Qnap Nas ts-212 infetto da ransomware .encrypted

r3dl4nce

Utente Èlite
10,680
5,393
Quel particolare randomware infetta solo i NAS QNAP sfruttando delle vulnerabilità, quindi non hai nulla da temere sui PC.
I passaggida effettuare, seondo me, sono:
- proprio per massima sicurezza, avvia una ubuntu live su un PC e verifica il contenuto del disco USB di backup, scorri le varie cartelle per vedere se ci sono file infetti, se è tutto a posto, copia il contenuto completo del disco USB di backup in un altro USB così ne hai due per sicurezza, dato che per ora i tuoi dati sono solamente su tale disco USB
- togli i dischi dal NAS e collegali a un PC, con tutti gli altri dischi scollegati, poi vai sempre di ubuntu live e azzera i dischi, non serve proprio azzerare tutto il contenuto, quando hai azzerato tabella delle partizioni sei a posto, al massimo azzeri i primi GB del disco, così azzeri anche boot sector, tipo con dd if=/dev/zero of=/dev/sdX bs=1k count=10M status=progress, se poi vuoi invece anche fare un test ai dischi e azzerarli completamente puoi fare badblocks -v -w -s /dev/sdX che scrive e rilegge in modo distruttivo dati sul disco, azzera il contenuto e in più prova se i dati scritti vengono riletti correttamente, così verifichi anche se ci fossero guasti hardware nei dischi
- A questo punto decidi se mantenere quel QNAP o passare a un Synology, in ogni caso se i dischi sono buoni li puoi riutilizzare
- Chiaramente con i dischi azzerati il NAS ti farà reinizializzare da capo, va bene
- Una volta inizializzato il NAS, ci ricopi il contenuto del disco USB e poi reimposti i backup su entrambi i dischi USB così li usi a rotazione
 
  • Mi piace
Reazioni: Kelion

mtguido

Utente Attivo
1,010
29
Quel particolare randomware infetta solo i NAS QNAP sfruttando delle vulnerabilità, quindi non hai nulla da temere sui PC.
I passaggida effettuare, seondo me, sono:
- proprio per massima sicurezza, avvia una ubuntu live su un PC e verifica il contenuto del disco USB di backup, scorri le varie cartelle per vedere se ci sono file infetti, se è tutto a posto, copia il contenuto completo del disco USB di backup in un altro USB così ne hai due per sicurezza, dato che per ora i tuoi dati sono solamente su tale disco USB
- togli i dischi dal NAS e collegali a un PC, con tutti gli altri dischi scollegati, poi vai sempre di ubuntu live e azzera i dischi, non serve proprio azzerare tutto il contenuto, quando hai azzerato tabella delle partizioni sei a posto, al massimo azzeri i primi GB del disco, così azzeri anche boot sector, tipo con dd if=/dev/zero of=/dev/sdX bs=1k count=10M status=progress, se poi vuoi invece anche fare un test ai dischi e azzerarli completamente puoi fare badblocks -v -w -s /dev/sdX che scrive e rilegge in modo distruttivo dati sul disco, azzera il contenuto e in più prova se i dati scritti vengono riletti correttamente, così verifichi anche se ci fossero guasti hardware nei dischi
- A questo punto decidi se mantenere quel QNAP o passare a un Synology, in ogni caso se i dischi sono buoni li puoi riutilizzare
- Chiaramente con i dischi azzerati il NAS ti farà reinizializzare da capo, va bene
- Una volta inizializzato il NAS, ci ricopi il contenuto del disco USB e poi reimposti i backup su entrambi i dischi USB così li usi a rotazione

Tutto chiaro, ma io temo per il disco di backup che era collegato al nas!!? Poi un paio di cose non ho capito.

Le operazioni con ubuntu le ho già fatte. Adesso per scrupolo utilizzo una live di Windows (hiren boot cd) che ha malwarebytes sopra e ci passo l’hard disk esterno.

Poi vorrei entrare nel nas per verificare quali file non ho sul backup. Giusto per capire a cosa dovrò dire addio per sempre. Accedendoci da ubuntu live con hard disk del pc staccato sono al sicuro si?

Poi non ho capito le operazioni per ripulire il disco (è uno solo) del nas. Come devo procedere? Non so come “azzerare” il disco con ubuntu.

Grazie
 

r3dl4nce

Utente Èlite
10,680
5,393
Per leggere il disco del NAS QNAP da Linux qua ci sono un po' di istruzioni
dovrebbe comunque banalmente essere un ext3/ext4 gestito tramite LVM e forse anche MDADM, quindi se lo colleghi a un PC e lanci una live linux, con vgdisplay e lvdisplay si dovrebbero vedere i volumi per poi provare a fare un mount, altrimenti prima va assemblato l'array con mdadm

Per azzerarlo, ti ho messo i comandi sopra, sia che vuoi solo azzerare le partizioni sia che vuoi sovrascrivere completamente il disco, provando anche se è in buono stato
 
  • Mi piace
Reazioni: Kelion

Dumah Brazorf

Utente cAttivo
Utente Èlite
4,175
1,652
A questo punto mi sembra chiaro che io non abbia speranze per il Nas, concordate?
Ni, tra x mesi/anni potrebbero acciuffare i lestofanti e rilasciare le password di decrittazione. Se ci sono dati importanti e non backuppati valuta di mettere il nas in naftalina e lurkare ogni tanto quel forum per news.
 
  • Mi piace
Reazioni: Kelion

mtguido

Utente Attivo
1,010
29
Ni, tra x mesi/anni potrebbero acciuffare i lestofanti e rilasciare le password di decrittazione. Se ci sono dati importanti e non backuppati valuta di mettere il nas in naftalina e lurkare ogni tanto quel forum per news.
Rilasciare a chi? Ho letto che questa nuova versione genera chiavi di decriptazione specifiche per ogni utenza hackerata. Dovrei sperare che chi li acciuffa si prenda la briga di contattarmi e comunicarmi la mia chiave? Mi sembra alquanto un miraggio..
 

mtguido

Utente Attivo
1,010
29
Contattarti no di sicuro per questo sei TU che devi cercare notizie ogni tanto.

Siccome i dati sono salvi credo sia anche inutile conservare un disco con questa speranza. Lo raso e lo utilizzerò come ulteriore backup sul vecchio nas. Avrò quindi nuovo nas, vecchio nas di backup e solito disco esterno via usb sul primo nas. Con due backup spero di essere ancora più sicuro.

Non mi resta che scegliere il nuovo nas, ho aperto qui una discussione: https://forum.tomshw.it/threads/consiglio-acquisto-nas-dopo-attacco-ramsonware.875466/#post-8135000
 

GraveKeeper

Utente Èlite
4,718
2,177
CPU
AMD Ryzen 7 3700X
Dissipatore
Enermax LiqMax III ARGB 240 Nero ARGB
Scheda Madre
Asus Tuf Gaming B550-PLUS (WIFI)
HDD
Samsung 970 EVO Plus 500GB NVMe + Crucial MX500 1TB + 2 x WD10EZEX Blue 1TB
RAM
Adata XPG Spectrix 16gb (2x8) 3200Mhz RGB
GPU
Asus NVIDIA GeForce GTX 750ti OC 2GB (in attesa di meglio)
Audio
Behringer U-PHORIA UM2 (chissà, magari un giorno prenderò una Scarlett Solo)
Monitor
LG 27GN800 UltraGear QHD IPS 27" 1ms 144Hz
PSU
ITEK GF 750W 80Gold
Case
NZXT H510i Nero
Periferiche
Studio Monitor Speakers Presonus Eris E3.5, Audio Technica ATH-M30x
OS
Windows 10 Home 64-bit
Ti ringrazio per la risposta.
Il backup esterno io in realtà lo avevo pensato per eventuali rotture del disco del nas. Non avevo mai ipotizzato una eventualità simile. E comunque non ho ancora capito perché l’hard disk esterno non è stato attaccato, c’era solo il file .txtt.

Ti ringrazio poi per i consigli sul nas, mi suggerisci di passare a Sinology quindi?

Ad ogni modo questo lo vedrò solo dopo essermi assicuro che i dati siano salvi e l’hard disk e i computer puliti dal ramsonware. Nessuno mi ha ancora risposto quali operazioni devo fare per assicurarmene.

Grazie

Passati i dispositivi con Malwarebytes+RogueKiller+AdwCleaner+TDSSKiller+PuliziaDisco+sfc /scannow+ scansione offline windows defender.
Ovviamente quarantena e elimina tutto quello che trovano.

Se non trovano nulla sei ok.

Ma soprattutto passa con delle belle scansioni il disco che sembra essersi salvato. Il fatto che ci sia il file .txt potrebbe comportare che tracce del virus ci siano e magari collegato a rete potrebbero crittare nuovamente i dati.
Le alternative sono che:
- il ransomware in qualche modo non ha fatto in tempo (il che anche con grandi quantità di dati è poco probabile ma immagino possa accadere)
- come dici in qualche modo il file system differente può aver aggirato l'infezione

In ogni caso è bene controllare che il disco e i dati che si sono salvati siano puliti prima di rimetterli da qualsiasi altra parte.

Se devi cambiare NAS, in ogni caso come dicono quello vecchio puoi sempre conservarlo per bene, magari ci sarà un leak dei databse di queste chiavi (mi pare strano le tengano su fogli di carta) e faranno un tool di decrypt in futuro, chissà. Ovviamente la vedo dura, ma non si può prevedere il futuro.

Ah, inoltre volendo puoi farti un bel reset all'iphone da itunes e così sei sicuor che sia pulito pure quello. Ovviamente prima di resettare fatti i backup di chat, foto ecc...
 

mtguido

Utente Attivo
1,010
29
Passati i dispositivi con Malwarebytes+RogueKiller+AdwCleaner+TDSSKiller+PuliziaDisco+sfc /scannow+ scansione offline windows defender.
Ovviamente quarantena e elimina tutto quello che trovano.

Se non trovano nulla sei ok.

Ma soprattutto passa con delle belle scansioni il disco che sembra essersi salvato. Il fatto che ci sia il file .txt potrebbe comportare che tracce del virus ci siano e magari collegato a rete potrebbero crittare nuovamente i dati.
Le alternative sono che:
- il ransomware in qualche modo non ha fatto in tempo (il che anche con grandi quantità di dati è poco probabile ma immagino possa accadere)
- come dici in qualche modo il file system differente può aver aggirato l'infezione

In ogni caso è bene controllare che il disco e i dati che si sono salvati siano puliti prima di rimetterli da qualsiasi altra parte.

Se devi cambiare NAS, in ogni caso come dicono quello vecchio puoi sempre conservarlo per bene, magari ci sarà un leak dei databse di queste chiavi (mi pare strano le tengano su fogli di carta) e faranno un tool di decrypt in futuro, chissà. Ovviamente la vedo dura, ma non si può prevedere il futuro.

Ah, inoltre volendo puoi farti un bel reset all'iphone da itunes e così sei sicuor che sia pulito pure quello. Ovviamente prima di resettare fatti i backup di chat, foto ecc...
Oh grazie finalmente una lista di controlli da fare. Malwarebytes appena fatto, tutto pulito. Ora vado con rogue killer e gli altri. Non ho capito questa parte però:
+PuliziaDisco+sfc /scannow+ scansione offline windows defender.
Post automatically merged:

Controllando il disco con malwarebytes mi sono purtroppo accorto che una cartella è stata criptata.
Per fortuna non una cartella importante.
A questo punto mi chiedo come sia possibile che si sia criptata solo quella cartella, la prima, e non le seguenti. Come se il processo si fosse bloccato.

Malwarebytes non ha rilevato nulla.
Vi chiedo anche, conservare questi file .encrypt è pericoloso? Conviene che li elimino o li sposto? Oppure sono innocui?

Grazie
 
Ultima modifica:

GraveKeeper

Utente Èlite
4,718
2,177
CPU
AMD Ryzen 7 3700X
Dissipatore
Enermax LiqMax III ARGB 240 Nero ARGB
Scheda Madre
Asus Tuf Gaming B550-PLUS (WIFI)
HDD
Samsung 970 EVO Plus 500GB NVMe + Crucial MX500 1TB + 2 x WD10EZEX Blue 1TB
RAM
Adata XPG Spectrix 16gb (2x8) 3200Mhz RGB
GPU
Asus NVIDIA GeForce GTX 750ti OC 2GB (in attesa di meglio)
Audio
Behringer U-PHORIA UM2 (chissà, magari un giorno prenderò una Scarlett Solo)
Monitor
LG 27GN800 UltraGear QHD IPS 27" 1ms 144Hz
PSU
ITEK GF 750W 80Gold
Case
NZXT H510i Nero
Periferiche
Studio Monitor Speakers Presonus Eris E3.5, Audio Technica ATH-M30x
OS
Windows 10 Home 64-bit
Oh grazie finalmente una lista di controlli da fare. Malwarebytes appena fatto, tutto pulito. Ora vado con rogue killer e gli altri. Non ho capito questa parte però:

Post automatically merged:

Controllando il disco con malwarebytes mi sono purtroppo accorto che una cartella è stata criptata.
Per fortuna non una cartella importante.
A questo punto mi chiedo come sia possibile che si sia criptata solo quella cartella, la prima, e non le seguenti. Come se il processo si fosse bloccato.

Malwarebytes non ha rilevato nulla.
Vi chiedo anche, conservare questi file .encrypt è pericoloso? Conviene che li elimino o li sposto? Oppure sono innocui?

Grazie

Decisamente eliminali

Per la parte che non hai capito, pulizia disco è quella interna di Windows serve a rimuovere file temporanei, e per le altre 2 trovi svariate guide online.
Però queste sono cose utili sui dispositivi, non sul disco esterno, lo stesso vale per tdsskiller
 

mtguido

Utente Attivo
1,010
29
Decisamente eliminali

Per la parte che non hai capito, pulizia disco è quella interna di Windows serve a rimuovere file temporanei, e per le altre 2 trovi svariate guide online.
Però queste sono cose utili sui dispositivi, non sul disco esterno, lo stesso vale per tdsskiller
Ok invece sul disco esterno cosa devo fare oltre malwarebytes?
 

mtguido

Utente Attivo
1,010
29
Aggiornamenti sulle operazioni fatte.

A) Disco di backup esterno
- Eliminato quei pochi file che erano criptati (ho forse capito perchè erano criptati solo alcuni file, sono andato nella backup station del nas e ho notato che era partito un backup giorni fa, fortunatamente fallito dopo poco. Quindi quei file criptati che c'erano forse erano stati copiati dal backup e non dal ramsonware. Ad ogni modo poco male perchè erano file poco importanti). Alcuni file non si rimuovevano, ci sono riuscito solo dopo un chkdsk.
- Tramite hiren boot live (windows 10 live) ho passato l'hard disk esterno con malwarebytes

B) Disco del Nas
- Ho rimosso il disco dal nas
- Avviato sul mio pc fisso Shadowdefender e avviato la shadowmode
- Collegato disco del nas via usb
- Formattato con la gestione dischi di windows (formattazione rapida)
- Post formattazione l'ho passato con Malwarebytes, Tdsskiller, Roguekiller, eek, adwcleaner (con adwcleaner e tdsskiller non sono riuscito ad effettuare una scansione personalizzata solo sul disco, non ho trovato opzioni per farlo, ho avviato la scansione generica, spero mi abbia scansionato anche il disco del nas oltre al fisso). Ad ogni modo non hanno trovato minacce.
- Reinserito disco nel nas e inizializzato con nuovo firmware.
- Nel nas appena inizializzato ho installato "Malware remover" della QNAP che sorprendentemente mi ha trovato ed eliminato 2 malware: MR1702, MR 1902.



- Ho impostato una password molto forte per admin
- Ho disattivato myqnapcloud del tutto
- Eliminato qualsiasi abilitazione porta verso il nas del router
Ho provato poi ad attivare ed aggiornare l'antivirus del nas ma fallisce sempre e non si aggiorna:



A questo punto posso dire di aver eliminato il ramsonware definitivamente?
C'è altro che dovrei fare per stare tranquillo?

A giorni comprerò un nuovo nas (synology ds220+). Questo qnap ts-212 lo utilizzerò per farci i backup del synology, poi dovrò studiarmi come fare. Intanto vi chiederei di indicarmi quali accortezze impostare nel nas per evitare di ricadere in una situazione simile.


Grazie

@GraveKeeper @Dumah Brazorf @r3dl4nce
 
Ultima modifica:

GraveKeeper

Utente Èlite
4,718
2,177
CPU
AMD Ryzen 7 3700X
Dissipatore
Enermax LiqMax III ARGB 240 Nero ARGB
Scheda Madre
Asus Tuf Gaming B550-PLUS (WIFI)
HDD
Samsung 970 EVO Plus 500GB NVMe + Crucial MX500 1TB + 2 x WD10EZEX Blue 1TB
RAM
Adata XPG Spectrix 16gb (2x8) 3200Mhz RGB
GPU
Asus NVIDIA GeForce GTX 750ti OC 2GB (in attesa di meglio)
Audio
Behringer U-PHORIA UM2 (chissà, magari un giorno prenderò una Scarlett Solo)
Monitor
LG 27GN800 UltraGear QHD IPS 27" 1ms 144Hz
PSU
ITEK GF 750W 80Gold
Case
NZXT H510i Nero
Periferiche
Studio Monitor Speakers Presonus Eris E3.5, Audio Technica ATH-M30x
OS
Windows 10 Home 64-bit
Aggiornamenti sulle operazioni fatte.

A) Disco di backup esterno
- Eliminato quei pochi file che erano criptati (ho forse capito perchè erano criptati solo alcuni file, sono andato nella backup station del nas e ho notato che era partito un backup giorni fa, fortunatamente fallito dopo poco. Quindi quei file criptati che c'erano forse erano stati copiati dal backup e non dal ramsonware. Ad ogni modo poco male perchè erano file poco importanti). Alcuni file non si rimuovevano, ci sono riuscito solo dopo un chkdsk.
- Tramite hiren boot live (windows 10 live) ho passato l'hard disk esterno con malwarebytes

B) Disco del Nas
- Ho rimosso il disco dal nas
- Avviato sul mio pc fisso Shadowdefender e avviato la shadowmode
- Collegato disco del nas via usb
- Formattato con la gestione dischi di windows (formattazione rapida)
- Post formattazione l'ho passato con Malwarebytes, Tdsskiller, Roguekiller, eek, adwcleaner (con adwcleaner e tdsskiller non sono riuscito ad effettuare una scansione personalizzata solo sul disco, non ho trovato opzioni per farlo, ho avviato la scansione generica, spero mi abbia scansionato anche il disco del nas oltre al fisso). Ad ogni modo non hanno trovato minacce.
- Reinserito disco nel nas e inizializzato con nuovo firmware.
- Nel nas appena inizializzato ho installato "Malware remover" della QNAP che sorprendentemente mi ha trovato ed eliminato 2 malware: MR1702, MR 1902.



- Ho impostato una password molto forte per admin
- Ho disattivato myqnapcloud del tutto
- Eliminato qualsiasi abilitazione porta verso il nas del router
Ho provato poi ad attivare ed aggiornare l'antivirus del nas ma fallisce sempre e non si aggiorna:



A questo punto posso dire di aver eliminato il ramsonware definitivamente?
C'è altro che dovrei fare per stare tranquillo?

A giorni comprerò un nuovo nas (synology ds220+). Questo qnap ts-212 lo utilizzerò per farci i backup del synology, poi dovrò studiarmi come fare. Intanto vi chiederei di indicarmi quali accortezze impostare nel nas per evitare di ricadere in una situazione simile.


Grazie

@GraveKeeper @Dumah Brazorf @r3dl4nce

Purtroppo non uso NAS quindi non so dirti quali accortezze potresti usare.

Però sì, secondo me il virus l'hai scampata, e i file crittati sono causa probabilmente del backup. I file per cui hai dovuto eseguire chkdsk probabilmente erano file non del tutto crittati e si erano corrotti.

I malware individuati potevano essere anche solo falsi positivi o comunque magari qualche file o programma non originale presente sul Nas, ma comunque meglio levarli.

Io darei giusto per sicurezza anche una scansione con RogueKiller al disco, le scansioni incrociate male non fanno.

Il resto che ti avevo indicato è per i tuoi dispositivi invece.
 

mtguido

Utente Attivo
1,010
29
Purtroppo non uso NAS quindi non so dirti quali accortezze potresti usare.

Però sì, secondo me il virus l'hai scampata, e i file crittati sono causa probabilmente del backup. I file per cui hai dovuto eseguire chkdsk probabilmente erano file non del tutto crittati e si erano corrotti.

I malware individuati potevano essere anche solo falsi positivi o comunque magari qualche file o programma non originale presente sul Nas, ma comunque meglio levarli.

Io darei giusto per sicurezza anche una scansione con RogueKiller al disco, le scansioni incrociate male non fanno.

Il resto che ti avevo indicato è per i tuoi dispositivi invece.
No quei codici di malware che ha segnalato malware remover li ho googlati e corrispondono a ech0raix. Quindi era proprio il malware in questione. Spero che adesso sia definitivamente scomparso.

Con rogue killer lo avevo già passato montandolo su Windows con usb e non me lo aveva trovato! Non posso fare la scansione mentre è montato sul nas vero? Dovrei riscontare tutto e rimetterlo via usb? Comunque considerando che prima non me lo ha trovato figuriamoci ora che malware remover pare lo abbia rimosso…
 
Ultima modifica:

GraveKeeper

Utente Èlite
4,718
2,177
CPU
AMD Ryzen 7 3700X
Dissipatore
Enermax LiqMax III ARGB 240 Nero ARGB
Scheda Madre
Asus Tuf Gaming B550-PLUS (WIFI)
HDD
Samsung 970 EVO Plus 500GB NVMe + Crucial MX500 1TB + 2 x WD10EZEX Blue 1TB
RAM
Adata XPG Spectrix 16gb (2x8) 3200Mhz RGB
GPU
Asus NVIDIA GeForce GTX 750ti OC 2GB (in attesa di meglio)
Audio
Behringer U-PHORIA UM2 (chissà, magari un giorno prenderò una Scarlett Solo)
Monitor
LG 27GN800 UltraGear QHD IPS 27" 1ms 144Hz
PSU
ITEK GF 750W 80Gold
Case
NZXT H510i Nero
Periferiche
Studio Monitor Speakers Presonus Eris E3.5, Audio Technica ATH-M30x
OS
Windows 10 Home 64-bit
No quei codici di malware che ha segnalato malware remover li ho googlati e corrispondono a ech0raix. Quindi era proprio il malware in questione. Spero che adesso sia definitivamente scomparso.

Con rogue killer lo avevo già passato montandolo su Windows con usb e non me lo aveva trovato! Non posso fare la scansione mentre è montato sul nas vero? Dovrei riscontare tutto e rimetterlo via usb? Comunque considerando che prima non me lo ha trovato figuriamoci ora che malware remover pare lo abbia rimosso…

Se avevi già fatto la scansione non c'è bisogno di farla nuovamente, solo non mi avevi detto di averla fatta 😅
 

Entra

oppure Accedi utilizzando