Attacco hacker su TS-253A, help!

[plauri]

Ciao a tutti,
questa notte ho avuto un attacco hacker sul mio TS-253A con 2 hd wd da 4TB in raid 1. Ho anche un backup su hd usb che era appena terminato ed il contenuto è integro. Utilizzo il nas per gestire la mia web radio (Funky Corner Radio) ed ho trovato almeno metà dei file audio (su un totale di 8700) rinominati *.muhstik che il software di gestione non riconosce. In ogni cartella audio c'era un file per decriptare che dopo il controllo dell'hd è scomparso (ne è rimasto uno nella root principale dove c'è scritto:

"All your files have been encrypted.
You can find the steps to decrypt them in any the following links:
http://13.234.89.185/.unlock/payment/4f ... 3810910f47 Could go offline at any time
http://51.38.231.30/.unlock/payment/4f1 ... 3810910f47 Could go offline at any time

Or use TOR link, guaranteed Online 100% of the time:
http://5mngytmdpeyyp6xk.onion/payment/4 ... 3810910f47 Use TOR browser to access .onion websites.
https://duckduckgo.com/html?q=tor+browser+how+to

Do NOT remove this file and DO NOT remove last line in this file!

Your ID: 4f104873-2fd8-4e4f-b407-333810910f47)"

Ora ho fatto l'aggiornamento all'ultimo firmware, Cosa mi consigliate di fare?

[blackletter]

Ciao,
è successa la stessa cosa anche a me questa notte, seguo e speriamo che qualcuno ci possa aiutare.

[PiaNi]

Attivate il registro delle connessioni e abilitare le varie opzioni nel menù sicurezza.

[plauri]

Sembra essere un ransomware piuttosto insidioso... ho trovato un articolo interessante qui: https://sensorstechforum.com/muhstik-vi ... ment-71380

Ho installato sul Nas McAfee (gratuito per 30 giorni, poi vedrò) e sto scannerizzando ma va lentissimo (dopo 2 ore era al 3%)...

Aggiornamento!
Ecco cosa mi hanno risposto nel link qui sopra:
"Hey there, I am sorry to hear what has happened. Unfortunately it appears that the virus has been able to infiltrate your NAS device. From what I can tell the ransomware script has been launched and your files have been affected.

The first thing that I would recommend doing is to scan the device from your computer via the anti-spyware tool — this will check if the actual virus files are still there and remove them. This is important as it will other other devices from the network from data encryption. A data recovery tool or a backup can also be used to recover partially or fully your files.

Be sure to change all passwords, enable firewalls and update your anti-virus software in order to protect yourself from further attacks. Keep us updated!

Naturalmente ogni ulteriore consiglio è ben accetto, grazie

[lucam1970]

Scusatemi se intervengo pur non avendo consigli utili.
Giusto per capire l'insidiosità del problema.
L'attacco è stato realizzato previo login sul sistema con privilegi da amministratore?
La password di admin era facile?
grazie
Luca

[blackletter]

Ho avviato anch'io McAfee e dopo ore di controllo ha trovato una trentina d file infetti, in più Malware Remover continua a ripararmi sempre lo stesso file ogni giorno "[Malware Remover] Repaired infected file or folder. Name: /tmp/config/autorun.sh".

Non ho registrato login da parte di utenti sconosciuti, la mia password di admin non è difficile ma ho la doppia verifica.

Per fortuna i file sembrano sia quelli sincronizzati con Qsync dal Mac, quindi ho una copia, non so se sia potuto entrare da la.

La rottura più grande è che mi ha criptato anche alcuni database di MySql.

Continuo con i controlli. Vediamo..

[Mr. Jack]

Attivate il registro delle connessioni e abilitare le varie opzioni nel menù sicurezza.

Ciao, scusa l'ignoranza, come si fa?
(ho richiesto ip pubblico e vorrei premunirmi contro eventuali intrusioni)
Grazie.

[PiaNi]

Pannello di controllo > Impostazioni Generali > Registri di Sistema e li trovi:
Registri eventi del sistema e accanto Registri connessioni del sistema
Clicca su avvia registrazione.

[lucam1970]

Ragazzi, allora sembra una situazione abbastanza seria ...
Riuscite a capire come vi hanno bucato?
Potrebbe trattarsi di un ransomware che ha infettato uno dei pc della vostra rete domestica?
Oppure riescono a entrare nel NAS sfruttando qualche falla?

Anche nel thread che citi si pongono le stesse domande.
"Any info on how the randsomeware got on our NAS in the first place? I read somewhere that phpMyAdmin could be the tool to gain acces to the NAS."

Su una pagina web che parla di questo ransomware ho trovato questo:
"This interesting variant of this malware has the ability to infect user PCs via either a malicious web link or an e-mail attachment that has a malicious character. Not only this, but the malware also has the ability to spread in social media, on suspicious websites and posing as a fake key generator or other fake software posted on download websites."

Qualcuno ha idee? Credo non sia da prendere alla leggera.....

[zorf87]

Ciao a tutti,
anch'io sono stato colpito, è una cosa molto seria, sono stai colpiti NAS Qnap/Synology a livello mondiale.
Il ransomware è una variante di eCh0raix.
Sto seguendo questa pagina

https://www.bleepingcomputer.com/forums ... getnewpost

Dove BloodDolly, creatore del decripter per eCh0raix, ci sta seguendo.

Qui il bollettino qnap: https://www.qnap.com/it-it/security-adv ... -201907-11

Io ho copiato i file che mi interessavano su un disco esterno e ho reinizzializzato tutti.

[selvaggi]

in questo periodo non scrivo molto sul forum, ma mi sto documentando per non abbassare la guardia sulla sicurezza del nas, visto i vari attacchi, ma mi pongo anche delle domande, vedendo in giro.

la prima, le persone, hanno l'app installata security counselor, malware remover e l'antivirus attivo?
il protocollo upnp sul router/modem è disattivato? il firewall sempre sul router/modem è configurato correttamente?
nome utente e password del nas e anche del modem è stata cambiata?
il firmware e aggiornato?
le porte che non si usano e i vari servizi sono chiusi?
quando il malware remover e/o l'antivirus dice che il nas è infetto, controllate anche i computer in rete? perché è sempre il pc che mette nel nas il virus!
chi usa il nas come web server è ci fa girare uno o più domini, che linguaggio usa? se il codice è pre compilato vedi wordpress per esempio, ha incrementato un antivirus interno, firewall e antispam?

comunque queste sono solo alcune delle domande che mi faccio quando leggo in giro, e ne vorrei approfondire ulteriormente con voi
come ho detto in passato la gente compra oggi come oggi un nas perchè va di moda e non perchè sa quello che sta facendo.

[marcottt]

Interessante questa cosa. Per chi è stato infetto consiglio di lanciare lo script di pulizia da ssh.

Ma la nas è stata infetta tramite i vostri PC o da internet? (erano esposti?)
Perché anche io ho trovato tracce dentro autorun.sh ma non mi ha criptato nulla...
Era esposto https (ora l'ho spostato su altre porte)

Inviato dal mio SM-G935F utilizzando Tapatalk

[gerind7]

Interessante questa cosa. Per chi è stato infetto consiglio di lanciare lo script di pulizia da ssh.

Ma la nas è stata infetta tramite i vostri PC o da internet? (erano esposti?)
Perché anche io ho trovato tracce dentro autorun.sh ma non mi ha criptato nulla...
Era esposto https (ora l'ho spostato su altre porte)

Inviato dal mio SM-G935F utilizzando Tapatalk

Ciao, come si fa a controllare?

[selvaggi]

molto probabilmente autorun.sh viene riscritto quando si installano app di terze parti di dubbia provenienza, spacciate per originali, lasciando dentro una backdoor, poi passano da li.

[gerind7]

Buongiorno a tutti, scusate l’ignoranza, ma questi attacchi possono avvenire anche se l’accesso al nas da remoto avviene solo tramite openvpn e le relative restrizioni sugli accounts? Quindi se il nas è esposto con un unica porta UDP vpn? Grazie

[selvaggi]

openvpn dipende come lo usi, se passi dai loro servizi, accedi alla loro rete quindi sei visibile a tutti quelli che stanno in quella rete, come tu vedi loro, loro vedono te. ecc. ecc.
invece se usi il protocollo di openvpn che si trova nel nas usi il tuo server privato, ci trovi solo le tue cose, indifferentemente quello che fai sei al sicuro, se ci sono attacchi vengono tutti respinti.

[gerind7]

openvpn dipende come lo usi, se passi dai loro servizi, accedi alla loro rete quindi sei visibile a tutti quelli che stanno in quella rete, come tu vedi loro, loro vedono te. ecc. ecc.
invece se usi il protocollo di openvpn che si trova nel nas usi il tuo server privato, ci trovi solo le tue cose, indifferentemente quello che fai sei al sicuro, se ci sono attacchi vengono tutti respinti.

Si intendevo openvpn in forma “privata” senza passare dai servizi di nessuno. Bene

[animaster84]

Colpito anche io su TS-453a.
Qualcuno ha idee su come decriptare il tutto?
O bisogna pagare?

altra domanda: se mi copio tutti i dati criptati su un HD esterno poi formatto il NAS, ho poi modo di riprendere eventualmente i dati criptati dall'HD esterno?

[animaster84]

BREAKING NEWS

https://www.bleepingcomputer.com/forums ... ?p=4882035

[selvaggi]

per il momento non ce modo di decriptare i file, ti conviene salvarlo su un hdd esterno e tenerlo li da parte poi quando esce si procederà

mi dici a livello di sicurezza come sei settato?, app, antivirus, impostazioni di sistema ecc.
da qualche parte deve passare!
il file autorun.sh è scritto? hai installato app di terze parti? ecc.