|
|
|
|
Strumenti |
23-12-2021, 22:10 | #1 |
Senior Member
Iscritto dal: Oct 2005
Messaggi: 1361
|
Qnap Nas ts-212 infetto da ransomware .encrypted
Buonasera,
oggi ho aperto da iphone l'app Qfile per recuperare un file sul mio nas Qnap ts-212. Con mia grande sorpresa mi sono ritrovato tutti i file con estensione .encrypted. In ogni cartella era presente un fle "README_FOR_DECRYPT.txtt". All'interno dello stesso indicazioni per collegarsi ad un sito internet per scoprire con decriptare i file. Chiaramente non ho aperto il sito. Sono corso a staccare il nas dalla rete e ho subito staccato anche l'hard disk esterno collegato al nas dove effettuo i backup settimanali dei dati del nas. Successivamente ho verificato lo stato dei due computer di casa e al momento sembrerebbero non essere stati attaccati (ho fatto una passata con malwarebytes). Poi ho voluto controllare lo stato del disco esterno del nas, quello dei backup, per scoprire se i dati erano salvi. L'ho collegato ad un vecchio portatile (la live di ubunti non mi leggeva il disco, è ntfs) e sembrerebbe che miracolosamente i file siano integri. In realtà sulla cartella radice dell'hard disk esterno è presente il solito file "README_FOR_DECRYPT.txtt" ma tutte le cartelle e i file sembrano integre e leggibili. Adesso vi chiedo quindi come recuperare il nas. Al momento lo tengo scollegato e non saprei come agire anche perchè collegandolo alla rete avrei paura di infettare gli altri dispositivi. Inoltre anche l'hard disk esterno con il backup vorrei analizzarlo ma il portatile su cui ho fatto il test è troppo vecchio non riesco ad installarci neanche malwarebytes. Mi spieghereste come procedere passo passo? Vi ringrazio
__________________
MB:Gigabyte GA-880GA-UD3H Mod SoAM3 rev 2.2 Proc:Amd Phenom II X6 1090T Box AM3 3.2 GHZ L3 RAM:Kingston 1600Mhz HyperX Blue (1x8G) Video:ATI Radeon HD 4250 (integr) SSD:2,5" SSD Samsung 850 EVO (250GB) Os:Win10 Prof x64 |
24-12-2021, 15:06 | #2 |
Senior Member
Iscritto dal: Oct 2005
Messaggi: 1361
|
Dunque passando malwarebytes sul disco di backup ho notato che alcuni file che scorrevano erano .encrypt. Ho guardato meglio ed effettivamente un paio di cartelle sono state criptate. Come devo comportarmi?
Malwarebytes per adesso non ha trovato infezioni. Sta finendo la passata. Basta che elimino i file encrypt? È possibile che la criptazione continui? Riguardo al nas vorrei sapere cosa fare. Ho capito leggendo su bleepingcomputer che non c’è verso di salvarlo se non pagando. Quindi come procedo per rasare il disco?
__________________
MB:Gigabyte GA-880GA-UD3H Mod SoAM3 rev 2.2 Proc:Amd Phenom II X6 1090T Box AM3 3.2 GHZ L3 RAM:Kingston 1600Mhz HyperX Blue (1x8G) Video:ATI Radeon HD 4250 (integr) SSD:2,5" SSD Samsung 850 EVO (250GB) Os:Win10 Prof x64 |
24-12-2021, 16:47 | #3 | |
Senior Member
Iscritto dal: Oct 2005
Messaggi: 1361
|
Quote:
La procedura che mi hai consigliato per poter collegare il Nas non è il caso che la applico anche per quei programmi con cui mi hai consigliato di passare l’hard disk backup? Io ora malwarebytes ce lo sto facendo girare su un disco live hiren di Windows ma avrei timore a collegarlo al mio pc fisso Windows.
__________________
MB:Gigabyte GA-880GA-UD3H Mod SoAM3 rev 2.2 Proc:Amd Phenom II X6 1090T Box AM3 3.2 GHZ L3 RAM:Kingston 1600Mhz HyperX Blue (1x8G) Video:ATI Radeon HD 4250 (integr) SSD:2,5" SSD Samsung 850 EVO (250GB) Os:Win10 Prof x64 |
|
24-12-2021, 17:39 | #4 |
Senior Member
Iscritto dal: Oct 2005
Messaggi: 1361
|
Ok domani farò queste operazioni.
Intanto ho eliminato tutte le cartelle con file .encrypt tranne purtroppo 2 che non riesco ad eliminare. Mi dice “the directory is corrupted and unreadable”. Che faccio? Volevo fare una seconda passata di malwarebytes sempre su live cd Hiren dopo aver eliminato tutte le encrypted ma non si cancellano queste due.
__________________
MB:Gigabyte GA-880GA-UD3H Mod SoAM3 rev 2.2 Proc:Amd Phenom II X6 1090T Box AM3 3.2 GHZ L3 RAM:Kingston 1600Mhz HyperX Blue (1x8G) Video:ATI Radeon HD 4250 (integr) SSD:2,5" SSD Samsung 850 EVO (250GB) Os:Win10 Prof x64 |
24-12-2021, 19:52 | #5 |
Senior Member
Iscritto dal: Oct 2005
Messaggi: 1361
|
Ma questa cosa dal prompt posso farla dal live di Hiren boot?
__________________
MB:Gigabyte GA-880GA-UD3H Mod SoAM3 rev 2.2 Proc:Amd Phenom II X6 1090T Box AM3 3.2 GHZ L3 RAM:Kingston 1600Mhz HyperX Blue (1x8G) Video:ATI Radeon HD 4250 (integr) SSD:2,5" SSD Samsung 850 EVO (250GB) Os:Win10 Prof x64 |
24-12-2021, 22:22 | #6 |
Senior Member
Iscritto dal: Oct 2005
Messaggi: 1361
|
Comunque Hiren è un live di win 10
__________________
MB:Gigabyte GA-880GA-UD3H Mod SoAM3 rev 2.2 Proc:Amd Phenom II X6 1090T Box AM3 3.2 GHZ L3 RAM:Kingston 1600Mhz HyperX Blue (1x8G) Video:ATI Radeon HD 4250 (integr) SSD:2,5" SSD Samsung 850 EVO (250GB) Os:Win10 Prof x64 |
25-12-2021, 15:11 | #7 |
Senior Member
Iscritto dal: Oct 2005
Messaggi: 1361
|
Grazie al tuo consiglio del chkdsk sono riuscito a eliminare quelle cartelle che avevano ancora file .encrypt. Ora il disco è senza file criptati e ci ho passato malwarebytes e kaspersky. Adesso procederò con gli altri programmi che mi hai consigliato tramite shadowdefender. Tra l’altro mi spiegheresti meglio le operazioni da fare con shadowdefender. Mi hai scritto di virtualizzare la partizione di Windows ma non ho ben chiaro di come si faccia.
Prima però volevo dare una controllata anche al nas prima di rasarlo. Se lo collego su Windows non potrei accedere alle cartelle perché è ext4. Se avvio una live ubuntu/hiren staccando tutti i dischi dal fisso e mi ci collego via samba o via http rischio qualcosa?
__________________
MB:Gigabyte GA-880GA-UD3H Mod SoAM3 rev 2.2 Proc:Amd Phenom II X6 1090T Box AM3 3.2 GHZ L3 RAM:Kingston 1600Mhz HyperX Blue (1x8G) Video:ATI Radeon HD 4250 (integr) SSD:2,5" SSD Samsung 850 EVO (250GB) Os:Win10 Prof x64 Ultima modifica di mtguido : 25-12-2021 alle 15:14. |
26-12-2021, 02:25 | #8 |
Senior Member
Iscritto dal: Oct 2005
Messaggi: 1361
|
Aggiornamenti sulle operazioni fatte.
A) Disco di backup esterno - Eliminato quei pochi file che erano criptati (ho forse capito perchè erano criptati solo alcuni file, sono andato nella backup station del nas e ho notato che era partito un backup giorni fa, fortunatamente fallito dopo poco. Quindi quei file criptati che c'erano forse erano stati copiati dal backup e non dal ramsonware. Ad ogni modo poco male perchè erano file poco importanti). Alcuni file non si rimuovevano, ci sono riuscito solo dopo un chkdsk. - Tramite hiren boot live (windows 10 live) ho passato l'hard disk esterno con malwarebytes B) Disco del Nas - Ho rimosso il disco dal nas - Avviato sul mio pc fisso Shadowdefender e avviato la shadowmode - Collegato disco del nas via usb - Formattato con la gestione dischi di windows (formattazione rapida) - Post formattazione l'ho passato con Malwarebytes, Tdsskiller, Roguekiller, ekk, adwcleaner (con adwcleaner e tdsskiller non sono riuscito ad effettuare una scansione personalizzata solo sul disco, non ho trovato opzioni per farlo, ho avviato la scansione generica, spero mi abbia scansionato anche il disco del nas oltre al fisso). Ad ogni modo non hanno trovato minacce. - Reinserito disco nel nas e inizializzato con nuovo firmware. A questo punto posso dire di aver eliminato il ramsonware definitivamente? C'è altro che dovrei fare per stare tranquillo? A giorni comprerò un nuovo nas (synology ds220+). Questo qnap ts-212 lo utilizzerò per farci i backup del synology, poi dovrò studiarmi come fare. Intanto vi chiederei di indicarmi quali accortezze impostare nel nas per evitare di ricadere in una situazione simile. Grazie
__________________
MB:Gigabyte GA-880GA-UD3H Mod SoAM3 rev 2.2 Proc:Amd Phenom II X6 1090T Box AM3 3.2 GHZ L3 RAM:Kingston 1600Mhz HyperX Blue (1x8G) Video:ATI Radeon HD 4250 (integr) SSD:2,5" SSD Samsung 850 EVO (250GB) Os:Win10 Prof x64 Ultima modifica di mtguido : 26-12-2021 alle 03:07. |
26-12-2021, 12:41 | #9 | ||||
Senior Member
Iscritto dal: Oct 2005
Messaggi: 1361
|
Quote:
Quote:
Quote:
L’iPhone con cui ho scoperto la cosa tramite app Qfile non mi da problemi e credo sia immune a questa roba, non vorrei resettarlo. Gli altri pc di casa non hanno sintomi. Sul Nas qnap appena ripristinato ho impostato una nuova password molto resistente. L’ho testata sul sito di kaspersky e mi dava livello massimo di sicurezza. Quando mi arriverà il synology (avrà singolo hdd 4tb ed pro) vorrei utilizzare qualche funzione dello stesso per fare il backup sul nas qnap (hdd 4tb). Allo stesso modo fare il backup anche sul disco esterno che mi ha salvato questa volta (altro hdd 4tb). La mole dei miei dati attualmente pesa 2,5 tb quindi su ogni disco potrà entrarci solo una copia. Quote:
__________________
MB:Gigabyte GA-880GA-UD3H Mod SoAM3 rev 2.2 Proc:Amd Phenom II X6 1090T Box AM3 3.2 GHZ L3 RAM:Kingston 1600Mhz HyperX Blue (1x8G) Video:ATI Radeon HD 4250 (integr) SSD:2,5" SSD Samsung 850 EVO (250GB) Os:Win10 Prof x64 Ultima modifica di mtguido : 26-12-2021 alle 14:13. |
||||
26-12-2021, 14:41 | #10 | ||||
Senior Member
Iscritto dal: Oct 2005
Messaggi: 1361
|
Quote:
Quote:
Un backup staccato da tutto sarebbe certamente la soluzione migliore, il problema è che mi conosco e smetterei di farlo dopo qualche tempo. Non ho troppo tempo per farlo. Devo impostare un sistema automatizzato che faccia tutto. Quote:
Inoltre avevo l'autenticazione a due fattori attiva sul nas, almeno per l'accesso principale. Poi non so se i due fattori venivano chiesti per l'accesso da qualsiasi protocollo. Quote:
A questo punto direi che sono apposto. Posso dedicarmi a settare il qnap per prepararlo all'arrivo del nuovo synology.
__________________
MB:Gigabyte GA-880GA-UD3H Mod SoAM3 rev 2.2 Proc:Amd Phenom II X6 1090T Box AM3 3.2 GHZ L3 RAM:Kingston 1600Mhz HyperX Blue (1x8G) Video:ATI Radeon HD 4250 (integr) SSD:2,5" SSD Samsung 850 EVO (250GB) Os:Win10 Prof x64 |
||||
26-12-2021, 16:12 | #11 | ||
Senior Member
Iscritto dal: Oct 2005
Messaggi: 1361
|
Quote:
https://www.qnap.com/it-it/how-to/fa...urezza-del-nas Ho fatto tutto ciò che c'è scritto. Disattivato totalmente qnap cloud tanto non dovrò più connettermi da remoto su questo nas. Eliminato dal router l'accesso a qualsiasi porta del nas. Primo allarme, ho fatto girare Malware remover della QNAP e mi ha trovato Malware MR1702, MR 1902. Possibile che la semplice formattazione del disco non avesse cancellato il malware? E ora? Posso stare tranquillo o devo fare altre analisi sul disco? Ho poi un paio di dubbi che non riesco a capire. Tra le indicazioni c'è scritto Quote:
Sono andato su Pannello di controllo - Sistema - Sicurezza - Protezione accesso alla rete Qui non mi è chiaro cosa impostare. La prima voce "Abilita connessione per l'accesso alla rete" mi sembra che sia una autorizzazione ad accedere alla rete. Ho provato ad abilitarla e poi a flaggare tutte le voci sotto così come in foto. Se però poi provo a connettermi via samba mi blocca e mi mette subito l'ip del pc in ban nonostante la password sia corretta chiaramente e l'opzione spuntata specifichi il ban solo per 5 accessi negati. Il mio è un accesso corretto ma mi mette comunque in ban. Devo direttamente tenere disabilitata la voce "Abilita connessione per l'accesso alla rete"? Ma con questa voce disabilitata effettua comunque dei filtri su quelle reti? Le blocca tutte a prescindere? Senza questa voce non riuscivo a connettermi via samba con il fisso alle cartelle del Nas. Ho provato poi ad attivare ed aggiornare l'antivirus del nas ma fallisce sempre e non si aggiorna:
__________________
MB:Gigabyte GA-880GA-UD3H Mod SoAM3 rev 2.2 Proc:Amd Phenom II X6 1090T Box AM3 3.2 GHZ L3 RAM:Kingston 1600Mhz HyperX Blue (1x8G) Video:ATI Radeon HD 4250 (integr) SSD:2,5" SSD Samsung 850 EVO (250GB) Os:Win10 Prof x64 Ultima modifica di mtguido : 26-12-2021 alle 16:59. |
||
26-12-2021, 18:16 | #12 | |
Senior Member
Iscritto dal: Oct 2005
Messaggi: 1361
|
Quote:
Comunque il malware remover, almeno da come leggo nel log che ti ho postato, li ha individuati e RIMOSSI i malware. Se faccio una nuova scansione non trova nulla. Certo mi sembra assurdo perché non ho solo fatto la formattazione con windows, poi ho inizializzato il disco col nas che l’ha formattato a sua volta..pazzesco! Spero che adesso sia definitivamente rimosso. L’antivirus ho googlato e sembra sia un problema comune, ci sono delle spiegazioni per risolvere ma dicono di agire tramite ssh e non mi sono avventurato… P.s. Lèggendo online di questo malware mi sembra di capire che la vulnerabilità sia nell’app photo station di qnap. Proverò a disinstallarla.
__________________
MB:Gigabyte GA-880GA-UD3H Mod SoAM3 rev 2.2 Proc:Amd Phenom II X6 1090T Box AM3 3.2 GHZ L3 RAM:Kingston 1600Mhz HyperX Blue (1x8G) Video:ATI Radeon HD 4250 (integr) SSD:2,5" SSD Samsung 850 EVO (250GB) Os:Win10 Prof x64 Ultima modifica di mtguido : 26-12-2021 alle 18:28. |
|
29-12-2021, 10:16 | #13 |
Senior Member
Iscritto dal: Oct 2005
Messaggi: 1361
|
Ho ordinato il nuovo nas: Synology DS920+
__________________
MB:Gigabyte GA-880GA-UD3H Mod SoAM3 rev 2.2 Proc:Amd Phenom II X6 1090T Box AM3 3.2 GHZ L3 RAM:Kingston 1600Mhz HyperX Blue (1x8G) Video:ATI Radeon HD 4250 (integr) SSD:2,5" SSD Samsung 850 EVO (250GB) Os:Win10 Prof x64 |
07-01-2022, 17:10 | #14 | |
Senior Member
Iscritto dal: Oct 2005
Messaggi: 1361
|
Quote:
__________________
MB:Gigabyte GA-880GA-UD3H Mod SoAM3 rev 2.2 Proc:Amd Phenom II X6 1090T Box AM3 3.2 GHZ L3 RAM:Kingston 1600Mhz HyperX Blue (1x8G) Video:ATI Radeon HD 4250 (integr) SSD:2,5" SSD Samsung 850 EVO (250GB) Os:Win10 Prof x64 |
|
07-01-2022, 17:42 | #15 | ||
Senior Member
Iscritto dal: Oct 2005
Messaggi: 1361
|
Quote:
Ho provato l'installazione manuale scaricando dal tuo link ma mi dice Quote:
__________________
MB:Gigabyte GA-880GA-UD3H Mod SoAM3 rev 2.2 Proc:Amd Phenom II X6 1090T Box AM3 3.2 GHZ L3 RAM:Kingston 1600Mhz HyperX Blue (1x8G) Video:ATI Radeon HD 4250 (integr) SSD:2,5" SSD Samsung 850 EVO (250GB) Os:Win10 Prof x64 |
||
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 12:30.