dass das erzwungene Update das QNAP Malware Remover-Tool in die Lage versetzte, DeadBolt-Ransomware zu „isolieren“, anstatt sie zu entfernen. Ein Support-Mitarbeiter sagte, dass Benutzer das QNAP-Support-Team kontaktieren können, um den DeadBolt-Seitenblock zu entfernen und einen Entschlüsselungsschlüssel zu verwenden, falls sie einen erhalten, um mit dem Entschlüsseln der Datei zu beginnen.
Ob der Emisoft-Decryptor in dem vom QNAP-Support beschriebenen Entschlüsselungsprozess verwendet werden kann, ist derzeit unklar.
QNAP-Benutzer wurden letzte Woche kontrovers einem erzwungenen Firmware-Update unterzogen, nachdem ein DeadBolt-Ransomware-Vorfall Tausende von NAS-Laufwerken ins Visier genommen und lahmgelegt hatte. Benutzer haben ihre Wut auf das in Taiwan ansässige Hardwareunternehmen zum Ausdruck gebracht, weil es das Upgrade ohne ihre Erlaubnis erzwungen hat, und einige haben argumentiert, dass ihre Geräte schwächer als zuvor sind.
Benutzer sagten, sie hätten eine große Datenmenge verloren, nachdem sie von DeadBolt getroffen wurden, darunter der hochkarätige Podcast-Moderator und MIT-Forschungswissenschaftler Lex Fridman, der 50 TB Daten verlor, nachdem er getroffen worden war, eine Lösegeldforderung von 0,3 Bitcoin.
Erkläre das Fiasko
QNAP hat heute eine Pressemitteilung veröffentlicht, in der erklärt wird, wie und warum das erzwungene Update an alle QNAP-Kunden ausgegeben wurde, und hinzugefügt, dass es auch empfiehlt, NAS-Produkte nicht dem Internet auszusetzen.
Das Unternehmen erklärte, dass, wenn die automatische Update-Funktion für die „empfohlene Version“ auf dem NAS-Laufwerk des Benutzers aktiviert ist, das Laufwerk automatisch auf die QNAP-Firmware-Version aktualisiert wird, die es für die sicherste hält.
Die Benutzer äußerten ursprünglich Verwirrung darüber, warum ihr Produkt einem automatischen Update unterzogen wurde, und aktivierten die automatische Update-Einstellung nicht manuell. Der QNAP-Support erklärte, dass die Funktion mit Firmware-Version 4.5.0 standardmäßig deaktiviert war, aber in Firmware-Version 4.5.3 aktiviert wurde, da Benutzer dachten, dass der Parameter nach dem Upgrade auf die neuere Version unverändert übertragen wurde.
“Die empfohlene Version gilt nicht für jedes Update” er sagte QNAP-Unterstützung. „Die Leute haben also nicht bemerkt, dass das empfohlene Update auf ihrem NAS aktiviert ist. Aber nach Deadbolt haben wir ein empfohlenes Update veröffentlicht, um es vor Deadbolt zu schützen. Weil dieses Update auf eine ‚empfohlene Version‘ eingestellt war, NAS mit „empfohlene Version “aktiviert aktualisiert.
„Durch die standardmäßige Aktivierung der empfohlenen Version konnten wir viele NAS-Laufwerke schützen. Wenn Sie diese Funktion jedoch nicht möchten, können Sie sie deaktivieren.
Das Unternehmen fügte hinzu, dass es verstehe, dass Dienste während des Upgrades unterbrochen werden könnten, und dass es immer bestrebt sei, seine Produkte zu verbessern. Benutzer finden weitere Informationen in QNAP offizielle Aussage.
Die Hauptstreitpunkte wurden als Reaktion auf die Ankündigung gesammelt, wobei einige Benutzer sagten, Universal Plug and Play (UPnP), eine Reihe von Netzwerkprinzipien, die es Geräten ermöglichen, sich gegenseitig in einem gemeinsam genutzten Netzwerk zu erkennen, sollte automatisch deaktiviert werden. Dadurch wird die Portweiterleitung deaktiviert und das Gerät größtenteils vor Angriffen wie dem DeadBolt-Vorfall geschützt.
Andere wiederholten ihre Besorgnis über das Fehlen von Warnungen, die Benutzern gegeben wurden, dass ein automatisches Update bevorsteht, während eine Beschwerde, dass QNAP sagte, es würde die Implementierung in Betracht ziehen, darin bestand, dass Firmware-Versionen zurückportiert werden sollten, damit Korrekturen auf Benutzer beider Versionen angewendet werden könnten 4.x und 5.x.
Zusammenfassung von Ransomware
QNAP hat am 27. Januar ein Sicherheitsupdate für die Ransomware-Kampagne DeadBolt veröffentlicht, in dem es heißt, dass es die Geräte der Benutzer seit mehreren Tagen „weitgehend unterscheidet“. Dies wird automatisch für alle QNAP-Clients ausgelöst, um Wut in der Community zu erzeugen.
Mehr als 3.000 NAS-Einheiten wurden erfolgreich mit DeadBolt-Ransomware verschlüsselt, wobei Rücknahmeanforderungen von 0,3 Bitcoin bis 50 Bitcoin für Entschlüsselungstools reichten. Viele private und geschäftliche Benutzer haben angegeben, dass sie das Lösegeld bezahlt haben, um den Zugriff auf ihre Daten zu diesem Zeitpunkt wiederherzustellen.
QNAP rechtfertigte das erzwungene Update als schwierige, aber notwendige Entscheidung, um die meisten NAS-Produkte der Welt zu sichern, aber die Benutzer haben ihre Wut gegenüber dem Unternehmen für die Herausgabe des automatischen Patches zum Ausdruck gebracht.
Viele Besitzer von NAS-Laufwerken arbeiten aus verschiedenen Gründen mit älteren Firmware-Versionen, und ein Upgrade auf neuere und sicherere Versionen kann angesichts der stark individualisierten Konfigurationen von Benutzer zu Benutzer ein entmutigender Prozess sein.
© Dennis Publishing