Synology DS220 hackerato.. recupero dati

blengyo · 30 Luglio 2025

ciao a tutti, mi hanno hackerato non so cosa non so come, sta di fatto che ora ho un file txt dicendo che il mio network è stato compromesso e che devo pagare per riavere i dati. I 2 dischi (che erano in raid clone) risultano ora vuoti.

Che software posso utilizzare per tentare il recupero dati? grazie mille

EDIT: sto provando EaseUS data recovery wizard in modalita trial, sembra che veda i dati ma non sono nelle cartelle giuste... me li suddivide per tipo di file! C'è modo di ricostruire la struttura delle cartelle?

Moffetta88 · 30 Luglio 2025

Avevi l'accesso da remoto attivo? Magary tramite quickconnect?

Btw, questa è una situazione in cui servono i backup...
Immagino che tu non ne abbia...

La struttura cartelle è complessa da recuperare, di raro si riesce arecuperare

blengyo · 30 Luglio 2025

già :(

c'è qualche software di recupero indicato?

r3dl4nce · 30 Luglio 2025

Senza backup hai perso tutto. Ma senza backup i dati sono affidati alla sorte e alla sfortuna.
C'è ben poco che puoi fare, se non un enorme "mea culpa" e imparare a gestire bene l'archiviazione di dati importanti

BaldosArts · 30 Luglio 2025

Se vedi con che estensione ti ha criptato i file, da qui potresti vedere se esiste una "cura":

https://docs.google.com/spreadsheets/d/1TWS238xacAto-fLKh1n5uTsdijWdCEsGIM0Y0Hvmc5g/pubhtml#

Il primo ransomware che ho sconfitto era Teslacrypt nel 2016.
Cercando sul web, avevo trovato dei programmi che tramite i numeri fattoriali, ricostruivano la chiave di cifratura. Solo poche ore di lavoro duro della CPU.
Negli anni successivi, si poteva solo sperare che uscisse un tool con la chiave...

Moffetta88 · 30 Luglio 2025

Di fatto molta gente scambia il mirror in un backup Purtroppo non lo è, ma si tratta di un sistema per garantire continuità in caso di rotture.
Il backup è un musthave!
Soitamente basta un disco usb esterno e passa la paura.

BaldosArts ha detto:
Se vedi con che estensione ti ha criptato i file, da qui potresti vedere se esiste una "cura":

https://docs.google.com/spreadsheets/d/1TWS238xacAto-fLKh1n5uTsdijWdCEsGIM0Y0Hvmc5g/pubhtml#

Il primo ransomware che ho sconfitto era Teslacrypt nel 2016.
Cercando sul web, avevo trovato dei programmi che tramite i numeri fattoriali, ricostruivano la chiave di cifratura. Solo poche ore di lavoro duro della CPU.
Negli anni successivi, si poteva solo sperare che uscisse un tool con la chiave...

Ma da quanto ho capito si è trovato brasato tutto ed è rimasto un solo file txt...
@blengyo hai provato a controllare eventuale la cartella trash/cestino per vedere se c'è qualcosa?

blengyo · 30 Luglio 2025

BaldosArts ha detto:
Se vedi con che estensione ti ha criptato i file, da qui potresti vedere se esiste una "cura":

https://docs.google.com/spreadsheets/d/1TWS238xacAto-fLKh1n5uTsdijWdCEsGIM0Y0Hvmc5g/pubhtml#

Il primo ransomware che ho sconfitto era Teslacrypt nel 2016.
Cercando sul web, avevo trovato dei programmi che tramite i numeri fattoriali, ricostruivano la chiave di cifratura. Solo poche ore di lavoro duro della CPU.
Negli anni successivi, si poteva solo sperare che uscisse un tool con la chiave...

non risulta essere un ramsonware, ho staccato il disco e provato a scansionare con EaseUS recevory, trova i file e sono ripristinabili, ed apribili. E' come se avesse fatto un format. Chiaramente la scansione mi ha già trovato 3 tb di materiale, quando sopra ce n'era circa 1.. ma è già tanta roba, ci metterà un po a recuperare immagino. L'alberatura delle cartelle immagino sia persa..

r3dl4nce ha detto:
Senza backup hai perso tutto. Ma senza backup i dati sono affidati alla sorte e alla sfortuna.
C'è ben poco che puoi fare, se non un enorme "mea culpa" e imparare a gestire bene l'archiviazione di dati importanti

hai ragione, mea culpa :( ora devo solo sistemare il sistemabile e vi ringrazio per l'aiuto

Moffetta88 ha detto:
Di fatto molta gente scambia il mirror in un backup Purtroppo non lo è, ma si tratta di un sistema per garantire continuità in caso di rotture.
Il backup è un musthave!
Soitamente basta un disco usb esterno e passa la paura.

Ma da quanto ho capito si è trovato brasato tutto ed è rimasto un solo file txt...
@blengyo hai provato a controllare eventuale la cartella trash/cestino per vedere se c'è qualcosa?

esatto un txt ed il resto non c'è piu. Secondo me è passato tramite quickconnect, tramite account.. la cartella trash è vuota purtroppo :(

r3dl4nce · 30 Luglio 2025

blengyo ha detto:
esatto un txt ed il resto non c'è piu. Secondo me è passato tramite quickconnect, tramite account.. la cartella trash è vuota purtroppo :(

non avevi neppure autenticazione 2FA?

Moffetta88 · 30 Luglio 2025

blengyo ha detto:
Chiaramente la scansione mi ha già trovato 3 tb di materiale, quando sopra ce n'era circa 1..

beh ma perchè ti recupera tutte le versioni dei file, e quelli già eliminati..

blengyo ha detto:
esatto un txt ed il resto non c'è piu. Secondo me è passato tramite quickconnect, tramite account.. la cartella trash è vuota purtroppo :(

non vorrei che fosse stato infettato un pc che accede alla share. fai scansione su tutti i pc che avevano montato le cartelle del nas

r3dl4nce · 30 Luglio 2025

Moffetta88 ha detto:
non vorrei che fosse stato infettato un pc che accede alla share. fai scansione su tutti i pc che avevano montato le cartelle del nas

Così fosse non dovrebbe essere cancellata la cartella #recycle ... a meno che non abbia abilitato l'accesso a tutti e non solo agli admin....
in poche parole, sto nas era configurato come un colabrodo

HSH · 31 Luglio 2025

ma era almeno aggiornato all'ultima versione di DSM, che magari non abbiano sfruttato una falla

blengyo · 1 Agosto 2025

Grazie a tutti per gli aiuti. Sto riuscendo a recuperare i dati ed anche ricostruire l'alberatura delle cartelle grazie alla funzionalità raid di easeus. Vi tengo aggiornati.

Intanto sui nuovi dischi ho fatto una nuova installazione, dopo aver cambiato psw all'account synology inserendo autenticazione a 2 fattori con anche ms authenticator, ora ho creato il nuovo utente admin.

A questo punto al primo avio del dsm mi chiede anche li l'autenticazione a 2 fattori. Mi fa usare "Synology Secure Signin" come app per l'OTP. Corretto, giusto? Una volta scaricata l'app, mi devo loggare con l'account oppure la uso senza login?

Grazie ancora

r3dl4nce · 1 Agosto 2025

Non usare utente con nome admin, cambia nome, admin è un nome standard che tutti conosco, disattiva utente admin e crea un tuo utente nel gruppo admins con password forte e 2FA con il synology secure signin

Poi metti hyperbackup e pianifica backup su dispositivo esterno, meglio se doppia copia

blengyo · 1 Agosto 2025

grazie, è quello che ho fatto per la questione admin. Ho usato un altro nome con password ben composta. Ora la domanda è se con l'app Synology Secure SignIn devo fare l'accesso con il mio account synology o meno! Mi fa inquadrare il qr anche senza login, quindi non so cosa è meglio! Grazie!

r3dl4nce · 1 Agosto 2025

Puoi fare accesso anche con l'account e mettere 2FA anche sull'accesso all'account synology

Synology DS220 hackerato.. recupero dati

blengyo

Utente Attivo

Moffetta88

Moderatore

blengyo

Utente Attivo

r3dl4nce

Mikrotik&Synology&Bioware&Remedy Fanboy

BaldosArts

Moffetta88

Moderatore

blengyo

Utente Attivo

r3dl4nce

Mikrotik&Synology&Bioware&Remedy Fanboy

Moffetta88

Moderatore

r3dl4nce

Mikrotik&Synology&Bioware&Remedy Fanboy

HSH

blengyo

Utente Attivo

r3dl4nce

Mikrotik&Synology&Bioware&Remedy Fanboy

blengyo

Utente Attivo

r3dl4nce

Mikrotik&Synology&Bioware&Remedy Fanboy