지난 9월 말부터 QNAP NAS만을 공격하는 Muhstik 랜섬웨어로 인해 전세계 수천대의 NAS의 데이터가 암호화되어 막대한 피해를 입었습니다. Muhstik 랜섬웨어는 phpMyAdmin 서비스에서 보안이 취약한 암호를 사용하는 NAS를 무차별적으로 공격하였습니다. NAS에 저장된 모든 파일을 암호화하여 이를 복구하려면 해커에게 큰 비용을 지불해야 합니다.
Muhstik 랜섬웨어는 Amigo-A에 의해 발견된 랜섬웨어로 , QNAPCrypt 랜섬웨어의 새로운 변종입니다. 이 랜섬웨어는 주로 QNAP NAS 장치를 대상으로 공격하도록 설계되었지만 일반 사용자도 공격 위험에 노출됩니다.
10월 7일 독일의 소프트웨어 개발자인 Tobias Frömel가 복호화키를 배포하였습니다.
Tobias Frömel은 이 랜섬웨어 피해자지만, 해커에게 비용을 지불한 후 랜섬웨어를 직접 분석하고 취약점을 파악하여 침해당한 2,858대를 위한 복호화키를 직접 개발하여 배포하였습니다.
Tobias Frömel의 복호화 키는 하단의 링크에서 다운로드 받을 수 있습니다.
https://mega.nz/#!O9Jg3QYZ!5Gj8VrBXl4ebp_MaPDPE7JpzqdUaeUa5m9kL5fEmkVs
nas가 웹에 연결되어 있으면 안되며, nas에 업로드한 후에 "chmod +x decrypt", "sudo ./decrypt YOURDECRYPTIONKEY" 명령어를 입력하시면 됩니다.
본 과정은 복호화 방법만 제시할 뿐 복호화 되지 않거나 파일이 훼손되는 것에 대해 책임지지 않습니다.
phpMyAdmin에 엑세스한 후 사용자의 모든 파일을 암호화하고 명령 및 제어 ( C & C ) 서버에 암호 해독 키 사본을 저장합니다.
Muhstik 랜섬웨어로 암호화된 파일들은 ".muhstik" 확장자로 변경됩니다. 또한 "README_FOR_DECRYPT.txt" 텍스트 파일을 생성하여 피해자에게 랜섬웨어 감염 사실을 알립니다.
관련 기사 : https://www.bleepingcomputer.com/news/security/muhstik-ransomware-victim-hacks-back-releases-decryption-keys/
https://www.zdnet.com/article/white-hat-hacks-muhstik-ransomware-gang-and-releases-decryption-keys/
영문사이트는 크롬 브라우저를 이용하시면 한글로 번역 가능합니다.
QNAP 랜섬웨어 예방 권고 사항 : https://www.qnap.com/en-us/security-advisory/NAS-201910-02
QNAP에서 권고하는 대책은 아래와 같습니다.
권고 사항
1. phpMyAdmin에 더 강력한 비밀번호를 사용하십시오.
2. 가능할 때마다 phpMyAdmin을 비활성화하십시오. 설정을 구성 할 때만이 응용 프로그램을 활성화하십시오.
3. QTS를 최신 버전으로 업데이트하십시오.
4. 보안 카운슬러를 최신 버전으로 설치하고 업데이트하십시오.
5. 더 강력한 관리자 비밀번호를 사용하십시오.
6. 네트워크 액세스 보호를 활성화하여 무차별 대입 공격으로부터 계정을 보호하십시오.
7. SSH 및 Telnet 서비스를 사용하지 않는 경우 비활성화하십시오.
8. 기본 포트 번호 443 및 8080을 사용하지 마십시오.
9., phpMyAdmin을 최신 버전으로 업데이트하십시오.
phpMyAdmin의 비밀번호 변경
1. QTS에 관리자로 로그온하십시오.
2. App Center를 열고 검색 아이콘을 클릭하십시오.
검색 창이 나타납니다.
3. "phpMyAdmin"을 입력 한 다음 Enter 키를 누릅니다 .
phpMyAdmin 애플리케이션이 검색 결과 목록에 나타납니다.
4. 열기를 클릭하십시오 . phpMyAdmin이 새 탭에서 열립니다.
5. phpMyAdmin에 root 로 로그온하십시오 .
6. 일반 설정 을 클릭 비밀번호 변경을 . 암호 변경 창이 나타납니다.
7. 비밀번호를 선택하십시오 .
8. 새 비밀번호를 지정하십시오. (8자 이상, 대문자 포함, 특수 문자 포함, 연속 3회 이상 반복 문자 X)
phpMyAdmin 비활성화
1. QTS에 관리자로 로그온하십시오.
2. App Center를 열고 검색 아이콘을 클릭하십시오. 검색 창이 나타납니다.
3. "phpMyAdmin"을 입력 한 다음 Enter 키를 누릅니다 . phpMyAdmin 애플리케이션이 검색 결과 목록에 나타납니다.
4. V를 클릭 한 다음 중지 를 선택 하십시오 . 응용 프로그램이 비활성화되었습니다.
QTS 업데이트 설치
1. QTS에 관리자로 로그온하십시오.
2. 패널 제어 > 시스템 > 펌웨어 업데이트로 이동하십시오.
3. 라이브 업데이트 를 클릭 업데이트 확인 . QTS는 사용 가능한 최신 업데이트를 다운로드하여 설치합니다.
최신 버전의 보안 카운슬러 설치 / 업데이트 및 실행
1. QTS에 관리자로 로그온하십시오.
2. App Center를 열고 검색 아이콘을 클릭하십시오. 검색 창이 나타납니다.
3. "Security Counselor"를 입력 한 다음 Enter 키를 누릅니다 . 보안 카운슬러 응용 프로그램이 검색 결과 목록에 나타납니다.
4. 설치 또는 업데이트를 클릭하십시오 . 확인 메시지가 나타납니다.
5. 확인을 클릭하십시오 . 응용 프로그램이 최신 버전으로 설치 또는 업데이트되었습니다.
6. 보안 카운슬러를 엽니 다 .
7. 스캔 시작을 클릭 하십시오 .보안 카운슬러는 NAS에서 규칙을 검색합니다.
장치 비밀번호 변경
1. QTS에 관리자로 로그온하십시오.
2. QTS 작업 표시 줄에서 프로필 사진을 클릭하십시오. 옵션 창이 열립니다.
3. 비밀번호 변경을 클릭 하십시오 .
4. 이전 비밀번호를 지정하십시오.
5. 새 비밀번호를 지정하십시오. (8자 이상, 대문자 포함, 특수 문자 포함, 연속 3회 이상 반목 문자 X)
네트워크 액세스 보호 활성화
1. QTS에 관리자로 로그온하십시오.
2. 패널 제어 > 시스템 > 보안 > 네트워크 액세스 보호로 이동하십시오
3. SSH 보호를 구성하십시오.
a. SSH를 선택하십시오 .
b. 기간 및 실패한 로그인 시도 횟수를 지정하십시오.
4. HTTP (S) 보호를 구성하십시오.
a. HTTP (S)를 선택하십시오 .
b. 기간 및 실패한 로그인 시도 횟수를 지정하십시오.
5. 적용을 클릭 하십시오 .
SSH 및 텔넷 연결 비활성화
1. QTS에 관리자로 로그온하십시오.
2. 이동 패널 제어 > 네트워크 및 파일 서비스 > 텔넷 / SSH로 이동하십시오
3. Telnet 연결 허용을 선택 취소하십시오 .
4. SSH 연결 허용을 선택 취소하십시오 .
5. 적용을 클릭 하십시오 .
시스템 포트 번호 변경
1. QTS에 관리자로 로그온하십시오.
2. 패널 제어 > 시스템 > 일반 설정 > 시스템 관리로 이동하십시오
3. 새로운 시스템 포트 번호를 지정하십시오. 경고 : 443 또는 8080을 사용하지 마십시오.
4. 적용을 클릭 하십시오 .
SQL Server 기본 비밀번호 변경
1. QTS에 관리자로 로그온하십시오.
2. 패널 제어 > 응용 프로그램 > SQL 서버 > 변경 루트 암호로 이동하십시오
3. 새 루트 비밀번호를 지정하십시오. 경고 : 기본 또는 간단한 비밀번호를 사용하지 마십시오.
4. 적용을 클릭 하십시오 .
phpMyAdmin을 최신 버전으로 업데이트합니다.
1. QTS에 관리자로 로그온하십시오.
2. App Center를 열고 검색 아이콘을 클릭하십시오.
검색 창이 나타납니다.
3. "phpMyAdmin"을 입력 한 다음 Enter 키를 누릅니다 .
phpMyAdmin 애플리케이션이 검색 결과 목록에 나타납니다.
4. 업데이트를 클릭하십시오 .
확인 메시지가 나타납니다.
참고 : 응용 프로그램이 이미 최신 상태 인 경우이 옵션을 사용할 수 없습니다.
5. 확인을 클릭하십시오 .
응용 프로그램이 최신 버전으로 업데이트되었습니다.
