Ransomware Qlocker: So stellen Sie Ihre Daten (großteils) wieder her

19. Mai, 2021

Qlocker attackierte über eine Schwachstelle in den NAS-Geräten von QNAP vor allem kleine und mittlere Unternehmen.

Qlocker 01

Die Lösegeldforderung der Angreifer war mit erst 0,01 und später 0,03 Bitcoin (rund 500 bis 1.500 Euro) vergleichsweise moderat – das Ergebnis jedoch unzuverlässig.  Nicht alle, die bezahlten, erhielten den versprochenen Schlüssel, um ihre Daten zu entschlüsseln.

Die Daten der Ransomware-Opfer wurden nicht mit eigener Malware, sondern mit dem Pack-Programm 7-Zip mit einem 32 Zeichen langen Schlüssel für Advanced Encryption Standard (AES) verschlüsselt. Bald nach Bekanntwerden der Angriffe wurde eine Schwachstelle in der Qlocker Tor Seite entdeckt, durch die die 7-Zip Passwörter kostenlos zurückgewonnen werden konnten. Der Bug wurde jedoch behoben.

Zwei österreichische Sicherheitsforscher entdeckten nun einen weiteren Fehler in den Qlocker Ransome-Attacken: Die Angreifer haben die vergessen, die Originaldaten nach der Verschlüsselung zu löschen.

„Wenn Sie also die Dateien auf der ext4-Partition wiederherstellen, erhalten Sie die meisten Ihrer Dateien zurück“, erklärt einer der Experten. Allerdings bleiben die Dateien leider ohne aussagekräftige Namen, ohne Verzeichnisstruktur und alle mit demselben Zeitstempel zurück. Aber auch dieses Problem haben die Forscher behoben: „Durch Anpassen der Größe und des CRC32 der ursprünglichen und der nicht gelöschten Dateien können die meisten Informationen wiederhergestellt werden“, so die gute Nachricht – jedoch mit einer Warnung: „Beachten Sie, dass Sie so nicht alle Ihre Daten zurückerhalten.“ Dateien, die während der Verschlüsselung überschrieben wurden, bleiben verloren. In einem Fall konnten allerdings 90% der verschlüsselten Files wiederhergestellt werden.

Die Sicherheitsexperten stellen allen Betroffenen und Interessierten eine Beschreibung des Wiederherstellungsprozesses und das grundlegende Script zur Wiederherstellung der Dateiinformationen kostenlos bereit.

Download description: How to recover and rename your data after Qlocker (pdf)

Download q-recover script: Rename your files by script

Quelle:

https://www.bleepingcomputer.com/news/security/massive-qlocker-ransomware-attack-uses-7zip-to-encrypt-qnap-devices/

Red Teams, Blue Teams, Purple Teaming

MSSP of the Year 2024

SIEM

Was ist ein SIEM?

Nozomi Guardian Air
HarfangLab Guard
MITRE ATT&CK Framework
v.l.n.r.: Joe Pichlmayr (CEO IKARUS) – Anouck Teiller (CSO HarfangLab) –Alexander van der Bellen (Bundespräsident Österreich) - Frédéric Joureau (Erster Botschaftsrat der französischen Botschaft in Wien) – Christian Fritz (COO IKARUS)
EDR
Cyber Kill Chain
Business Email Compromise
Prognosen für die zehn größten Cybersecurity-Bedrohungen für 2030
E-Mail Verschlüsselung
Schritt für Schritt zum Notfallplan für IT-Security-Incidents
Account Management
Bedrohung

WIR FREUEN UNS AUF SIE!

IKARUS Security Software GmbH
Blechturmgasse 11
1050 Wien

Telefon: +43 1 58995-0
Sales Hotline: +43 1 58995-500
sales@ikarus.at

SUPPORT-HOTLINE:

Support-Infoseite

Support-Hotline:
+43 1 58995-400
support@ikarus.at

Support-Zeiten:
Mo bis Do: 8.00 – 17.00 Uhr
Fr: 8.00 – 15.00 Uhr
24/7 Support nach Vereinbarung

Fernwartung:
AnyDesk Download