กว่าจะมีเวลามาเขียนบล็อกตอนนี้ แอบดูไม่ทันการณ์ แต่ก็ช่วยไม่ได้ฮะ ทั้งงานประจำก็ต้องทำ แถม LINE OpenChat ถามไถ่ปัญหา QNAP NAS และปัญหา IT อื่นๆ ก็มีหลายคนสอบถามเข้ามาในประเด็น Ransomware Qlocker ถล่มผู้ใช้งาน QNAP NAS ด้วย ก็เพิ่งจะได้มีเวลามาเขียนสรุปให้อ่านกันตรงนี้นี่แหละ
มันไม่ใช่เรื่องใหม่ ที่ผู้ใช้งาน QNAP NAS จะโดนพวก Ransomware โจมตี เพราะปัจจุบัน คนหันมาใช้ NAS กันเยอะขึ้น โดยเฉพาะ QNAP NAS นี่มีคนใช้เยอะมาก เลยกลายเป็นเป้าหมายในการโจมตีของผู้ไม่หวังดีเยอะ (เหมือนที่ Windows ก็เป็นเป้าหมายโจมตีของแฮกเกอร์เช่นกัน เพราะมีคนใช้เยอะ) และผมก็เคยเขียนถึงเรื่อง Ransomware มาแล้ว ไม่ว่าจะเป็นการแจ้งเตือน Ransomware หรือ ขั้นตอนในการป้องกันตนเองจาก Ransomware ด้วยการทำ Snapshot และการกู้คืนข้อมูลจาก Snapshot เมื่อโดน Ransomware โจมตี
ส่วน Ransomware ตัวล่าสุดที่โจมตีโครมๆ งวดนี้ มีนามว่า Qlocker ครับ ทาง QNAP คาดว่าตัว Ransomware ตัวนี้อาศัยช่องโหว่สองตัวคือ CVE-2020-2509: Command Injection Vulnerability in QTS and QuTS Hero และ CVE-2020-36195: SQL Injection Vulnerability in Multimedia Console and the Media Streaming Add-On และเท่าที่ผมตามไปอ่านในเว็บไซต์ของ QNAP น่าจะมี CVE-2021-28799: Improper Authorization Vulnerability in HBS 3 Hybrid Backup Sync ด้วยอีกอัน
แต่จะใช้ช่องโหว่อะไรก็ตามแต่เถอะ เอาเป็นว่าถ้าคุณโดนมันเล่นงานเข้าให้ สิ่งที่มันจะทำก็คือ มันจะเข้ารหัสข้อมูลของคุณเป็นไฟล์ .7z ซึ่งก็คือไฟล์บีบอัดข้อมูลที่เราๆ ท่านๆ อาจจะเคยใช้กันนั่นแหละ (คล้ายๆ ไฟล์ .zip) แต่ถ้าเราจะเปิดไฟล์นั้น จะต้องใส่รหัสผ่าน ซึ่งหากเราอยากได้รหัสผ่าน เราจะต้องจ่ายค่าไถ่เป็นเงิน 0.01 BTC (ซึ่งราคาบิตคอยน์ก็รู้ๆ อยู่ว่าขึ้นๆ ลงๆ เอาเป็นว่าตอนนี้วิ่งอยู่แถวๆ 1 BTC = 1.6-2 ล้านบาทละกัน) โดยมันจะทิ้งไฟล์ !!!READ_ME.txt เอาไว้ให้อ่านครับ และบอกวิธีการจ่ายเงินค่าไถ่เอาไว้
ในช่วงแรกๆ อะ มีคนไปเจอช่องโหว่ของตัว Ransomware ทำให้มีคนสามารถเปิดไฟล์ .7z ได้ โดยไม่ต้องใส่รหัสผ่าน แต่ราวๆ 1 ชั่วโมงหลังจากที่มีคนพบช่องโหว่นี้ ไอ้คนทำ Ransomware ก็อัปเดตเพื่อปิดช่องโหว่ทันที ฉะนั้น อย่าได้นิ่งนอนใจนะครับ ป้องกันตัวได้ ป้องกันตัวไว้ก่อนเลย ถ้าคุณยังไม่โดนโจมตี ซึ่งทำได้โดย
• เปลี่ยนพอร์ตที่ใช้เข้าหน้าจอ QTS จากเดิมที่ค่าเริ่มต้นคือ 8080 เป็นเลขอื่น เลขอะไรก็ได้ โดยการไปแก้ค่า System port ที่ ControlPanel > System > General Settings > System Administration
• อัปเดต Malware Remover เป็นเวอร์ชันล่าสุดซะ (V4.6.1.1) โดยไปอัปเดตผ่าน AppCenter
• อัปเดต HBS 3 เป็นเวอร์ชันล่าสุดซะด้วย (V16.0.0419) โดยไปอัปเดตผ่าน AppCenter เช่นกัน
แล้วในอนาคต ก็อย่าลืมอัปเดตเฟิร์มแวร์ให้ทันสมัยเสมอ และค่อยอัปเดตแอปต่างๆ บน QNAP NAS ให้ทันสมัยด้วยเช่นกันนะ
แล้วถ้าเกิดคุณโดน Qlocker เรียกค่าไถ่ไปแล้ว ทำยังไงล่ะ? เขาบอกว่า ถ้าเกิดโดนแล้ว ยังพอมีความหวัง ไม่ว่าจะโดนบีบข้อมูลกลายเป็นไฟล์ .7z ไปแล้ว หรือว่ามันกำลังทำอยู่ อย่าชัตดาวน์ NAS โดยเด็ดขาด และไปดาวน์โหลด Malware Remover เวอร์ชันล่าสุดมาจาก AppCenter มารันเพื่อพยายามกำจัด Ransomware ด้วย และสุดท้าย คือ ติดต่อไปยัง QNAP Technical Support ที่ https://service.qnap.com/ ครับ
