NAS-fabrikant QNAP heeft de eigen malware-verwijdertool van een update voorzien om de Qsnatch-malware van besmette NAS-systemen te verwijderen. Hoe de malware zich verspreidt is nog altijd onbekend. Alleen in Duitsland zijn al 7.000 apparaten met de malware besmet geraakt, aldus het computer emergency response team van de Duitse overheid (CERT-Bund).

Eenmaal actief op een NAS wijzigt Qsnatch cronjobs en scripts. Vervolgens wordt het automatisch updaten van de NAS door het overschrijven van de update-sources voorkomen en blokkeert de malware de Malware Remover van QNAP. Dit is een tool waarmee NAS-gebruikers malware van het apparaat kunnen verwijderen. Verder verzamelt de malware alle gebruikersnamen en wachtwoorden van de NAS en stuurt die naar de aanvallers.

Het Finse National Cyber Security Centre (NCSC) kwam met een waarschuwing voor de malware en stelde dat die alleen te verwijderen was door middel van een fabrieksreset van de NAS. Dit had als nadeel dat alle data van het apparaat wordt gewist. QNAP is nu met een eigen waarschuwing gekomen. Daarin staat dat het onderzoek naar de malware geen "andere kwetsbaarheden" heeft opgeleverd, maar ook deze waarschuwing geeft geen informatie over de verspreidingsmethode.

QNAP-gebruikers krijgen wel het advies om te updaten naar de laatste versie van de QTS-firmware, alsmede de nieuwste versie van de Malware Remover te installeren. De verwijdertool zou nu in staat moeten zijn om de malware te verwijderen. Verder wordt aangeraden een sterk beheerderswachtwoord te gebruiken en IP en account access protection in te schakelen dat tegen bruteforce-aanvallen bescherming biedt. Als laatste wordt geadviseerd SSH en Telnet uit te schakelen en de standaardpoortnummers 443 en 8080 niet te gebruiken.