Qnap Nas ts-212 infetto da ransomware .encrypted

mtguido

Utente Attivo
1,010
29
Buonasera,
oggi ho aperto da iphone l'app Qfile per recuperare un file sul mio nas Qnap ts-212. Con mia grande sorpresa mi sono ritrovato tutti i file con estensione .encrypted. In ogni cartella era presente un fle "README_FOR_DECRYPT.txtt". All'interno dello stesso indicazioni per collegarsi ad un sito internet per scoprire con decriptare i file. Chiaramente non ho aperto il sito.

Sono corso a staccare il nas dalla rete e ho subito staccato anche l'hard disk esterno collegato al nas dove effettuo i backup settimanali dei dati del nas.
Successivamente ho verificato lo stato dei due computer di casa e al momento sembrerebbero non essere stati attaccati (ho fatto una passata con malwarebytes).

Poi ho voluto controllare lo stato del disco esterno del nas, quello dei backup, per scoprire se i dati erano salvi. L'ho collegato ad un vecchio portatile (la live di ubunti non mi leggeva il disco, è ntfs) e sembrerebbe che miracolosamente i file siano integri. In realtà sulla cartella radice dell'hard disk esterno è presente il solito file "README_FOR_DECRYPT.txtt" ma tutte le cartelle e i file sembrano integre e leggibili.

Adesso vi chiedo quindi come recuperare il nas. Al momento lo tengo scollegato e non saprei come agire anche perchè collegandolo alla rete avrei paura di infettare gli altri dispositivi.
Inoltre anche l'hard disk esterno con il backup vorrei analizzarlo ma il portatile su cui ho fatto il test è troppo vecchio non riesco ad installarci neanche malwarebytes.

Mi spieghereste come procedere passo passo?

Vi ringrazio
 

r3dl4nce

Utente Èlite
10,680
5,393
Da un PC con una live Linux formatta i dischi del nas, poi azzeri il nas così reinstalla il firmware.
Sicuro che il ransomware sia sul nas e non in qualche pc connesso in rete?
 

mtguido

Utente Attivo
1,010
29
Il fatto è che il disco esterno su cui faccio il backup settimanale non salva proprio tutti tutti i dati del nas. Non è possibile recuperare il nas?

Il Ransomware al momento si è manifestato solo sul nas. Sul disco esterno ha solo copiato il file .txtt senza criptare i file, possibile?
Cosa dovrei fare su ogni pc per essere sicuro che non sia infetto?
 

r3dl4nce

Utente Èlite
10,680
5,393
Il fatto è che il disco esterno su cui faccio il backup settimanale non salva proprio tutti tutti i dati del nas. Non è possibile recuperare il nas?

Male, se non fai un backup completo della roba importante, che backup è? Avevi attivato qualche snapshot periodico del volume? Altrimenti i file criptati sono persi.

Hai verificato se c'è un log (non conosco bene i qnap come i synology) per capire magari se un pc ha fatto accesso e ha criptato i file?
 

mtguido

Utente Attivo
1,010
29
Male, se non fai un backup completo della roba importante, che backup è? Avevi attivato qualche snapshot periodico del volume? Altrimenti i file criptati sono persi.

Hai verificato se c'è un log (non conosco bene i qnap come i synology) per capire magari se un pc ha fatto accesso e ha criptato i file?
Purtroppo non so cosa sono gli snapshot quindi deduco che non li abbia attivati.

Il backup non salva proprio tutto i file perché il disco esterno non è capiente come quello del nas purtroppo.

Non c’è proprio modo di recuperare i dati del nas? Ho visto che ci sono parecchie guide per la disinfezione di questo malware. Nessuna è valida sul nas?

Come procedo con il disco esterno per assicurarmi che non sia infetto? Posso in qualche modo scansionarlo con la live di ubuntu o simili? È bene che scolleghi l’ssd del fisso quando avvio ubuntu e ci collego il disco esterno di backup del nas?

Grazie
 

r3dl4nce

Utente Èlite
10,680
5,393
Devi capire se il malware è in qualche modo sul nas o su un PC, spesso i ransomware mettono delle operazioni pianificate per avviarsi, puoi controllare i PC con i vari tool e antivirus
I file criptati da ransomware sono persi se non hai backup o snapshot
 

mtguido

Utente Attivo
1,010
29
Devi capire se il malware è in qualche modo sul nas o su un PC, spesso i ransomware mettono delle operazioni pianificate per avviarsi, puoi controllare i PC con i vari tool e antivirus
I file criptati da ransomware sono persi se non hai backup o snapshot
Ok allora partiamo dallo scansionare tutti i computer di casa. Ho un fisso, due portatili Windows e un MacBook.
Cosa devo far girare su ciascuno per escludere che il ramsonware sia fuori dal nas?
 

Dumah Brazorf

Utente cAttivo
Utente Èlite
4,175
1,652
C'è da capire che ransonware è esattamente e cercare se è già stato creato un tool per decrittare i file.
Bleepingcomputer è probabilmente il forum di riferimento per queste cose.
 

mtguido

Utente Attivo
1,010
29
C'è da capire che ransonware è esattamente e cercare se è già stato creato un tool per decrittare i file.
Bleepingcomputer è probabilmente il forum di riferimento per queste cose.
Questo è il txt che c’è in ogni cartella, da questo si può identificare?

Intanto mi direste cosa devo fare su ogni computer per escludere la presenza del ramsonware?
Anche sul disco esterno
 

Allegati

  • F059AB10-A5E0-4CD1-8883-03012FD04012.jpeg
    F059AB10-A5E0-4CD1-8883-03012FD04012.jpeg
    3 MB · Visualizzazioni: 56

Kelion

Quid est veritas? Est vir qui adest
Utente Èlite
31,296
10,087
CPU
5600X
Dissipatore
Arctic Liquid Freezer 240
Scheda Madre
ASUS ROG STRIX B550-F GAMING (WI-FI)
HDD
1 SSD 1TB M.2 NVMe Samsung 970 Evo plus 4 HDD P300 3TB ciascuno
RAM
2x8GB Crucial Ballistix 3600 MHz
GPU
RTX 3060 Ti
Monitor
AOC 24G2U 144 Hz
PSU
EVGA G2 750W
Case
NZXT H510
Periferiche
Varie
Net
FTTC 100/30
OS
Windows 10, Debian 10
Quello è soltanto il link bitcoin per pagare. Non penso porti a nulla.
Dovresti usare questo:
 
  • Mi piace
Reazioni: Blume.

mtguido

Utente Attivo
1,010
29
Ho seguito il consiglio di @Dumah Brazorf e ho postato su bleepingcomputer. Mi hanno risposto così:

The contents of your ransom note are those we have seen with eCh0raix (QNAPCrypt/Synology NAS) Ransomware as explained here by Amigo-A (Andrew Ivanov). eCh0raix specifically targets QNAP NAS devices by brute forcing passwords and exploiting vulnerabilities in order to get access to the device.

Newer versions of eCh0raix Ransomware (July 19, 2019 and later) are not decryptable without paying the ransom and obtaining the private encryption keys from the criminals who created the ransomware unless they are leaked or seized & released by authorities. Without the criminal's master private key that can be used to decrypt your files, decryption is impossible. That usually means the private key is unique(specific) for each victim and generated in a secure way (i.e. RSA, AES, Salsa20, ChaCha20, ECDH, ECC) that cannot bebrute-forced.

There is an ongoing discussion in this topic where victims can post comments, ask questions and seek further assistance. Other victims have been directed there to share information, experiences and suggestions.

Rather than have everyone with individual topics, it would be best (and more manageable for staff) if you posted any more questions, comments or requests for assistance in the above support topic discussion...it includes experiences by experts, IT consultants, victims and company representatives who have been affected by ransomware infections. To avoid unnecessary confusion, this topic is closed.

Thanks

A questo punto mi sembra chiaro che io non abbia speranze per il Nas, concordate?

Miracolosamente l’hard disk esterno sembra essersi salvato, non so perché. Forse può dipendere dal fatto che avesse un file System diverso dal disco del nas? Come vi ho scritto ha copiato solo il .txtt nella cartella radice ma i file sembrano integri. Adesso mi sto affrettando a fare una copia su un altro hard disk per sicurezza.

Riguardo al nas ho preso una decisione: lo cestino. È vecchio e vulnerabile da quello che ho capito quindi se davvero risparmio i soldi del riscatto (visto che i file sembrano salvi) li reinvesto in un nas nuovo. Pare che il riscatto sarebbe stato di 0,03 btc quindi circa 1350€.

Prima di procedere però vorrei capire cosa devo fare su tutti i computer di casa e sopratutto sull’hard disk di backup che si è salvato e quindi anche su quello su cui sto copiando tutto.

Come posso accertarmi che il ramsonware non sia presente per evitare che si riproponga? Vorrei essere certo al 100% di aver messo i dati in salvo.

Il nas per adesso resta scollegato dalla rete.

Vi ringrazio
 

Moffetta88

Moderatore
Staff Forum
Utente Èlite
16,748
9,911
CPU
i5-4690
Dissipatore
DEEPCOOL CAPTAIN 240EX
Scheda Madre
MSI Z97 U3 PLUS
HDD
KINGSTON SSD KC400 240GB
RAM
24GB BALLISTIX SPORT @2133MHz
GPU
STRIX GTX980 DC2OC
Audio
INTEGRATA
Monitor
AOC G2590VXQ
PSU
BEQUIET! System Power 7 500W
Case
DEEPCOOL MATREXX 55
Periferiche
NESSUNA
Net
FTTC FASTWEB
OS
UBUNTU/WINDOWS10
Intanto complimenti per aver adottato la scelta dei backup esterni! Non è una cosa da tutti e molti non capiscono l'importanza della cosa!
Questo è il brutto di esporre servizi sul web, o sai cosa stai facendo e sei sicuro al 100% che i prodotti usati siano safe o incappi in problemi ( vale per i nas che per router enterprise come mikrotik e ubiquiti ).
Io ho chiuso qualsiasi porta e mi son messo dietro ad una vpn privata per accedere alla mia rete locale da esterno, attivato eventuali fail2ban et simila sul nas e su vpn e blacklistati a priori tutti gli ip che vengono dall'est europa/asia tramite GEOIPBLOCK.
Il mio consiglio è quello di fare un mega hard reset del nas, aggiornarlo all'ultima versione disponibile e non permettere di accedere da esterno ai file.
Nel caso in cui il nas non sia aggiornabile, allora direi di prenderlo ed usarlo magari come secondo backup senza accesso da esterno e di recuperare un nas più consono, come un DS220J ( se non devi usare transcodifiche varie e lo usi solo per storage dei dati ) anch'esso senza accesso da esterno ed eventualmente attivare la vpn del synology
Poi basta scaricare openvpn client sui telefoni ed accedi al tuo nas con le app synology senza aver esposto l'intero nas ad internet.
Naturalmente questo implica di aver un ip pubblico statico..
 
  • Mi piace
Reazioni: MrColo e r3dl4nce

mtguido

Utente Attivo
1,010
29
Intanto complimenti per aver adottato la scelta dei backup esterni! Non è una cosa da tutti e molti non capiscono l'importanza della cosa!
Questo è il brutto di esporre servizi sul web, o sai cosa stai facendo e sei sicuro al 100% che i prodotti usati siano safe o incappi in problemi ( vale per i nas che per router enterprise come mikrotik e ubiquiti ).
Io ho chiuso qualsiasi porta e mi son messo dietro ad una vpn privata per accedere alla mia rete locale da esterno, attivato eventuali fail2ban et simila sul nas e su vpn e blacklistati a priori tutti gli ip che vengono dall'est europa/asia tramite GEOIPBLOCK.
Il mio consiglio è quello di fare un mega hard reset del nas, aggiornarlo all'ultima versione disponibile e non permettere di accedere da esterno ai file.
Nel caso in cui il nas non sia aggiornabile, allora direi di prenderlo ed usarlo magari come secondo backup senza accesso da esterno e di recuperare un nas più consono, come un DS220J ( se non devi usare transcodifiche varie e lo usi solo per storage dei dati ) anch'esso senza accesso da esterno ed eventualmente attivare la vpn del synology
Poi basta scaricare openvpn client sui telefoni ed accedi al tuo nas con le app synology senza aver esposto l'intero nas ad internet.
Naturalmente questo implica di aver un ip pubblico statico..

Ti ringrazio per la risposta.
Il backup esterno io in realtà lo avevo pensato per eventuali rotture del disco del nas. Non avevo mai ipotizzato una eventualità simile. E comunque non ho ancora capito perché l’hard disk esterno non è stato attaccato, c’era solo il file .txtt.

Ti ringrazio poi per i consigli sul nas, mi suggerisci di passare a Sinology quindi?

Ad ogni modo questo lo vedrò solo dopo essermi assicuro che i dati siano salvi e l’hard disk e i computer puliti dal ramsonware. Nessuno mi ha ancora risposto quali operazioni devo fare per assicurarmene.

Grazie
 

Moffetta88

Moderatore
Staff Forum
Utente Èlite
16,748
9,911
CPU
i5-4690
Dissipatore
DEEPCOOL CAPTAIN 240EX
Scheda Madre
MSI Z97 U3 PLUS
HDD
KINGSTON SSD KC400 240GB
RAM
24GB BALLISTIX SPORT @2133MHz
GPU
STRIX GTX980 DC2OC
Audio
INTEGRATA
Monitor
AOC G2590VXQ
PSU
BEQUIET! System Power 7 500W
Case
DEEPCOOL MATREXX 55
Periferiche
NESSUNA
Net
FTTC FASTWEB
OS
UBUNTU/WINDOWS10
Sui qnap ho avuto poche esperienze e tutte negative.
Tra nas morti, software buggati e che si inchiodavano, abbiamo sempre sostituito i qnap con serve dedicati o synology ( ho dei synology vecchi come il cucco che fino all'ultimo aggiornamento del DSM6 han retto senza problemi ).

Per il vairus se vuoi andare con i piedi di piombo, direi di fare analisi anche con kaspersky che ha un tool apposito
Ma secondo me i computer sono a posto, è stato "infettato" e "criptato" solo il nas che aveva delle vulnerabilità esposte al web
 

mtguido

Utente Attivo
1,010
29
Sui qnap ho avuto poche esperienze e tutte negative.
Tra nas morti, software buggati e che si inchiodavano, abbiamo sempre sostituito i qnap con serve dedicati o synology ( ho dei synology vecchi come il cucco che fino all'ultimo aggiornamento del DSM6 han retto senza problemi ).

Per il vairus se vuoi andare con i piedi di piombo, direi di fare analisi anche con kaspersky che ha un tool apposito
Ma secondo me i computer sono a posto, è stato "infettato" e "criptato" solo il nas che aveva delle vulnerabilità esposte al web

Anche con kaspersky oltre a cosa? Malwarebytes?
A me oltre ai computer interessa l’hard disk esterno che è collegato al nas. Perché quello lo copierò sul pc. E poi nel nuovo nas sicuramente. Quindi devo essere sicurissimo che sia pulito e il fatto che ci sia il file .txtt mi spaventa moltissimo.
Oltretutto dentro ci è stato copiato il file txtt quindi ho il terrore che da un momento all’altro tutti i file si criptino ehehehe.

Quindi per favore indicatemi quali tool passare!

Grazie
 

Entra

oppure Accedi utilizzando