Устранение последствий программы-шифровальщика Qlocker

Начиная с 19 апреля 2021 года некоторые сетевые хранилища Qnap подверглись атаке

шифровальщиком Qlocker.
В отличии от прошлых версий новый вариант Qlocker просто архивирует файлы в архив
с расширением *7z и установленным паролем.
Если ваше устройство было атаковано, не перезагружайте и не выключайте накопитель!
Если процесс шифрования запущен, то следуя действиям описанным ниже, вы сможете
получить ключ шифрования и разблокировать зашифрованные файлы. Как только вы
перезагрузите накопитель, процесс шифрвоания будет сброшен и больше не запустится
и вы не сможете извлечь ключ шифрования из процесса Qlocker
Есть два способа как узнать пароль архива и оба варианта требуют подключения
к командной строке:

1 способ.
Подключитесь к командной строке и введите следующую команду:
ps -ef
    

В списке процессов нужно найти

<span style="font-weight: 400;">"/usr/local/sbin/7z a -mx=0 -sdel -pCcrP7PCP1euF0MBjD2C866YYi388m9jD"</span>
    
Пароль для доступа к архиву будет после -p в примере (у вас будет другое сочетание): CcrP7PCP1euF0MBjD2C866YYi388m9jD
Сохраните его, пароль потребуется для расшифровки данных.
2 способ.

В командной строке введите следующую команду :

cd /usr/local/sbin; printf '#!/bin/sh \<span class="<span class="<span class="speller-hint" data-toggle="popover" data-hint="1" data-original-title="" title="">speller</span>-hint" data-toggle="popover" data-hint="2" data-original-title="" title="">speller</span>-hint" data-toggle="popover" data-hint="0" data-original-title="" title=""><span class="speller-hint" data-toggle="popover" data-hint="3" data-original-title="" title="">necho</span></span> $@\<span class="speller-hint" data-toggle="popover" data-hint="1" data-original-title="" title="">necho</span> $@>>/mnt/HDA_ROOT/7z.log\<span class="speller-hint" data-toggle="popover" data-hint="2" data-original-title="" title="">nsleep</span> 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;
    

Далее нужно будет перенести созданный архив в папку Public следующей командной:
cp /mnt/HDA_ROOT/7z.log /share/Public/
    
На компьютере войдите сетевую папку Public и любым текстовым
редактором откройте файл 7z.log

Чтобы подключить сетевую папку воспользуйтесь инструкцией:

Рядом с названием зашифрованного файла будет отображаться пароль для доступа
к архиву.

Если вам не удалось получить ключ шифрования, вы все еще можете вернуть свои
данные:
Восстановление файлов после атаки шифровальщика Qlocker

KB-6058