Ransomware на NAS QNAP — як захистити дані перед аналізом
Якщо на QNAP або іншому NAS файли раптом отримали незнайомі розширення, перестали відкриватися, а в каталогах з’явилася записка з вимогою викупу, це може бути наслідком ransomware. Перший крок — ізолювати пристрій і зупинити подальші зміни. Не намагайтеся одразу повернути NAS у роботу ціною втрати слідів інциденту.
Типові ознаки інциденту
- масова зміна назв або розширень файлів;
- записки з вимогами в багатьох спільних каталогах;
- файли мають звичний розмір, але не відкриваються;
- несподівані облікові записи, завдання або зміни конфігурації;
- зашифровані дані синхронізувалися на комп’ютери чи інші сховища.
Окремий пошкоджений файл не доводить атаку. Потрібно врахувати журнали, структуру змін і стан томів. Так само відсутність записки не виключає інциденту.
Що зробити одразу
- Від’єднайте NAS від мережі, щоб обмежити віддалений доступ і подальшу синхронізацію.
- Зупиніть завдання резервного копіювання та синхронізації, якщо вони переносять змінені дані на інші носії.
- Не вимикайте інші системи навмання; зафіксуйте їх стан і дійте за планом реагування організації.
- Збережіть записку про викуп, розширення зашифрованих файлів, назви спільних ресурсів, скриншоти й час виявлення.
- Запишіть інформацію про snapshots, резервні копії, модель NAS, конфігурацію пулу та порядок дисків.
Чого не робити
- Не видаляйте зашифровані файли й записки, поки не створено контрольований набір доказів.
- Не скидайте QNAP до заводських налаштувань і не створюйте новий пул.
- Не оновлюйте мікропрограму без плану збереження поточного стану.
- Не ініціалізуйте томи й не погоджуйтеся на автоматичне виправлення файлової системи.
- Не монтуйте всі ресурси повторно в режимі запису.
- Не запускайте багато випадкових дешифраторів на єдиному екземплярі даних.
Навіть корисний інструмент потрібно спочатку перевіряти на копії. Невідповідний дешифратор може змінити файл, не відновивши його структуру, і ускладнити подальший аналіз.
Чому RAID не є резервною копією
RAID допомагає зберегти доступність при певних відмовах дисків, але всі носії масиву бачать ті самі логічні зміни. Якщо ransomware шифрує файли на томі, надлишковість RAID не повертає їх попередній вміст. Окремі snapshots або від’єднані резервні копії можуть бути корисними, якщо вони не були видалені чи перезаписані.
Від чого залежить можливість відновлення
- від наявності та цілісності резервних копій і snapshots;
- від обсягу подальшого запису й синхронізації після атаки;
- від стану самого RAID і кожного фізичного диска;
- від збереження метаданих файлової системи та конфігурації NAS;
- від конкретного типу атаки й способу зміни файлів.
Ці фактори потрібно перевірити, а не припускати. Заголовок про відновлення без викупу не є гарантією результату. У деяких випадках джерелом можуть бути резервні копії, snapshots або дані, які не були перезаписані; в інших технічної можливості повернути потрібні файли може не бути.
Що зберегти для аналізу
- оригінальну записку про викуп і кілька прикладів зашифрованих файлів;
- один або кілька відомих оригіналів тих самих типів файлів, якщо вони є поза NAS;
- журнали QNAP, маршрутизатора, систем безпеки й облікових записів;
- експорт конфігурації, назви shares, інформацію про пул, томи та snapshots;
- опис резервних копій: де вони зберігаються, коли востаннє перевірялися та чи були підключені під час інциденту;
- хронологію перших симптомів і дій після виявлення.
Рішення щодо викупу
Рішення про контакт зі зловмисниками або оплату належить власнику даних чи організації. Воно може потребувати консультації фахівців із кібербезпеки, страховика та юриста. Ця сторінка не є юридичною порадою й не рекомендує платити або не платити. Викуп також не є технічною гарантією отримання працездатного ключа чи повного повернення файлів.
Поширені запитання
Чи треба негайно вимкнути NAS?
Найперше потрібно ізолювати мережу та зупинити зміни. Спосіб вимкнення залежить від стану системи й плану реагування; хаотичні дії можуть втратити частину журналів.
Чи можна оновити QNAP і просканувати його антивірусом?
Не на єдиному оригіналі до фіксації стану. Оновлення й очищення можуть змінити журнали, конфігурацію та файлову систему.
Чи snapshots завжди повертають дані?
Ні. Потрібно перевірити, чи вони існують, чи не були видалені атакою та чи містять потрібний момент.
Чи можна перевірити дешифратор?
Лише після ідентифікації загрози й на контрольованих копіях. Не запускайте випадкові програми на єдиному наборі файлів.
Наступний крок
Збережіть докази, не змінюйте диски й конфігурацію та підготуйте пріоритети відновлення. Для інцидентів організації використовуйте відновлення даних для бізнесу, а для оцінки стану масиву — відновлення даних з RAID.