Zürich ZH: Europol entschlüsselt Ransomware «QLocker»

Seit dem 22. April 2021 erhält die Kantonspolizei Zürich Meldungen von Betreibern von NAS Speichersystemen der Firma QNAP. Die Daten auf den NAS wurden verschlüsselt. Die Erpresser fordern eine Lösegeldzahlung in Bitcoin um die Daten wieder zu entschlüsseln.

Die Ransomware wurde «QLocker» betitelt.

Die Betrugsmasche
Die Hacker nutzen eine Sicherheitslücke im QNAP NAS System aus und verschlüsseln die Daten mit dem bekannten Programm 7ZIP. Sie hinterlassen eine !!!READ_ME.TXT Datei. In dieser steht: “!!! All your files have been encrypted !!! All your files were encrypted using a private and unique key generated for the computer. This key is stored in our server and the only way to receive your key and decrypt your files is making a Bitcoin payment.”

Verlangt werden 0.01 Bitcoin (ca. CHF 480). Die Zahlung soll via eine TOR (Darknet) Webseite getätigt werden:

To purchase your key and decrypt your files, please follow these steps:

1. Dowload the Tor Browser at «https://www.torproject.org/». If you need help, please Google for «access onion page».

2. Visit the following pages with the Tor Browser:

gvka2m4qt5fod2fltkjmdk4gxh5oxemhpgmnmtjptms6fkgfzdd62tad.onion

3. Enter your Client Key:

RdCcN29oD5APdCRC5g19a9mqrbC1uPCXbCJTu1RFKoMIYw4bAXHHL/I/UjlqRg1EW3iuoXCx+l2XaToe6pelcYdl/OBT/+tHdZzloBG8K4Rcog/U2bQd02O3YC……………..

Seit dem 10.5.2021 verlangen die Erpresser ein dreifach so hohes Lösegeld! 0.03 Bitcoins anstatt 0.01 Bitcoin (ca. CHF 1’576 ).

Was muss ich tun
– Laden Sie unbedingt schnell den von QNAP zur Verfügung gestellten Update herunter
– Spielen Sie den Update schnell in Ihre QNAP Server ein

Update Anleitung
Sicherheitshinweis CVE-2020-36195
Sicherheitshinweis CVE-2021-28799

Ich bin betroffen
– QNAP empfiehlt die NAS NICHT herunterzufahren
– QNAP hat eine Malware Remover Software zur Verfügung gestellt
– QNAP empfiehlt anschliessend den Support zu kontaktieren
– Europol publizierte eine Anleitung wie man die Verschlüsselung aufheben kann

Europol Anleitung Entschlüsselung
The way to retrieve the password is simple for someone that is a bit more technical.
A caveat that I forgot to mention (and very important) is that the ransom script must be still running on the NAS (the intervention should be done as soon as possible as this ransomware takes very long to encrypt everything).
User needs to login into QNAP NAS shell as admin, then run this command:
cd /usr/local/sbin; printf ‹#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleepmailto:$@>>/mnt/HDA_ROOT/7z.log\nsleep> 60000› >7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z; Once done, if you run cat /mnt/HDA_ROOT/7z.log
You will find the encryption password there in the form of … -pXXXXX … where XXXXX is the encryption password.
In the end the QNAP firmware should be updated.

Meine Daten wurden verschlüsselt
Bitte erstatten Sie Anzeige bei Ihrer lokalen Polizeistation. Es handelt sich um einen Erpressungsversuch oder um eine Erpressung. Bezahlen sie kein Lösegeld. Wir wissen von Betroffenen, die bezahlt haben, aber trotzdem KEIN Passwort zum Entschlüsseln erhalten haben.

Bekannte Erpresserische Bitcoin-Adressen
3B1rN4ewmfRuRcUFAJEfEQ9gkp8QWRrQ7q (11.05.2021)
3NtgDQCu7xck4UEpyTf8HNSSvrMCnKZRjt (10.05.2021)
3BH3t62Wr4LBZfyr6mqGgxWRvS67a8euou (04.05.2021)
3FfEjyjEiFb1HzU8VLNKkaRDH15oBsqPST (03.05.2021)
3FBzgA2iDiTnxtJ5a1FPoHAFK7zvtstQy8 (03.05.2021)

Kantonspolizei Zürich