ランサムウェア攻撃

Scott · 2025 年 2 月 5 日午前 12:22

TS653A QNAP NASをRaid 6で使用しています。Windows 10 PCからアクセスしています。ファームウェアはQTS 5.2.3.3006で、本日アップグレードしました。

長い間NASにアクセスしていませんでしたが、防犯カメラ用やホームの写真・動画のバックアップ以外の用途も探ろうと思い、再起動しました。ファームウェアとソフトウェアのアップデートを始めたところ、4TBのWDRedドライブ4台のうち2台にSMARTの問題があることが判明したため、4台の新しい8TB Seagateドライブを注文しました。

File Stationに入ると、すべての写真がzipファイルになっていることに気付きました。TXTドキュメントには「すべてのファイルが暗号化されています」と書かれており、「Tor Browserを"https://www.torproject.org/\"からダウンロードしてください。ヘルプが必要な場合は、\"access onion page"でGoogle検索してください。」と記載されています。
調べた限りでは、これはQlockerのようです。QNAPが別のドライブを使って復旧を試みる方法を案内しているのを見ました。どのファイルが暗号化されているかを確認し始めていますが、正直なところ、ほとんどのデータはPCに残っている可能性があります。動画ファイルが問題になるかと思いましたが、暗号化されていないようです。

質問ですが、QRescueプロセスの成功率はどれくらいでしょうか？NAS内で（Seagateドライブの1台を接続してファイルを復旧するなど）実行できますか、それともそのドライブをPCに接続する必要がありますか？新しいアップデートで、今回のような問題を引き起こした脆弱性は修正されていますか？QNAPに連絡しようと思っていますが、テクニカルサポートはリモートで何かしてくれるのでしょうか、それともKnowledge Baseを案内されて自分でQRescueを使うように言われるだけでしょうか？

TXTファイルの日付を見ると2021年4月21日でした。はい、しばらくNASを使っていませんでした。再び活用しようと楽しみにしていたのに、こんなことになってしまいました。もしメインPCにすべて残っていれば、復号化の試みは諦めるかもしれません。

dolbyman · 2025 年 2 月 5 日午後 4:36

ファイルの復旧は、暗号化時の空き容量と、その後NASが使用されたかどうか（削除されたファイルが上書きされたかどうか）に依存します。

Scott · 2025 年 2 月 5 日午後 8:03

大丈夫そうです。データの復旧を試みる必要はなさそうです。NASにあった写真ファイルのほとんどはデスクトップにもありましたが、デスクトップにないものもかなりありました。実は、それらは前のデスクトップコンピューターからNASにコピーしたもので、新しいデスクトップには入れていませんでした。幸い、古いハードドライブはまだ手元にあり、今日接続してみたところ、足りなかったファイルはすべてそこにありました。

それに加えて、2台のハードドライブがSMART機能に関して警告を出しているので、注文した新しい8TBのハードドライブ4台にすべて入れ替えて、最初からやり直そうと思います。まだ動作する2台の4TBハードドライブは消去してNASに入れ、防犯カメラの録画用に使う予定です。ちょうど自分のセキュリティシステムを構築しているところなので役立ちそうです。返信ありがとうございます。幸運にも、今回はとてもラッキーでした。

Toxic · 2025 年 2 月 5 日午後 9:25

その前に、NASがインターネットに公開されていないことを必ず確認してください。そうしないと、再びNASがランサムウェアに感染してしまいます。ルーターからNASへのポートフォワーディングは絶対にしないでください。ルーターとNASの両方でUPnP（ユーピーエヌピー）を無効にしてください。myqnapcloudやその他のNAS共有機能の使用は強くおすすめしません。

リモートアクセスが必要な場合は、ルーターまたはネットワーク上のRaspberry Pi（ラズベリーパイ）で専用のVPNサーバーを使用してください。