ปีนี้สงสัยเป็นปีชงของ QNAP อะ สัปดาห์แรก ก็มีสัญญาณเตือนเข้ามาว่า QLocker ที่เป็น Ransomware มาโจมตีอีกครั้งแล้ว และเมื่อสัปดาห์ก่อนก็มีปัญหาจากการตั้งค่า Auto update ของแอป Malware Remover ส่งผลให้ QNAP NAS ตกอยู่ในสถานะ Disconnected ครับ คือ แม้เครื่องจะเปิดอยู่ ทำงานอยู่ แต่ผู้ใช้งานก็เข้าไปใช้งานไม่ได้ ต้องปิดเครื่องเปิดใหม่จากหน้าตัวเครื่อง ตามที่ QNAP เขาแนะนำ ส่วนผม ปีนี้ไม่ใช่ปีชง แต่ก็ไม่วายติดร่างแหครับ โดนทั้งสองเรื่องเลย ทั้งปัญหาเครื่องค้างจาก Malware Remover และก็ตกเป็นเหยื่อของ QLocker ระลอกสองกับเขาด้วย … แต่ผมชิลล์นะ เพราะผมแบ็กอัปเอาไว้แล้วด้วย Snapshots
QLocker ระลอกสองมาจากไหน ทำอะไรบ้าง?
ตอนนี้ผมก็รอข้อมูลอย่างเป็นทางการจาก QNAP อยู่เหมือนกันครับ (แต่คงวุ่นอยู่แหละ เพราะลูกค้าโดนกันเกลื่อนเลย ขนาดผมที่รอดจาก QLocker ระลอกแรก ที่โจมตีผ่าน HBS3 กับ Multimedia Console/Media Streaming ยังไม่รอดรอบนี้เลย) แต่จากที่ผมเห็นข้อมูลกันมานั้น ช่องทางโจมตีของ QLocker นั้นน่าจะมาจาก…
*️⃣ ถ้าใครเปิดใช้งาน myQNAPcloud แล้วมีการตั้งค่าแบบ Auto Router Configuration ด้วย UPnP อาจจะเสี่ยงต่อการถูกโจมตี
*️⃣ การโจมตีระลอกนี้ QLocker น่าจะใช้ช่องโหว่จาก QuMagie และ VideoStation ครับ โดยสังเกตจากการที่เมื่อเอา Malware Remover 5.6.1.2 ไปสแกนแล้ว มันปิด Service ของสองแอปนี้ หากไม่ได้รับการอัปเดต และอาจจะมี PhotoStation เกี่ยวด้วยแหละ (มั้ง)
การตั้งรหัสผ่านดี การ Disable บัญชี admin การเปิด 2-step authentication ไม่ได้ช่วยอะไรเรื่องนี้เลย บอกเลย
ส่วนคำถามที่ว่ามันจะทำอะไรบ้าง เท่าที่โดนกับตัวเลยก็คือ มันจะทำการเข้ารหัสไฟล์ของเราให้กลายเป็นไฟล์ .7z แล้วล็อกรหัสผ่านเอาไว้ ไฟล์ที่จะโดนเข้ารหัสก็จะเป็นไฟล์ขนาดไม่ใหญ่ครับ พวกหลักสิบเมกะไบต์เนี่ย มีสิทธิ์โดนเต็มๆ แต่ถ้าเป็นพวกหลายร้อย MB หรือเป็นหลัก GB เลยเนี่ย รอด ตรงนี้คงเพราะว่าเพื่อจะได้เข้ารหัสได้เสร็จไวๆ ผู้ใช้งานจะได้ไหวตัวไม่ทัน
ถ้าโดนเข้าแล้ว โฟลเดอร์ไหนโดนเข้ารหัสไว้ เราจะเห็นสองอย่าง คือ ไฟล์ !!!READ_ME.txt และไฟล์ข้อมูลต่างๆ ของเรา ที่ยังคงเป็นชื่อเดิม แต่นามสกุลเพิ่มเติมมาคือ .7z ครับ ถ้าเราจะเปิดไฟล์นี้ มันจะถามหารหัสผ่าน ซึ่งถ้าอยากได้ ต้องจ่ายตังค์ให้กับมิจฉาชีพ (และไม่รู้ว่าจะได้รหัสมาไหมนะ)
ถ้าเปิดไฟล์ !!!READ_ME.txt ก็จะเห็นข้อความที่บอกว่า ข้อมูลของเราโดนเข้ารหัสไว้ และกุญแจไขอยู่ในเซิร์ฟเวอร์ของเรา ต้องจ่ายตังค์ซื้อ โดยเราจะต้องไปดาวน์โหลด Tor Browser มาก่อน (เพื่อป้องกันการแกะรอยตาม) แล้วไปตาม URL ที่บอกไว้ โดยกรอก Client key เข้าไป เพื่อดำเนินการต่อ ถ้าใครอยากจ่ายตังค์ แล้วอยากรู้ว่าไปที่เว็บนั้นแล้วจะเป็นยังไงบ้าง ให้ไปอ่านข้อมูลเพิ่มจาก Qlocker ransomware returns to target QNAP NAS devices worldwide (bleepingcomputer.com)
แต่สำหรับผม ผมชิลล์ครับ ผมมีการสำรองข้อมูลของ NAS ทั้ง Volume ไว้ด้วย Snapshots เลย โดยมีการทำทุกวัน (เพราะข้อมูลของผมมีแนวโน้มที่จะมีการเปลี่ยนแปลงไม่มาก) และทำ Smart Versioning เอาไว้ ดังนั้น ก่อนอื่นผมต้องไปปิด Snapshots ทิ้งก่อน เพื่อไม่ให้มันไปวน สร้างแบ็กอัปจากไฟล์ที่ถูกเข้ารหัสเพิ่ม จากนั้นที่ต้องทำก็แค่ สแกนเครื่องด้วย Malware Remover เพื่อให้แน่ใจว่าไม่มี Ransomware อยู่แน่ๆ แล้ว แล้วก็ไปลบไฟล์ทิ้งให้หมด (ไอ้ที่โดนเข้ารหัส) จากนั้นก็กู้ข้อมูลคืนจาก Snapshot อันที่ทำเอาไว้ก่อนจะโดน Ransomware โจมตีครับ จบ … ง่ายๆ แค่เนี้ย … ที่น่ารำคาญคือการกู้ข้อมูลก็แอบนานนิดนึง เพราะข้อมูลผมมันราวๆ 13TB อะ
แต่ถ้าใครไม่ได้ทำแบ็กอัปเอาไว้ ไม่เคยทำ Snapshots ก็แนะนำให้หยุดการใช้ QNAP NAS ไปก่อนเลยครับ เพราะใช้อะไรไม่ได้อยู่ดี ข้อมูลโดนเข้ารหัส จากนั้นติดต่อ QNAP Thailand เลยฮะ ติดต่อได้ที่ service.qnap.com/th-th หรือโทร 082-687-9710 (เบอร์ Call Center ชั่วคราว) หรืออีเมล thsales@qnap.com ในวันจันทร์-ศุกร์ 09;00-17:00 ยกเว้นวันหยุดราชการและวันหยุดนักขัตฤกษ์ เพื่อขอคำแนะนำครับ ส่วนข้อมูลที่ถูกเข้ารหัส เขาจะมีโปรแกรมชื่อ QRescue เอาไว้ช่วยได้ (แต่ได้มากน้อยแค่ไหน ต้องดูเป็นเคสๆ ไปนะ)
แต่ต้องใจเย็นนะครับ เคสนี้โดนกันทั้งโลก ในไทยก็โดนกันไม่น้อย (ผมก็โดน เห็นแมะ) ตอนนี้คนน่าจะติดต่อขอความช่วยเหลือกันเยอะเลยครับ รีบไปต่อคิว
วางแผนแบ็กอัปไว้ดี มีชัยไปกว่าครึ่ง เห็นปะ
ขอปิดท้ายให้เห็นนะครับ แม้ผมจะพลาดท่าโดน QLocker เล่นงานตามเทรนด์โลก แต่ผมก็ไม่ได้เดือดเนื้อร้อนใจเรื่องการแก้ปัญหาเท่าไหร่เลย เพราะผมวางแผนแบ็กอัปเอาไว้ดีอยู่แล้ว เผื่อไว้ทั้งตอนฮาร์ดแวร์เสียหาย หรือแม้กระทั่งไฟล์โดนลบหรือ Ransomware มาโจมตีเลยฮะ ไอ้ที่ต้องทำก็แค่ กู้ข้อมูลกลับมาจากที่แบ็กอัปเอาไว้ เสียเวลาหน่อย เพราะว่าข้อมูลมีเยอะ แต่ผมก็สามารถเลือกได้ว่าจะกู้ส่วนไหนออกมาก่อน อันไหนจำเป็นต้องใช้ ก็เริ่มจากอันนั้นก่อน แล้วก็เลือกกู้เฉพาะจุด เพื่อจะได้เสร็จไวๆ จากนั้น มีเวลา ก็ไปไล่กู้ข้อมูลจากที่เหลือ
ถ้าไม่มีแบ็กอัปใดๆ โชคดีก็ยังแค่ต่อรอคิวให้ทางทีมบริการของ QNAP มาช่วย (ก็รอคิวนานหน่อยนะ) แต่ถ้าโชคร้าย ก็บอกบ๊ายบายข้อมูลอันสำคัญยิ่งของคุณได้เลยครับ
