Nyhet

Løsepengevirus har infiltrert populær backupløsning

Eiere av filservere fra Qnap mister innhold.

Qnap-servere som dette er rammet av løsepengevirus. Hackere krever 4600 kroner i Bitcoin for å låse opp innholdet. Foreløpig er det uklart om brukere trenger hackernes passord, eller kan låse opp innholdet på egen hånd.

Løsepengevirus rammer stadig oftere, og ett av de vanligste verktøyene mot å miste data er å ha en god backupløsning. Nå ser det ut til at én slik backupløsning i seg selv er rammet av løsepengevirus, eller kryptolocker, om du vil. Det er lagringsserverne fra Qnap som nå påvirkes av løsepengeviruset Qlocker, der hele innholdet på serveren blir utilgjengelig.

Bleepingcomputer melder at det skal dreie seg om en nyere sårbarhet som har gitt utenforstående full tilgang til å installere ting på serveren. Det som deretter skjer er at programvaren 7zip brukes til å lage én diger kryptert fil av alt som er lagret på disken. I utgangspunktet får du ikke tilgang på nøkkelen til den filen uten å betale for den - og da er den også ubrukelig, og dataene er borte hvis du ikke har dem enda et sted.

PS! Nettstedet melder at det er funnet svakheter med metoden som er brukt, og at det kan tenkes dataene lar seg hente frem igjen uten å betale.

Filer flyttes inn i kryptert mappe

For Qnap-bokser som er rammet av problemet ligger gjerne applikasjonen 7zip i bakgrunnen og jobber mens filene flyttes inn i det kodelåste arkivet en etter en. Brukere rapporterer at de får kontakt med boksen, men typisk ikke får gjort stort med den krypterte filen som ligger der, og heller ikke alltid får svar på standardkommandoer som kan sendes til den.

En «hjelpefil» med informasjon om hva som har skjedd og hvor hackerne forventer penger betalt er det eneste som blir liggende åpent utenfor den krypterte 7zip-filen.

Kravet for å løslate filene igjen skal være 0,01 bitcoin, i nåværende stund rundt 4600 kroner.

Angrepet skal ha begynt den 19. april, og skal ha ledet til stor aktivitet på Qnaps hjelpeforum. I tillegg er det tre til dels store tråder på Reddit om hendelsen.

Qnaps skytjeneste involvert?

På Reddit spekuleres det i at Qnaps skystyringstjeneste kan være en viktig del av måten angrepet sprer seg på, og det blir anbefalt å skru av den biten.

I tillegg har produsenten sluppet flere oppdateringer som skal tette viktige hull i programvaren til lagringsboksene, inkludert en sårbarhet forbundet med tilgangskontroll med alvorlighetsgrad kritisk som er tettet så sent som i dag. Om denne siste oppdateringen er koblet til Qlocker-angrepet er uvisst.

Oppdater og ha backup

Den viktigste måten å sørge for å ikke bli angrepet er å ha oppdatert utstyr. Som regel blir de fleste store hull tettet før slike store angrep som dette settes i gang. Oppdaterer du utstyret med en gang oppdateringer blir tilgjengelig er du tryggere enn hvis du utsetter det.

Husk dessuten på at en oppdatert backup-boks ikke er tryggere enn den minst oppdaterte PC-en som har direkte tilgang på den. En PC med løsepengevirus på kan fort få til å putte alle filene i backuptjenesten din bak lås og slå selv om selve backupløsningen er aldri så oppdatert.

Ellers er det alltid greit å påpeke at en fil som er lagret i en filserver eller på nettet ikke i seg selv er en sikkerhetskopi. Det blir den først når den ligger to steder, og aller tryggest er den om de to stedene ikke er i nær tilknytning til hverandre, selv om det fort kan bli knotete å ta backuper til et sted utenfor eget hus eller nettverk.

Og hvis du akkurat har oppdaget at filserveren din er uventet slunken er det muligens en liten trøst at også teknostorheter som Acer, Apple og CD Projekt Red har blitt ofre for løsepengevirus den siste tiden.

annonse