Home>>บทความ How-to>>ฟีเจอร์ Snapshots ของ QNAP NAS ปกป้องข้อมูลของผมจากการโจมตีของ Ransomware QLocker ได้ยังไง?
QLocker ระลอกสอง
บทความ How-toบ่นเรื่อยเปื่อยQNAP User Guide

ฟีเจอร์ Snapshots ของ QNAP NAS ปกป้องข้อมูลของผมจากการโจมตีของ Ransomware QLocker ได้ยังไง?

ปีนี้สงสัยเป็นปีชงของ QNAP อะ สัปดาห์แรก ก็มีสัญญาณเตือนเข้ามาว่า QLocker ที่เป็น Ransomware มาโจมตีอีกครั้งแล้ว และเมื่อสัปดาห์ก่อนก็มีปัญหาจากการตั้งค่า Auto update ของแอป Malware Remover ส่งผลให้ QNAP NAS ตกอยู่ในสถานะ Disconnected ครับ คือ แม้เครื่องจะเปิดอยู่ ทำงานอยู่ แต่ผู้ใช้งานก็เข้าไปใช้งานไม่ได้ ต้องปิดเครื่องเปิดใหม่จากหน้าตัวเครื่อง ตามที่ QNAP เขาแนะนำ ส่วนผม ปีนี้ไม่ใช่ปีชง แต่ก็ไม่วายติดร่างแหครับ โดนทั้งสองเรื่องเลย ทั้งปัญหาเครื่องค้างจาก Malware Remover และก็ตกเป็นเหยื่อของ QLocker ระลอกสองกับเขาด้วย … แต่ผมชิลล์นะ เพราะผมแบ็กอัปเอาไว้แล้วด้วย Snapshots

QLocker ระลอกสองมาจากไหน ทำอะไรบ้าง?

ตอนนี้ผมก็รอข้อมูลอย่างเป็นทางการจาก QNAP อยู่เหมือนกันครับ (แต่คงวุ่นอยู่แหละ เพราะลูกค้าโดนกันเกลื่อนเลย ขนาดผมที่รอดจาก QLocker ระลอกแรก ที่โจมตีผ่าน HBS3 กับ Multimedia Console/Media Streaming ยังไม่รอดรอบนี้เลย) แต่จากที่ผมเห็นข้อมูลกันมานั้น ช่องทางโจมตีของ QLocker นั้นน่าจะมาจาก…

*️⃣ ถ้าใครเปิดใช้งาน myQNAPcloud แล้วมีการตั้งค่าแบบ Auto Router Configuration ด้วย UPnP อาจจะเสี่ยงต่อการถูกโจมตี
*️⃣ การโจมตีระลอกนี้ QLocker น่าจะใช้ช่องโหว่จาก QuMagie และ VideoStation ครับ โดยสังเกตจากการที่เมื่อเอา Malware Remover 5.6.1.2 ไปสแกนแล้ว มันปิด Service ของสองแอปนี้ หากไม่ได้รับการอัปเดต และอาจจะมี PhotoStation เกี่ยวด้วยแหละ (มั้ง)

การตั้งรหัสผ่านดี การ Disable บัญชี admin การเปิด 2-step authentication ไม่ได้ช่วยอะไรเรื่องนี้เลย บอกเลย

ส่วนคำถามที่ว่ามันจะทำอะไรบ้าง เท่าที่โดนกับตัวเลยก็คือ มันจะทำการเข้ารหัสไฟล์ของเราให้กลายเป็นไฟล์ .7z แล้วล็อกรหัสผ่านเอาไว้ ไฟล์ที่จะโดนเข้ารหัสก็จะเป็นไฟล์ขนาดไม่ใหญ่ครับ พวกหลักสิบเมกะไบต์เนี่ย มีสิทธิ์โดนเต็มๆ แต่ถ้าเป็นพวกหลายร้อย MB หรือเป็นหลัก GB เลยเนี่ย รอด ตรงนี้คงเพราะว่าเพื่อจะได้เข้ารหัสได้เสร็จไวๆ ผู้ใช้งานจะได้ไหวตัวไม่ทัน

ถ้าโดนเข้าแล้ว โฟลเดอร์ไหนโดนเข้ารหัสไว้ เราจะเห็นสองอย่าง คือ ไฟล์ !!!READ_ME.txt และไฟล์ข้อมูลต่างๆ ของเรา ที่ยังคงเป็นชื่อเดิม แต่นามสกุลเพิ่มเติมมาคือ .7z ครับ ถ้าเราจะเปิดไฟล์นี้ มันจะถามหารหัสผ่าน ซึ่งถ้าอยากได้ ต้องจ่ายตังค์ให้กับมิจฉาชีพ (และไม่รู้ว่าจะได้รหัสมาไหมนะ)

ตัวอย่างโฟลเดอร์ที่ถูกเข้ารหัสเอาไว้

ถ้าเปิดไฟล์ !!!READ_ME.txt ก็จะเห็นข้อความที่บอกว่า ข้อมูลของเราโดนเข้ารหัสไว้ และกุญแจไขอยู่ในเซิร์ฟเวอร์ของเรา ต้องจ่ายตังค์ซื้อ โดยเราจะต้องไปดาวน์โหลด Tor Browser มาก่อน (เพื่อป้องกันการแกะรอยตาม) แล้วไปตาม URL ที่บอกไว้ โดยกรอก Client key เข้าไป เพื่อดำเนินการต่อ ถ้าใครอยากจ่ายตังค์ แล้วอยากรู้ว่าไปที่เว็บนั้นแล้วจะเป็นยังไงบ้าง ให้ไปอ่านข้อมูลเพิ่มจาก Qlocker ransomware returns to target QNAP NAS devices worldwide (bleepingcomputer.com)

ข้อความในไฟล์ !!!READ_ME.txt

แต่สำหรับผม ผมชิลล์ครับ ผมมีการสำรองข้อมูลของ NAS ทั้ง Volume ไว้ด้วย Snapshots เลย โดยมีการทำทุกวัน (เพราะข้อมูลของผมมีแนวโน้มที่จะมีการเปลี่ยนแปลงไม่มาก) และทำ Smart Versioning เอาไว้ ดังนั้น ก่อนอื่นผมต้องไปปิด Snapshots ทิ้งก่อน เพื่อไม่ให้มันไปวน สร้างแบ็กอัปจากไฟล์ที่ถูกเข้ารหัสเพิ่ม จากนั้นที่ต้องทำก็แค่ สแกนเครื่องด้วย Malware Remover เพื่อให้แน่ใจว่าไม่มี Ransomware อยู่แน่ๆ แล้ว แล้วก็ไปลบไฟล์ทิ้งให้หมด (ไอ้ที่โดนเข้ารหัส) จากนั้นก็กู้ข้อมูลคืนจาก Snapshot อันที่ทำเอาไว้ก่อนจะโดน Ransomware โจมตีครับ จบ … ง่ายๆ แค่เนี้ย … ที่น่ารำคาญคือการกู้ข้อมูลก็แอบนานนิดนึง เพราะข้อมูลผมมันราวๆ 13TB อะ

แต่ถ้าใครไม่ได้ทำแบ็กอัปเอาไว้ ไม่เคยทำ Snapshots ก็แนะนำให้หยุดการใช้ QNAP NAS ไปก่อนเลยครับ เพราะใช้อะไรไม่ได้อยู่ดี ข้อมูลโดนเข้ารหัส จากนั้นติดต่อ QNAP Thailand เลยฮะ ติดต่อได้ที่ service.qnap.com/th-th หรือโทร 082-687-9710 (เบอร์ Call Center ชั่วคราว) หรืออีเมล thsales@qnap.com ในวันจันทร์-ศุกร์ 09;00-17:00 ยกเว้นวันหยุดราชการและวันหยุดนักขัตฤกษ์ เพื่อขอคำแนะนำครับ ส่วนข้อมูลที่ถูกเข้ารหัส เขาจะมีโปรแกรมชื่อ QRescue เอาไว้ช่วยได้ (แต่ได้มากน้อยแค่ไหน ต้องดูเป็นเคสๆ ไปนะ)

แต่ต้องใจเย็นนะครับ เคสนี้โดนกันทั้งโลก ในไทยก็โดนกันไม่น้อย (ผมก็โดน เห็นแมะ) ตอนนี้คนน่าจะติดต่อขอความช่วยเหลือกันเยอะเลยครับ รีบไปต่อคิว

วางแผนแบ็กอัปไว้ดี มีชัยไปกว่าครึ่ง เห็นปะ

ขอปิดท้ายให้เห็นนะครับ แม้ผมจะพลาดท่าโดน QLocker เล่นงานตามเทรนด์โลก แต่ผมก็ไม่ได้เดือดเนื้อร้อนใจเรื่องการแก้ปัญหาเท่าไหร่เลย เพราะผมวางแผนแบ็กอัปเอาไว้ดีอยู่แล้ว เผื่อไว้ทั้งตอนฮาร์ดแวร์เสียหาย หรือแม้กระทั่งไฟล์โดนลบหรือ Ransomware มาโจมตีเลยฮะ ไอ้ที่ต้องทำก็แค่ กู้ข้อมูลกลับมาจากที่แบ็กอัปเอาไว้ เสียเวลาหน่อย เพราะว่าข้อมูลมีเยอะ แต่ผมก็สามารถเลือกได้ว่าจะกู้ส่วนไหนออกมาก่อน อันไหนจำเป็นต้องใช้ ก็เริ่มจากอันนั้นก่อน แล้วก็เลือกกู้เฉพาะจุด เพื่อจะได้เสร็จไวๆ จากนั้น มีเวลา ก็ไปไล่กู้ข้อมูลจากที่เหลือ

ถ้าไม่มีแบ็กอัปใดๆ โชคดีก็ยังแค่ต่อรอคิวให้ทางทีมบริการของ QNAP มาช่วย (ก็รอคิวนานหน่อยนะ) แต่ถ้าโชคร้าย ก็บอกบ๊ายบายข้อมูลอันสำคัญยิ่งของคุณได้เลยครับ

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.

เราใช้คุกกี้เพื่อพัฒนาประสิทธิภาพ และประสบการณ์ที่ดีในการใช้เว็บไซต์ของคุณ คุณสามารถศึกษารายละเอียดได้ที่ นโยบายความเป็นส่วนตัว และสามารถจัดการความเป็นส่วนตัวเองได้ของคุณได้เองโดยคลิกที่ ตั้งค่า

ตั้งค่าความเป็นส่วนตัว

คุณสามารถเลือกการตั้งค่าคุกกี้โดยเปิด/ปิด คุกกี้ในแต่ละประเภทได้ตามความต้องการ ยกเว้น คุกกี้ที่จำเป็น

ยอมรับทั้งหมด
จัดการความเป็นส่วนตัว
  • คุกกี้ที่จำเป็น
    เปิดใช้งานตลอด

    ประเภทของคุกกี้มีความจำเป็นสำหรับการทำงานของเว็บไซต์ เพื่อให้คุณสามารถใช้ได้อย่างเป็นปกติ และเข้าชมเว็บไซต์ คุณไม่สามารถปิดการทำงานของคุกกี้นี้ในระบบเว็บไซต์ของเราได้
    รายละเอียดคุกกี้

  • คุกกี้เพื่อการวิเคราะห์

    คุกกี้ประเภทนี้จะทำการเก็บข้อมูลการใช้งานเว็บไซต์ของคุณ ผมใช้แค่ดูว่ามีคนเข้ามาดูเว็บไซต์ผมกี่คน กี่ครั้ง และดูหน้าเว็บไหนบ้าง ถ้าคุณปิดการใช้งาน ผมก็จะไม่เห็นว่ามีคนเข้ามาอ่านบล็อกของผมกี่คน กี่ครั้ง
    รายละเอียดคุกกี้

บันทึกการตั้งค่า