В начале текущей недели журналисты издания The Register обратили внимание на тревожные сообщения владельцев устройств QNAP. Те сообщали, неизвестная малварь подменяет файлы hosts и препятствует обновлению ПО (в том числе и защитных решений).

В /etc/hosts добавляется около 700 записей для перенаправления ряда IP на адрес 0.0.0.0.  Хуже того, пользователи писали, что после удаления записей, те появляются снова даже после перазагрузки устройства, и откуда вообще взялось заражение, неясно.

Теперь (когда китайский Новый год закончился) представители QNAP официально признали проблему и заверили, что уже работают над ее устранением. В настоящее время специалисты изучают малварь и обещают в ближайшее время защитить от нее пользователей. Точный список уязвимых продуктов пока опубликован не был.

Пока пострадавшим рекомендуют обновить все приложения и QTS, а также вручную установить последнюю версию инструмента MalwareRemover и воспользоваться им.

1 комментарий

  1. Аватар

    LightiD

    15.02.2019 at 11:58

    Рекомендации QNAP полная хрень, я сам уже дважды попал под такую атаку, вынужден выставить веб морду в инет напрямую через NAT на нестандартном порту.
    Удалить или установить их Malware Remover при этом заражении невозможно, малварь это дело лочит.
    Помогает только совет от сюда https://www.reddit.com/r/qnap/comments/ajcf0e/cant_install_malwareremover_worried_i_have_a/
    Нужно зайти на нас по ssh под рутом и запустить «curl https://download.qnap.com/Storage/tsd/utility/derek-be-gone.sh | sh»
    И только после этого и после ребута и прогона свежеустановленного Malware Remover все начинает нормально работать.
    Плюс т.к. я дважды попал под эту атаку, точно могу сказать, что за несколько недель содержимое скрипта сильно изменилось, видно что его допиливают на ходу, второй раз мне показалось он вычистил гораздо больше, чем в первый раз.
    Самый простой способ диагностики — не работает автоапдейт.

Оставить мнение