QNAP NAS-servers ondervinden nog steeds last van problemen rond Deadbolt-ransomware. Dit ondanks de gedwongen security-updates van QNAP.

Uit onderzoek onder 130.000 devices blijkt dat hackers erin zijn geslaagd op zijn minst 5.000 QNAP NAS-devices te infecteren met ransomware. Vanaf 25 januari ontdekten slachtoffers dat hun data is versleuteld door de bestanden de .deadbolt-extensie te geven.

Hackers eisen hierbij dat slachtoffers ongeveer 1.000 euro (0,03 bitcoin) overmaken voor ontsleuteling. Tegelijkertijd werd QNAP in het vooruitzicht gesteld dat de leverancier voor een flatfee van ongeveer 1,7 miljoen euro (50 bitcoin) de beschikking zou krijgen over een master key waarmee alle getroffen devices konden worden hersteld. Het is niet bekend of de leverancier hierop is ingegaan. Inmiddels neemt het aantal ransomware-besmettingen voor de QNAP NAS-devices wel gestaag af.

Reactie QNAP

In een reactie heeft QNAP klanten wel meteen opgeroepen een update uit te voeren. Daarna heeft de leverancier een geforceerde update van de firmware doorgevoerd met de laatste security-patches.

Deze geforceerde firmeware-update is bij veel klanten niet helemaal in goede aarde gevallen, vanwege bijwerkingen. Klanten waren onder meer bezorgd dat QNAP een backdoor in zijn devices had. Ook waren sommige klanten die al hadden betaald voor het unlocken van hun bestanden, dat zij door de geforceerde fimware-update nu problemen hadden bij het herstellen van hun bestanden. Deze firmware-update haalt onder meer de ransomware executable en het ransowmare-scherm voor het ontsleutelen weg. Ondanks de update stelt een gebruiker nog steeds getroffen te worden door Deadbolt.

Volgens QNAP zijn gebruikers van zijn NAS-devices vooraf geïnformeerd over de geforceerde firmware-update en wat het moest bewerkstelligen. Volgens de leverancier hebben veel gebruikers deze boodschap gemist en waren daardoor niet op de hoogte wat de update precies oploste. QNAP geeft aan dat het hard bezig is met een security-update voor zijn NAS-producten. Wanneer klanten hun updates op automatisch hebben staan, wordt deze zo snel mogelijk doorgevoerd.

Alternatieve decryptor

Een andere security-aanbieder, Emisoft, heeft inmiddels naar eigen zeggen een alternatieve decryptor voor de QNAP-hack uitgebracht. Deze decryptor werkt helaas alleen als een getroffen bedrijf al heeft betaald en de onsleutel-keys heeft ontvangen van de hackers.