Qnap Nas ts-212 infetto da ransomware .encrypted

[mtguido]

Buonasera,
oggi ho aperto da iphone l'app Qfile per recuperare un file sul mio nas Qnap ts-212. Con mia grande sorpresa mi sono ritrovato tutti i file con estensione .encrypted. In ogni cartella era presente un fle "README_FOR_DECRYPT.txtt". All'interno dello stesso indicazioni per collegarsi ad un sito internet per scoprire con decriptare i file. Chiaramente non ho aperto il sito.

Sono corso a staccare il nas dalla rete e ho subito staccato anche l'hard disk esterno collegato al nas dove effettuo i backup settimanali dei dati del nas.
Successivamente ho verificato lo stato dei due computer di casa e al momento sembrerebbero non essere stati attaccati (ho fatto una passata con malwarebytes).

Poi ho voluto controllare lo stato del disco esterno del nas, quello dei backup, per scoprire se i dati erano salvi. L'ho collegato ad un vecchio portatile (la live di ubunti non mi leggeva il disco, è ntfs) e sembrerebbe che miracolosamente i file siano integri. In realtà sulla cartella radice dell'hard disk esterno è presente il solito file "README_FOR_DECRYPT.txtt" ma tutte le cartelle e i file sembrano integre e leggibili.

Adesso vi chiedo quindi come recuperare il nas. Al momento lo tengo scollegato e non saprei come agire anche perchè collegandolo alla rete avrei paura di infettare gli altri dispositivi.
Inoltre anche l'hard disk esterno con il backup vorrei analizzarlo ma il portatile su cui ho fatto il test è troppo vecchio non riesco ad installarci neanche malwarebytes.

Mi spieghereste come procedere passo passo?

Vi ringrazio

 

[r3dl4nce]

Da un PC con una live Linux formatta i dischi del nas, poi azzeri il nas così reinstalla il firmware.
Sicuro che il ransomware sia sul nas e non in qualche pc connesso in rete?

 

[mtguido]

Il fatto è che il disco esterno su cui faccio il backup settimanale non salva proprio tutti tutti i dati del nas. Non è possibile recuperare il nas?

Il Ransomware al momento si è manifestato solo sul nas. Sul disco esterno ha solo copiato il file .txtt senza criptare i file, possibile?
Cosa dovrei fare su ogni pc per essere sicuro che non sia infetto?

 

[r3dl4nce]

Il fatto è che il disco esterno su cui faccio il backup settimanale non salva proprio tutti tutti i dati del nas. Non è possibile recuperare il nas?

Male, se non fai un backup completo della roba importante, che backup è? Avevi attivato qualche snapshot periodico del volume? Altrimenti i file criptati sono persi.

Hai verificato se c'è un log (non conosco bene i qnap come i synology) per capire magari se un pc ha fatto accesso e ha criptato i file?

 

[mtguido]

Male, se non fai un backup completo della roba importante, che backup è? Avevi attivato qualche snapshot periodico del volume? Altrimenti i file criptati sono persi.

Hai verificato se c'è un log (non conosco bene i qnap come i synology) per capire magari se un pc ha fatto accesso e ha criptato i file?

Purtroppo non so cosa sono gli snapshot quindi deduco che non li abbia attivati.

Il backup non salva proprio tutto i file perché il disco esterno non è capiente come quello del nas purtroppo.

Non c’è proprio modo di recuperare i dati del nas? Ho visto che ci sono parecchie guide per la disinfezione di questo malware. Nessuna è valida sul nas?

Come procedo con il disco esterno per assicurarmi che non sia infetto? Posso in qualche modo scansionarlo con la live di ubuntu o simili? È bene che scolleghi l’ssd del fisso quando avvio ubuntu e ci collego il disco esterno di backup del nas?

Grazie

 

[r3dl4nce]

Devi capire se il malware è in qualche modo sul nas o su un PC, spesso i ransomware mettono delle operazioni pianificate per avviarsi, puoi controllare i PC con i vari tool e antivirus
I file criptati da ransomware sono persi se non hai backup o snapshot

 

[mtguido]

Devi capire se il malware è in qualche modo sul nas o su un PC, spesso i ransomware mettono delle operazioni pianificate per avviarsi, puoi controllare i PC con i vari tool e antivirus
I file criptati da ransomware sono persi se non hai backup o snapshot

Ok allora partiamo dallo scansionare tutti i computer di casa. Ho un fisso, due portatili Windows e un MacBook.
Cosa devo far girare su ciascuno per escludere che il ramsonware sia fuori dal nas?

 

[Dumah Brazorf]

C'è da capire che ransonware è esattamente e cercare se è già stato creato un tool per decrittare i file.
Bleepingcomputer è probabilmente il forum di riferimento per queste cose.

 

[mtguido]

C'è da capire che ransonware è esattamente e cercare se è già stato creato un tool per decrittare i file.
Bleepingcomputer è probabilmente il forum di riferimento per queste cose.

Questo è il txt che c’è in ogni cartella, da questo si può identificare?

Intanto mi direste cosa devo fare su ogni computer per escludere la presenza del ramsonware?
Anche sul disco esterno

 

[Kelion]

Quello è soltanto il link bitcoin per pagare. Non penso porti a nulla.
Dovresti usare questo:

Bitdefender Ransomware Recognition Tool

A tool to help ransomware victims find which family and sub-version of ransomware has encrypted their data and then get the appropriate decryption tool, if it exists.

www.bitdefender.com

 

[mtguido]

Ho seguito il consiglio di @Dumah Brazorf e ho postato su bleepingcomputer. Mi hanno risposto così:

The contents of your ransom note are those we have seen with eCh0raix (QNAPCrypt/Synology NAS) Ransomware as explained here by Amigo-A (Andrew Ivanov). eCh0raix specifically targets QNAP NAS devices by brute forcing passwords and exploiting vulnerabilities in order to get access to the device.

Newer versions of eCh0raix Ransomware (July 19, 2019 and later) are not decryptable without paying the ransom and obtaining the private encryption keys from the criminals who created the ransomware unless they are leaked or seized & released by authorities. Without the criminal's master private key that can be used to decrypt your files, decryption is impossible. That usually means the private key is unique(specific) for each victim and generated in a secure way (i.e. RSA, AES, Salsa20, ChaCha20, ECDH, ECC) that cannot bebrute-forced.

There is an ongoing discussion in this topic where victims can post comments, ask questions and seek further assistance. Other victims have been directed there to share information, experiences and suggestions.

• eCh0raix Ransomware - QNAPCrypt/Synology NAS (.encrypt) Support Topic

Rather than have everyone with individual topics, it would be best (and more manageable for staff) if you posted any more questions, comments or requests for assistance in the above support topic discussion...it includes experiences by experts, IT consultants, victims and company representatives who have been affected by ransomware infections. To avoid unnecessary confusion, this topic is closed.

Thanks

A questo punto mi sembra chiaro che io non abbia speranze per il Nas, concordate?

Miracolosamente l’hard disk esterno sembra essersi salvato, non so perché. Forse può dipendere dal fatto che avesse un file System diverso dal disco del nas? Come vi ho scritto ha copiato solo il .txtt nella cartella radice ma i file sembrano integri. Adesso mi sto affrettando a fare una copia su un altro hard disk per sicurezza.

Riguardo al nas ho preso una decisione: lo cestino. È vecchio e vulnerabile da quello che ho capito quindi se davvero risparmio i soldi del riscatto (visto che i file sembrano salvi) li reinvesto in un nas nuovo. Pare che il riscatto sarebbe stato di 0,03 btc quindi circa 1350€.

Prima di procedere però vorrei capire cosa devo fare su tutti i computer di casa e sopratutto sull’hard disk di backup che si è salvato e quindi anche su quello su cui sto copiando tutto.

Come posso accertarmi che il ramsonware non sia presente per evitare che si riproponga? Vorrei essere certo al 100% di aver messo i dati in salvo.

Il nas per adesso resta scollegato dalla rete.

Vi ringrazio

 

[Moffetta88]

Intanto complimenti per aver adottato la scelta dei backup esterni! Non è una cosa da tutti e molti non capiscono l'importanza della cosa!
Questo è il brutto di esporre servizi sul web, o sai cosa stai facendo e sei sicuro al 100% che i prodotti usati siano safe o incappi in problemi ( vale per i nas che per router enterprise come mikrotik e ubiquiti ).
Io ho chiuso qualsiasi porta e mi son messo dietro ad una vpn privata per accedere alla mia rete locale da esterno, attivato eventuali fail2ban et simila sul nas e su vpn e blacklistati a priori tutti gli ip che vengono dall'est europa/asia tramite GEOIPBLOCK.
Il mio consiglio è quello di fare un mega hard reset del nas, aggiornarlo all'ultima versione disponibile e non permettere di accedere da esterno ai file.
Nel caso in cui il nas non sia aggiornabile, allora direi di prenderlo ed usarlo magari come secondo backup senza accesso da esterno e di recuperare un nas più consono, come un DS220J ( se non devi usare transcodifiche varie e lo usi solo per storage dei dati ) anch'esso senza accesso da esterno ed eventualmente attivare la vpn del synology

Configurare il VPN Server | VPN Server - Synology Knowledge Center

Synology Knowledge Center offre un supporto completo con le risposte alle domande frequenti, i passaggi per la risoluzione dei problemi, i tutorial sui software e tutta la documentazione tecnica che può esserti necessaria.

kb.synology.com

Poi basta scaricare openvpn client sui telefoni ed accedi al tuo nas con le app synology senza aver esposto l'intero nas ad internet.
Naturalmente questo implica di aver un ip pubblico statico..

 

[mtguido]

Intanto complimenti per aver adottato la scelta dei backup esterni! Non è una cosa da tutti e molti non capiscono l'importanza della cosa!
Questo è il brutto di esporre servizi sul web, o sai cosa stai facendo e sei sicuro al 100% che i prodotti usati siano safe o incappi in problemi ( vale per i nas che per router enterprise come mikrotik e ubiquiti ).
Io ho chiuso qualsiasi porta e mi son messo dietro ad una vpn privata per accedere alla mia rete locale da esterno, attivato eventuali fail2ban et simila sul nas e su vpn e blacklistati a priori tutti gli ip che vengono dall'est europa/asia tramite GEOIPBLOCK.
Il mio consiglio è quello di fare un mega hard reset del nas, aggiornarlo all'ultima versione disponibile e non permettere di accedere da esterno ai file.
Nel caso in cui il nas non sia aggiornabile, allora direi di prenderlo ed usarlo magari come secondo backup senza accesso da esterno e di recuperare un nas più consono, come un DS220J ( se non devi usare transcodifiche varie e lo usi solo per storage dei dati ) anch'esso senza accesso da esterno ed eventualmente attivare la vpn del synology

Configurare il VPN Server | VPN Server - Synology Knowledge Center

Synology Knowledge Center offre un supporto completo con le risposte alle domande frequenti, i passaggi per la risoluzione dei problemi, i tutorial sui software e tutta la documentazione tecnica che può esserti necessaria.

kb.synology.com

Poi basta scaricare openvpn client sui telefoni ed accedi al tuo nas con le app synology senza aver esposto l'intero nas ad internet.
Naturalmente questo implica di aver un ip pubblico statico..

Ti ringrazio per la risposta.
Il backup esterno io in realtà lo avevo pensato per eventuali rotture del disco del nas. Non avevo mai ipotizzato una eventualità simile. E comunque non ho ancora capito perché l’hard disk esterno non è stato attaccato, c’era solo il file .txtt.

Ti ringrazio poi per i consigli sul nas, mi suggerisci di passare a Sinology quindi?

Ad ogni modo questo lo vedrò solo dopo essermi assicuro che i dati siano salvi e l’hard disk e i computer puliti dal ramsonware. Nessuno mi ha ancora risposto quali operazioni devo fare per assicurarmene.

Grazie

 

[Moffetta88]

Sui qnap ho avuto poche esperienze e tutte negative.
Tra nas morti, software buggati e che si inchiodavano, abbiamo sempre sostituito i qnap con serve dedicati o synology ( ho dei synology vecchi come il cucco che fino all'ultimo aggiornamento del DSM6 han retto senza problemi ).

Per il vairus se vuoi andare con i piedi di piombo, direi di fare analisi anche con kaspersky che ha un tool apposito

Free Kaspersky Anti-Ransomware Tool | Kaspersky

Get free ransomware protection that stops and blocks ransomware attacks immediately. Kaspersky Anti-Ransomware Tool provides real-time protection from both local and remote-access ransomware attacks, adware and cryptolockers. It also includes ransomware scanner and acts as a complete solution...

www.kaspersky.com

Ma secondo me i computer sono a posto, è stato "infettato" e "criptato" solo il nas che aveva delle vulnerabilità esposte al web

 

[mtguido]

Sui qnap ho avuto poche esperienze e tutte negative.
Tra nas morti, software buggati e che si inchiodavano, abbiamo sempre sostituito i qnap con serve dedicati o synology ( ho dei synology vecchi come il cucco che fino all'ultimo aggiornamento del DSM6 han retto senza problemi ).

Per il vairus se vuoi andare con i piedi di piombo, direi di fare analisi anche con kaspersky che ha un tool apposito

Free Kaspersky Anti-Ransomware Tool | Kaspersky

Get free ransomware protection that stops and blocks ransomware attacks immediately. Kaspersky Anti-Ransomware Tool provides real-time protection from both local and remote-access ransomware attacks, adware and cryptolockers. It also includes ransomware scanner and acts as a complete solution...

www.kaspersky.com

Ma secondo me i computer sono a posto, è stato "infettato" e "criptato" solo il nas che aveva delle vulnerabilità esposte al web

Anche con kaspersky oltre a cosa? Malwarebytes?
A me oltre ai computer interessa l’hard disk esterno che è collegato al nas. Perché quello lo copierò sul pc. E poi nel nuovo nas sicuramente. Quindi devo essere sicurissimo che sia pulito e il fatto che ci sia il file .txtt mi spaventa moltissimo.
Oltretutto dentro ci è stato copiato il file txtt quindi ho il terrore che da un momento all’altro tutti i file si criptino ehehehe.

Quindi per favore indicatemi quali tool passare!

Grazie