QNAP 231 서버에 어제 문득 예전 자료좀 찾을려고 들어갔다가 깜짝 놀랐습니다.
예전에 한번씩 토렌트 결과물이 encrypt 라고 받아진 파일들이 있어서... 그냥 깨졌나 싶어서 지나친적이 있긴 했지만 그게 ransomware라고는 생각하지 못했는데 난리도 이런 난리가 없군요.
처음에는 어? 이 파일이 원래 안열렸나.. 이랬는데 네트웍 디렉토리를 하나하나 눌러보니 이상하게 6월 24일이나 25일 날짜로 다 업데이트된 기록이 있더라구요.
하나씩 열어볼때마다 README_DE.. .txt 파일들이 모두 생성되어있고 전부는 아니지만 절반 이상의 파일들이 모두 encrypt로 변경..
혹시나 해서 검색을 해보니 최근 QNAP 나스 타겟으로 유명한 이코렉스 ransomware 더군요.
복호화는 불가능한 상태라서 암호화된 파일들을 다 날려버릴까 하다가 우선은 존버하기로 하고 보안쪽을 강화하기로 합니다.
QNAP쪽의 지침에 따라서 일단 아래 조치를 진행했습니다.
1. 최신 QTS 업데이트
2. 비번 변경
3. ssh, telnet 서비스 정지
4. 사용자에 보니 이상한넘이 생성되서 있어서 삭제
5. 백신 업데이트및 예약 추가
6. 세큐리티 카운슬러 설치
덩달아서 메인 NAS인 시놀로지쪽도 우선 보안 조치는 추가적으로 진행해야 될것 같아서 이리저리 확인중입니다.
QNAP 사용하시는 분들 저처럼 당하고 나서 외양간 고치지 마시고 미리 조치 하세요. ㅠ.ㅠ
아무래도 토렌트를 통해서 넘어온걸로 조심스레 예측해 봅니다.
우선 QTS는 최신버전으로 update 하고 가능한 보안 조치는 다 해놓으시는걸 추천드려요.
요거 참조해서 세팅해보세요.
https://cafe.naver.com/qnapkr/144