Qnap Nas ts-212 infetto da ransomware .encrypted

[mtguido]

Buonasera,

oggi ho aperto da iphone l'app Qfile per recuperare un file sul mio nas Qnap ts-212. Con mia grande sorpresa mi sono ritrovato tutti i file con estensione .encrypted. In ogni cartella era presente un fle "README_FOR_DECRYPT.txtt". All'interno dello stesso indicazioni per collegarsi ad un sito internet per scoprire con decriptare i file. Chiaramente non ho aperto il sito.



Sono corso a staccare il nas dalla rete e ho subito staccato anche l'hard disk esterno collegato al nas dove effettuo i backup settimanali dei dati del nas.

Successivamente ho verificato lo stato dei due computer di casa e al momento sembrerebbero non essere stati attaccati (ho fatto una passata con malwarebytes).



Poi ho voluto controllare lo stato del disco esterno del nas, quello dei backup, per scoprire se i dati erano salvi. L'ho collegato ad un vecchio portatile (la live di ubunti non mi leggeva il disco, è ntfs) e sembrerebbe che miracolosamente i file siano integri. In realtà sulla cartella radice dell'hard disk esterno è presente il solito file "README_FOR_DECRYPT.txtt" ma tutte le cartelle e i file sembrano integre e leggibili.



Adesso vi chiedo quindi come recuperare il nas. Al momento lo tengo scollegato e non saprei come agire anche perchè collegandolo alla rete avrei paura di infettare gli altri dispositivi.

Inoltre anche l'hard disk esterno con il backup vorrei analizzarlo ma il portatile su cui ho fatto il test è troppo vecchio non riesco ad installarci neanche malwarebytes.



Mi spieghereste come procedere passo passo?



Vi ringrazio

[mtguido]

Non ho ricevuto alcuna risposta su questo forum e non è la prima volta che mi capita. Questo mi ha fatto spesso pensare che la community di Qnap col tempo si stia riducendo notevolmente.

Ad ogni modo ho risolto da solo la questione, mi ha salvato il backup altrimenti ho saputo che non c'era verso di recuperare i dati se non pagando (chiedono circa 1300€ in btc).

Questa esperienza credo mi abbia fatto convincere ad abbandonare QNAP. Utilizzerò il qnap solamente per i backup del mio futuro Nas.

Saluti.

[lucam1970]

Ciao @mtguido,
hai ragione, purtroppo da un bel po’ di tempo la community è diventata meno vivace e reattiva.
Si tratta di un discorso ampio, credo, che tocca vari aspetti del rapporto che lega i clienti di Qnap all’azienda stessa.
Dal supporto tecnico ufficiale alle volte poco presente sino al rilascio di firmware che definire ‘beta’ è un complimento, passando per una parossistica penetrazione del mercato con decine di modelli diversi. Persino la denominazione dei modelli genera confusione nella clientela.
Insomma, non mi pare strano che parte degli utenti si spostino su altri brand che, parlando in generale, si presentano un po’ più user-friendly.
A questo aggiungiamo che sino allo scorso anno c’erano degli utenti molto preparati e presenti che sono di colpo scomparsi. In particolare mi viene in mente @FFFAB che ha aiutato molti di noi e che all’improvviso non ha più interagito. Di questi tempi ho anche paura a chiedere.
Comunque mi fermo qui perché sono già abbastanza OT.
Se passi a un altro brand e hai voglia di condividere la tua esperienza, penso si possa fare nella parte del forum delle tematiche generali.

[PiaNi]

Il non intervento è dovuto dal periodo e dalla complessità dell'argomento, che se non ricordo male ha un topic quasi uffucile (credo di Luciano) su un forum non ufficiale. Qnap stessa affrontò il problema diramando delle guide, perchè le richieste di assistenza erano troppe.
Adesso non so se il ransomware è lo stesso di qualche mese fa, oppure è un altro.
Io personamlemnte non ho avuto attacchi sui miei qnap e perciò non posso dare apporto all'argomento.

Il forum ufficiale di qnap è: https://forum.qnap.com/

Come non ho mai provato altri nas.
Qualcuno si trova bene con un marchio, qualcun altro con altro marchio, ma vale per nas, auto, cpu, ect...

Certo un ts-212 che non riceve più gli aggiornamenti......

e poi non dimentichiamoci che il nas (da solo) non è un backup.

[mtguido]

Ciao @mtguido,
hai ragione, purtroppo da un bel po’ di tempo la community è diventata meno vivace e reattiva.
Si tratta di un discorso ampio, credo, che tocca vari aspetti del rapporto che lega i clienti di Qnap all’azienda stessa.
Dal supporto tecnico ufficiale alle volte poco presente sino al rilascio di firmware che definire ‘beta’ è un complimento, passando per una parossistica penetrazione del mercato con decine di modelli diversi. Persino la denominazione dei modelli genera confusione nella clientela.
Insomma, non mi pare strano che parte degli utenti si spostino su altri brand che, parlando in generale, si presentano un po’ più user-friendly.
A questo aggiungiamo che sino allo scorso anno c’erano degli utenti molto preparati e presenti che sono di colpo scomparsi. In particolare mi viene in mente @FFFAB che ha aiutato molti di noi e che all’improvviso non ha più interagito. Di questi tempi ho anche paura a chiedere.
Comunque mi fermo qui perché sono già abbastanza OT.
Se passi a un altro brand e hai voglia di condividere la tua esperienza, penso si possa fare nella parte del forum delle tematiche generali.

Chiaramente non do totalmente la colpa dell’accaduto al nas. Anche io avrò le mie colpe avendo magari esposto le porte sbagliate. Però non è il primo problema che mi capita. Certo il ts-212 è vecchiotto però dovendo ricomprare oggi un nas difficilmente andrei su Qnap.

Sono orientato nel comprare un Synology DS220+.

[vicjuve]

Anche io sono stato infettato da sto ransomware. Non ho capito, dal forum ufficiale, se si tratti di qlocker o altro

Inviato dal mio LLD-L31 utilizzando Tapatalk

[mtguido]

Anche io sono stato infettato da sto ransomware. Non ho capito, dal forum ufficiale, se si tratti di qlocker o altro

Inviato dal mio LLD-L31 utilizzando Tapatalk

Il mio si chiama ech0raix e pare non ci sia soluzione se non pagare. Puoi trovare maggiori informazioni qui:

https://www.bleepingcomputer.com/forums ... ic/page-64

Io ho formattato con Windows il disco del nas, poi l’ho rimesso nel nas e inizializzato.

Appena inizializzato ho installato “malware remover” di qnap è incredibilmente mi ha trovato 2 malware, sicuramente quelli in questione, e me li ha rimossi. Non so come avevano resistito a due formattazioni. Spero che adesso con questa rimozione sia completamente debellato. Se qualcuno sa dirmi altre operazioni per esserne certo gliene sarei grato…

Grazie

[vicjuve]

Grazie

Inviato dal mio LLD-L31 utilizzando Tapatalk

[PiaNi]

Appena inizializzato ho installato “malware remover” di qnap è incredibilmente mi ha trovato 2 malware, sicuramente quelli in questione, e me li ha rimossi. Non so come avevano resistito a due formattazioni. Spero che adesso con questa rimozione sia completamente debellato. Se qualcuno sa dirmi altre operazioni per esserne certo gliene sarei grato…

Grazie

In informatica, tutti questi comportamenti anomali devono far accendere la lampadina!!

Probabilmente hai qualche "vettore" in un pc, o smartphone.
Controlla le porte aperte sul modem. Se hai abilitato l'Upnp, il virus o altro potrebbe averle aperte automaticamente.

[mtguido]

Appena inizializzato ho installato “malware remover” di qnap è incredibilmente mi ha trovato 2 malware, sicuramente quelli in questione, e me li ha rimossi. Non so come avevano resistito a due formattazioni. Spero che adesso con questa rimozione sia completamente debellato. Se qualcuno sa dirmi altre operazioni per esserne certo gliene sarei grato…

Grazie

In informatica, tutti questi comportamenti anomali devono far accendere la lampadina!!

Probabilmente hai qualche "vettore" in un pc, o smartphone.
Controlla le porte aperte sul modem. Se hai abilitato l'Upnp, il virus o altro potrebbe averle aperte automaticamente.

Il pc l’ho passato con tantissimi programmi: malwarebytes, roguekiller, eek, tdsskiller…
Gli altri dispositivi sono stati spenti quando ho inizializzato il
Nas. L’unico altro dispositivo è il router fritzbox 7590 ma come lo scansiono quello?
L’upnp sul nas inizializzato non l’avevo riattivato e avevo eliminato l’unica abilitazione di porta che avevo sul router verso il nas.
Non può aver semplicemente resistito alle formattazioni il malware?

[PiaNi]

Non può aver semplicemente resistito alle formattazioni il malware?

Non credo proprio. Che tipo di raid stai utilizzando?
Hai fatto un hard reset del Qnap?

[mtguido]

Non può aver semplicemente resistito alle formattazioni il malware?

Non credo proprio. Che tipo di raid stai utilizzando?
Hai fatto un hard reset del Qnap?

Unico disco nel nas. Il disco in questione l’ho formattato con formattazione veloce su Windows e poi inizializzato col nas che mi pare lo formatti nuovamente durante l’inizializzazione.
Hard reset non so come si fa.

[PiaNi]

Se è l'unico disco ed hai reinizializzato, e come se hai fatto un hard reset.

[mtguido]

Se è l'unico disco ed hai reinizializzato, e come se hai fatto un hard reset.

Ok ma comunque dopo queste operazioni l’app “malware remover” ha trovato ed eliminato i ransomware. Lo dico così chi dovesse capitarci saprà che non basta formattare.