Qnap Nas ts-212 infetto da ransomware .encrypted

[r3dl4nce]

Quel particolare randomware infetta solo i NAS QNAP sfruttando delle vulnerabilità, quindi non hai nulla da temere sui PC.
I passaggida effettuare, seondo me, sono:
- proprio per massima sicurezza, avvia una ubuntu live su un PC e verifica il contenuto del disco USB di backup, scorri le varie cartelle per vedere se ci sono file infetti, se è tutto a posto, copia il contenuto completo del disco USB di backup in un altro USB così ne hai due per sicurezza, dato che per ora i tuoi dati sono solamente su tale disco USB
- togli i dischi dal NAS e collegali a un PC, con tutti gli altri dischi scollegati, poi vai sempre di ubuntu live e azzera i dischi, non serve proprio azzerare tutto il contenuto, quando hai azzerato tabella delle partizioni sei a posto, al massimo azzeri i primi GB del disco, così azzeri anche boot sector, tipo con dd if=/dev/zero of=/dev/sdX bs=1k count=10M status=progress, se poi vuoi invece anche fare un test ai dischi e azzerarli completamente puoi fare badblocks -v -w -s /dev/sdX che scrive e rilegge in modo distruttivo dati sul disco, azzera il contenuto e in più prova se i dati scritti vengono riletti correttamente, così verifichi anche se ci fossero guasti hardware nei dischi
- A questo punto decidi se mantenere quel QNAP o passare a un Synology, in ogni caso se i dischi sono buoni li puoi riutilizzare
- Chiaramente con i dischi azzerati il NAS ti farà reinizializzare da capo, va bene
- Una volta inizializzato il NAS, ci ricopi il contenuto del disco USB e poi reimposti i backup su entrambi i dischi USB così li usi a rotazione

 

[mtguido]

Quel particolare randomware infetta solo i NAS QNAP sfruttando delle vulnerabilità, quindi non hai nulla da temere sui PC.
I passaggida effettuare, seondo me, sono:
- proprio per massima sicurezza, avvia una ubuntu live su un PC e verifica il contenuto del disco USB di backup, scorri le varie cartelle per vedere se ci sono file infetti, se è tutto a posto, copia il contenuto completo del disco USB di backup in un altro USB così ne hai due per sicurezza, dato che per ora i tuoi dati sono solamente su tale disco USB
- togli i dischi dal NAS e collegali a un PC, con tutti gli altri dischi scollegati, poi vai sempre di ubuntu live e azzera i dischi, non serve proprio azzerare tutto il contenuto, quando hai azzerato tabella delle partizioni sei a posto, al massimo azzeri i primi GB del disco, così azzeri anche boot sector, tipo con dd if=/dev/zero of=/dev/sdX bs=1k count=10M status=progress, se poi vuoi invece anche fare un test ai dischi e azzerarli completamente puoi fare badblocks -v -w -s /dev/sdX che scrive e rilegge in modo distruttivo dati sul disco, azzera il contenuto e in più prova se i dati scritti vengono riletti correttamente, così verifichi anche se ci fossero guasti hardware nei dischi
- A questo punto decidi se mantenere quel QNAP o passare a un Synology, in ogni caso se i dischi sono buoni li puoi riutilizzare
- Chiaramente con i dischi azzerati il NAS ti farà reinizializzare da capo, va bene
- Una volta inizializzato il NAS, ci ricopi il contenuto del disco USB e poi reimposti i backup su entrambi i dischi USB così li usi a rotazione

Tutto chiaro, ma io temo per il disco di backup che era collegato al nas!!? Poi un paio di cose non ho capito.

Le operazioni con ubuntu le ho già fatte. Adesso per scrupolo utilizzo una live di Windows (hiren boot cd) che ha malwarebytes sopra e ci passo l’hard disk esterno.

Poi vorrei entrare nel nas per verificare quali file non ho sul backup. Giusto per capire a cosa dovrò dire addio per sempre. Accedendoci da ubuntu live con hard disk del pc staccato sono al sicuro si?

Poi non ho capito le operazioni per ripulire il disco (è uno solo) del nas. Come devo procedere? Non so come “azzerare” il disco con ubuntu.

Grazie

 

[r3dl4nce]

Per leggere il disco del NAS QNAP da Linux qua ci sono un po' di istruzioni

Mount QNAP Drives to Linux - QNAP NAS Community Forum

dovrebbe comunque banalmente essere un ext3/ext4 gestito tramite LVM e forse anche MDADM, quindi se lo colleghi a un PC e lanci una live linux, con vgdisplay e lvdisplay si dovrebbero vedere i volumi per poi provare a fare un mount, altrimenti prima va assemblato l'array con mdadm

Per azzerarlo, ti ho messo i comandi sopra, sia che vuoi solo azzerare le partizioni sia che vuoi sovrascrivere completamente il disco, provando anche se è in buono stato

 

[Dumah Brazorf]

A questo punto mi sembra chiaro che io non abbia speranze per il Nas, concordate?

Ni, tra x mesi/anni potrebbero acciuffare i lestofanti e rilasciare le password di decrittazione. Se ci sono dati importanti e non backuppati valuta di mettere il nas in naftalina e lurkare ogni tanto quel forum per news.

 

[mtguido]

Ni, tra x mesi/anni potrebbero acciuffare i lestofanti e rilasciare le password di decrittazione. Se ci sono dati importanti e non backuppati valuta di mettere il nas in naftalina e lurkare ogni tanto quel forum per news.

Rilasciare a chi? Ho letto che questa nuova versione genera chiavi di decriptazione specifiche per ogni utenza hackerata. Dovrei sperare che chi li acciuffa si prenda la briga di contattarmi e comunicarmi la mia chiave? Mi sembra alquanto un miraggio..

 

[Dumah Brazorf]

Contattarti no di sicuro per questo sei TU che devi cercare notizie ogni tanto.

 

[mtguido]

Contattarti no di sicuro per questo sei TU che devi cercare notizie ogni tanto.

Siccome i dati sono salvi credo sia anche inutile conservare un disco con questa speranza. Lo raso e lo utilizzerò come ulteriore backup sul vecchio nas. Avrò quindi nuovo nas, vecchio nas di backup e solito disco esterno via usb sul primo nas. Con due backup spero di essere ancora più sicuro.

Non mi resta che scegliere il nuovo nas, ho aperto qui una discussione: https://forum.tomshw.it/threads/consiglio-acquisto-nas-dopo-attacco-ramsonware.875466/#post-8135000

 

[GraveKeeper]

Ti ringrazio per la risposta.
Il backup esterno io in realtà lo avevo pensato per eventuali rotture del disco del nas. Non avevo mai ipotizzato una eventualità simile. E comunque non ho ancora capito perché l’hard disk esterno non è stato attaccato, c’era solo il file .txtt.

Ti ringrazio poi per i consigli sul nas, mi suggerisci di passare a Sinology quindi?

Ad ogni modo questo lo vedrò solo dopo essermi assicuro che i dati siano salvi e l’hard disk e i computer puliti dal ramsonware. Nessuno mi ha ancora risposto quali operazioni devo fare per assicurarmene.

Grazie

Passati i dispositivi con Malwarebytes+RogueKiller+AdwCleaner+TDSSKiller+PuliziaDisco+sfc /scannow+ scansione offline windows defender.
Ovviamente quarantena e elimina tutto quello che trovano.

Se non trovano nulla sei ok.

Ma soprattutto passa con delle belle scansioni il disco che sembra essersi salvato. Il fatto che ci sia il file .txt potrebbe comportare che tracce del virus ci siano e magari collegato a rete potrebbero crittare nuovamente i dati.
Le alternative sono che:
- il ransomware in qualche modo non ha fatto in tempo (il che anche con grandi quantità di dati è poco probabile ma immagino possa accadere)
- come dici in qualche modo il file system differente può aver aggirato l'infezione

In ogni caso è bene controllare che il disco e i dati che si sono salvati siano puliti prima di rimetterli da qualsiasi altra parte.

Se devi cambiare NAS, in ogni caso come dicono quello vecchio puoi sempre conservarlo per bene, magari ci sarà un leak dei databse di queste chiavi (mi pare strano le tengano su fogli di carta) e faranno un tool di decrypt in futuro, chissà. Ovviamente la vedo dura, ma non si può prevedere il futuro.

Ah, inoltre volendo puoi farti un bel reset all'iphone da itunes e così sei sicuor che sia pulito pure quello. Ovviamente prima di resettare fatti i backup di chat, foto ecc...

 

[mtguido]

Passati i dispositivi con Malwarebytes+RogueKiller+AdwCleaner+TDSSKiller+PuliziaDisco+sfc /scannow+ scansione offline windows defender.
Ovviamente quarantena e elimina tutto quello che trovano.

Se non trovano nulla sei ok.

Ma soprattutto passa con delle belle scansioni il disco che sembra essersi salvato. Il fatto che ci sia il file .txt potrebbe comportare che tracce del virus ci siano e magari collegato a rete potrebbero crittare nuovamente i dati.
Le alternative sono che:
- il ransomware in qualche modo non ha fatto in tempo (il che anche con grandi quantità di dati è poco probabile ma immagino possa accadere)
- come dici in qualche modo il file system differente può aver aggirato l'infezione

In ogni caso è bene controllare che il disco e i dati che si sono salvati siano puliti prima di rimetterli da qualsiasi altra parte.

Se devi cambiare NAS, in ogni caso come dicono quello vecchio puoi sempre conservarlo per bene, magari ci sarà un leak dei databse di queste chiavi (mi pare strano le tengano su fogli di carta) e faranno un tool di decrypt in futuro, chissà. Ovviamente la vedo dura, ma non si può prevedere il futuro.

Ah, inoltre volendo puoi farti un bel reset all'iphone da itunes e così sei sicuor che sia pulito pure quello. Ovviamente prima di resettare fatti i backup di chat, foto ecc...

Oh grazie finalmente una lista di controlli da fare. Malwarebytes appena fatto, tutto pulito. Ora vado con rogue killer e gli altri. Non ho capito questa parte però:

+PuliziaDisco+sfc /scannow+ scansione offline windows defender.

Post unito automaticamente: 24 Dicembre 2021

Controllando il disco con malwarebytes mi sono purtroppo accorto che una cartella è stata criptata.
Per fortuna non una cartella importante.
A questo punto mi chiedo come sia possibile che si sia criptata solo quella cartella, la prima, e non le seguenti. Come se il processo si fosse bloccato.

Malwarebytes non ha rilevato nulla.
Vi chiedo anche, conservare questi file .encrypt è pericoloso? Conviene che li elimino o li sposto? Oppure sono innocui?

Grazie

 

[GraveKeeper]

Oh grazie finalmente una lista di controlli da fare. Malwarebytes appena fatto, tutto pulito. Ora vado con rogue killer e gli altri. Non ho capito questa parte però:

Post unito automaticamente: 24 Dicembre 2021

Controllando il disco con malwarebytes mi sono purtroppo accorto che una cartella è stata criptata.
Per fortuna non una cartella importante.
A questo punto mi chiedo come sia possibile che si sia criptata solo quella cartella, la prima, e non le seguenti. Come se il processo si fosse bloccato.

Malwarebytes non ha rilevato nulla.
Vi chiedo anche, conservare questi file .encrypt è pericoloso? Conviene che li elimino o li sposto? Oppure sono innocui?

Grazie

Decisamente eliminali

Per la parte che non hai capito, pulizia disco è quella interna di Windows serve a rimuovere file temporanei, e per le altre 2 trovi svariate guide online.
Però queste sono cose utili sui dispositivi, non sul disco esterno, lo stesso vale per tdsskiller

 

[mtguido]

Decisamente eliminali

Per la parte che non hai capito, pulizia disco è quella interna di Windows serve a rimuovere file temporanei, e per le altre 2 trovi svariate guide online.
Però queste sono cose utili sui dispositivi, non sul disco esterno, lo stesso vale per tdsskiller

Ok invece sul disco esterno cosa devo fare oltre malwarebytes?

 

[mtguido]

Aggiornamenti sulle operazioni fatte.

A) Disco di backup esterno
- Eliminato quei pochi file che erano criptati (ho forse capito perchè erano criptati solo alcuni file, sono andato nella backup station del nas e ho notato che era partito un backup giorni fa, fortunatamente fallito dopo poco. Quindi quei file criptati che c'erano forse erano stati copiati dal backup e non dal ramsonware. Ad ogni modo poco male perchè erano file poco importanti). Alcuni file non si rimuovevano, ci sono riuscito solo dopo un chkdsk.
- Tramite hiren boot live (windows 10 live) ho passato l'hard disk esterno con malwarebytes

B) Disco del Nas
- Ho rimosso il disco dal nas
- Avviato sul mio pc fisso Shadowdefender e avviato la shadowmode
- Collegato disco del nas via usb
- Formattato con la gestione dischi di windows (formattazione rapida)
- Post formattazione l'ho passato con Malwarebytes, Tdsskiller, Roguekiller, eek, adwcleaner (con adwcleaner e tdsskiller non sono riuscito ad effettuare una scansione personalizzata solo sul disco, non ho trovato opzioni per farlo, ho avviato la scansione generica, spero mi abbia scansionato anche il disco del nas oltre al fisso). Ad ogni modo non hanno trovato minacce.
- Reinserito disco nel nas e inizializzato con nuovo firmware.
- Nel nas appena inizializzato ho installato "Malware remover" della QNAP che sorprendentemente mi ha trovato ed eliminato 2 malware: MR1702, MR 1902.



- Ho impostato una password molto forte per admin
- Ho disattivato myqnapcloud del tutto
- Eliminato qualsiasi abilitazione porta verso il nas del router
Ho provato poi ad attivare ed aggiornare l'antivirus del nas ma fallisce sempre e non si aggiorna:



A questo punto posso dire di aver eliminato il ramsonware definitivamente?
C'è altro che dovrei fare per stare tranquillo?

A giorni comprerò un nuovo nas (synology ds220+). Questo qnap ts-212 lo utilizzerò per farci i backup del synology, poi dovrò studiarmi come fare. Intanto vi chiederei di indicarmi quali accortezze impostare nel nas per evitare di ricadere in una situazione simile.


Grazie

@GraveKeeper @Dumah Brazorf @r3dl4nce

 

[GraveKeeper]

Aggiornamenti sulle operazioni fatte.

A) Disco di backup esterno
- Eliminato quei pochi file che erano criptati (ho forse capito perchè erano criptati solo alcuni file, sono andato nella backup station del nas e ho notato che era partito un backup giorni fa, fortunatamente fallito dopo poco. Quindi quei file criptati che c'erano forse erano stati copiati dal backup e non dal ramsonware. Ad ogni modo poco male perchè erano file poco importanti). Alcuni file non si rimuovevano, ci sono riuscito solo dopo un chkdsk.
- Tramite hiren boot live (windows 10 live) ho passato l'hard disk esterno con malwarebytes

B) Disco del Nas
- Ho rimosso il disco dal nas
- Avviato sul mio pc fisso Shadowdefender e avviato la shadowmode
- Collegato disco del nas via usb
- Formattato con la gestione dischi di windows (formattazione rapida)
- Post formattazione l'ho passato con Malwarebytes, Tdsskiller, Roguekiller, eek, adwcleaner (con adwcleaner e tdsskiller non sono riuscito ad effettuare una scansione personalizzata solo sul disco, non ho trovato opzioni per farlo, ho avviato la scansione generica, spero mi abbia scansionato anche il disco del nas oltre al fisso). Ad ogni modo non hanno trovato minacce.
- Reinserito disco nel nas e inizializzato con nuovo firmware.
- Nel nas appena inizializzato ho installato "Malware remover" della QNAP che sorprendentemente mi ha trovato ed eliminato 2 malware: MR1702, MR 1902.



- Ho impostato una password molto forte per admin
- Ho disattivato myqnapcloud del tutto
- Eliminato qualsiasi abilitazione porta verso il nas del router
Ho provato poi ad attivare ed aggiornare l'antivirus del nas ma fallisce sempre e non si aggiorna:



A questo punto posso dire di aver eliminato il ramsonware definitivamente?
C'è altro che dovrei fare per stare tranquillo?

A giorni comprerò un nuovo nas (synology ds220+). Questo qnap ts-212 lo utilizzerò per farci i backup del synology, poi dovrò studiarmi come fare. Intanto vi chiederei di indicarmi quali accortezze impostare nel nas per evitare di ricadere in una situazione simile.


Grazie

@GraveKeeper @Dumah Brazorf @r3dl4nce

Purtroppo non uso NAS quindi non so dirti quali accortezze potresti usare.

Però sì, secondo me il virus l'hai scampata, e i file crittati sono causa probabilmente del backup. I file per cui hai dovuto eseguire chkdsk probabilmente erano file non del tutto crittati e si erano corrotti.

I malware individuati potevano essere anche solo falsi positivi o comunque magari qualche file o programma non originale presente sul Nas, ma comunque meglio levarli.

Io darei giusto per sicurezza anche una scansione con RogueKiller al disco, le scansioni incrociate male non fanno.

Il resto che ti avevo indicato è per i tuoi dispositivi invece.

 

[mtguido]

Purtroppo non uso NAS quindi non so dirti quali accortezze potresti usare.

Però sì, secondo me il virus l'hai scampata, e i file crittati sono causa probabilmente del backup. I file per cui hai dovuto eseguire chkdsk probabilmente erano file non del tutto crittati e si erano corrotti.

I malware individuati potevano essere anche solo falsi positivi o comunque magari qualche file o programma non originale presente sul Nas, ma comunque meglio levarli.

Io darei giusto per sicurezza anche una scansione con RogueKiller al disco, le scansioni incrociate male non fanno.

Il resto che ti avevo indicato è per i tuoi dispositivi invece.

No quei codici di malware che ha segnalato malware remover li ho googlati e corrispondono a ech0raix. Quindi era proprio il malware in questione. Spero che adesso sia definitivamente scomparso.

Con rogue killer lo avevo già passato montandolo su Windows con usb e non me lo aveva trovato! Non posso fare la scansione mentre è montato sul nas vero? Dovrei riscontare tutto e rimetterlo via usb? Comunque considerando che prima non me lo ha trovato figuriamoci ora che malware remover pare lo abbia rimosso…

 

[GraveKeeper]

No quei codici di malware che ha segnalato malware remover li ho googlati e corrispondono a ech0raix. Quindi era proprio il malware in questione. Spero che adesso sia definitivamente scomparso.

Con rogue killer lo avevo già passato montandolo su Windows con usb e non me lo aveva trovato! Non posso fare la scansione mentre è montato sul nas vero? Dovrei riscontare tutto e rimetterlo via usb? Comunque considerando che prima non me lo ha trovato figuriamoci ora che malware remover pare lo abbia rimosso…

Se avevi già fatto la scansione non c'è bisogno di farla nuovamente, solo non mi avevi detto di averla fatta ?