Help!!! ho il DeadBolt
Re: Help!!! ho il DeadBolt
Scusate se chiedo. Non prendetela come supponenza. È più una mia curiosità.
Come mai non avete un backup dei vostri dati più importanti?
Tralasciando gli attacchi come questo, ma sbalzi di corrente, guasti ed eliminazioni accidentali sono sempre dietro l'angolo
Come mai non avete un backup dei vostri dati più importanti?
Tralasciando gli attacchi come questo, ma sbalzi di corrente, guasti ed eliminazioni accidentali sono sempre dietro l'angolo
Re: Help!!! ho il DeadBolt
credo e spero di rispondere un po per tutti, io sinceramente non avrei mai creduto di arrivare ad un punto simile, e nemmeno che QNAP se ne sia lavata le mani in questo modo, dato che il problema per questo ultimo attacco è avvenuto per un modulo "photo station" che presenta una falla di protezione (come da bollettino tecnico pubblicato il 04/09/2022 dalla stessa QNAP).
Sinceramente sono allibito e deluso, avevo dati importani "per me e per la mia famiglia" ma niente di trascendentale, e sopratutto mi fidavo di un marchio blasonato come QNAP, oggi non più e credo che per me sia finita l'era del cloud domestico.
Sinceramente sono allibito e deluso, avevo dati importani "per me e per la mia famiglia" ma niente di trascendentale, e sopratutto mi fidavo di un marchio blasonato come QNAP, oggi non più e credo che per me sia finita l'era del cloud domestico.
Re: Help!!! ho il DeadBolt
Il recentissimo attacco ransomware Deadbolt, per l'ennesima volta determinato da una falla di Qnap, è molto preoccupante.
Ci vuole un cambio di passo serio da parte di questa azienda sul piano della security anche perchè è sotto gli occhi di tutti che è presa di mira in modo specifico, anzi dichiarato (mi chiedo se sono andati a fare qualche controllo nei database delle loro risorse umane, tra quelli che hanno licenziato negli ultimi due anni).
Comunque tutto questo non toglie che è assolutamente indispensabile dotarsi di sistemi di backup e di gruppo di continuità.
Da questo punto di vista raccolgo le riflessioni di @burghy ed esattamente come lui, lo faccio senza alcuna supponenza.
Del resto, se ci pensiamo bene, la questione del backup è ormai familiare un po' a tutti quanti. Basti pensare agli smartphone con su migliaia di foto delle vacanze, dei nostri momenti belli o importanti. Un incidente serio qualsiasi e, se non si ha un backup, si perde tutto.
Ci vuole un cambio di passo serio da parte di questa azienda sul piano della security anche perchè è sotto gli occhi di tutti che è presa di mira in modo specifico, anzi dichiarato (mi chiedo se sono andati a fare qualche controllo nei database delle loro risorse umane, tra quelli che hanno licenziato negli ultimi due anni).
Comunque tutto questo non toglie che è assolutamente indispensabile dotarsi di sistemi di backup e di gruppo di continuità.
Da questo punto di vista raccolgo le riflessioni di @burghy ed esattamente come lui, lo faccio senza alcuna supponenza.
Del resto, se ci pensiamo bene, la questione del backup è ormai familiare un po' a tutti quanti. Basti pensare agli smartphone con su migliaia di foto delle vacanze, dei nostri momenti belli o importanti. Un incidente serio qualsiasi e, se non si ha un backup, si perde tutto.
- NAS: QNAP TS-653D 16GB (24TB/RAID5 - QTS 5.2.0.2860)
- Backup Unit: QNAP TS-653A 8GB (16TB/RAID5 - QTS 5.2.0.2860)
- UPS: APC Back-UPS BX700
- Client: Macbook Pro (2020) ; Macbook Pro (2016); Macbook Air M1
- Home Cinema: TV Samsung 55C8000 - Apple TV 4th - Samsung BD-C5900 - SkyQ - Denon 1911 - Indiana Line Tesi
- Backup Unit: QNAP TS-653A 8GB (16TB/RAID5 - QTS 5.2.0.2860)
- UPS: APC Back-UPS BX700
- Client: Macbook Pro (2020) ; Macbook Pro (2016); Macbook Air M1
- Home Cinema: TV Samsung 55C8000 - Apple TV 4th - Samsung BD-C5900 - SkyQ - Denon 1911 - Indiana Line Tesi
Re: Help!!! ho il DeadBolt
Aiuto! Anche io sono stato infettato ed ho perso tutti i dati, ma all'accesso al NAS non vedo la schermata con la richiesta di pagamento. Credo che l'antimalware l'abbia rimossa!! Come posso recuperare l'indirizzo di pagamento? E' urgente!! Grazie a chiunque sappia darmi indicazioni.
Re: Help!!! ho il DeadBolt
Può darsi che Malware Remover l'abbia messo in quarantena. In quel caso è possibile recuperare i tre files di cui si compone Deadbolt e che -purtroppo- in questo momento ti servono.Carlo10 ha scritto: ↑08 set 2022, 20:21 Aiuto! Anche io sono stato infettato ed ho perso tutti i dati, ma all'accesso al NAS non vedo la schermata con la richiesta di pagamento. Credo che l'antimalware l'abbia rimossa!! Come posso recuperare l'indirizzo di pagamento? E' urgente!! Grazie a chiunque sappia darmi indicazioni.
In un mio post in prima pagina avevo consigliato di fare riferimento ad uno specifico thread sul forum inglese dove ci sono alcuni utenti che hanno capito come funziona Deadbolt e che sono in grado di aiutare.
Avevo incollato anche il link per andarsi a leggere le molte pagine del thread.
Sono ormai arrivati a pagina 113 e il mio consiglio è di leggere un po' di cose prima di fare domande perchè le stesse persone disponibili ad aiutare cominciano ad innervosirsi a ripetere sempre le stesse cose.
Capisco sia l'ansia che l'inca@@atura e sono ugualmente preoccupato di beccarmelo anche io (pur avendo il backup di tutto).
Però un minimo di sforzo per capire alcuni passaggi chiave va fatto prima di avanzare richieste di aiuto.
Comunque la procedura per recuperare la schermata di pagamento è la seguente.
IF YOU NEED HELP RECOVERING YOUR RANSOM PAGE to get the BTC address you need to pay, then contact QNAP support. The Malware Remover tool could have moved it to a quarantine area, QNAP can help you with that. Disable or remove the Malware Remover app temporarily. (I know this seems strange, but you do not want it to accidently delete the BTC ransom address by mistake). DO NOT UPDATE YOUR FIRMWARE until you have recorded the BTC ransom address. If you do update your firmware, you may never be able to get the BTC ransom address. There may be a *small* chance that you can find the SDDPd.bin file under /mnt/HDA_ROOT/update_pkg/ (use SSH to go look), in which case you *may* be able to recover the ransom page. For more info on that CONTACT QNAP SUPPORT as their script attempts recovery. If that doesn't work, you can try manually doing the same thing. Read this link https://www.bleepingcomputer.com/forums ... on/page-38 (note that Bleepingcomputer references the file with the wrong spelling!). I would recommend taking a FULL BACKUP of your (encrypted) system before attempting anything as a safeguard against making things worse. Essentially, you are re-infecting yourself, very risky and to be performed at your own risk. (Although it seems the QNAP script [more detail on the script is posted below] also performs this step)
- NAS: QNAP TS-653D 16GB (24TB/RAID5 - QTS 5.2.0.2860)
- Backup Unit: QNAP TS-653A 8GB (16TB/RAID5 - QTS 5.2.0.2860)
- UPS: APC Back-UPS BX700
- Client: Macbook Pro (2020) ; Macbook Pro (2016); Macbook Air M1
- Home Cinema: TV Samsung 55C8000 - Apple TV 4th - Samsung BD-C5900 - SkyQ - Denon 1911 - Indiana Line Tesi
- Backup Unit: QNAP TS-653A 8GB (16TB/RAID5 - QTS 5.2.0.2860)
- UPS: APC Back-UPS BX700
- Client: Macbook Pro (2020) ; Macbook Pro (2016); Macbook Air M1
- Home Cinema: TV Samsung 55C8000 - Apple TV 4th - Samsung BD-C5900 - SkyQ - Denon 1911 - Indiana Line Tesi
Re: Help!!! ho il DeadBolt
Buongiorno a tutti.
Ho preso anch'io il ransomware deadbolt e purtroppo oltre ad avermi criptato tutti i dati sul nas stava attacando anche il computer nella stessa rete locale.
L'attacco ha smesso quando ho disinstallato qfinder e qsync.
Qualcuno di voi ha avuto problemi simili?
Ho installato diversi antiransomeware ma nessuno ha trovato nulla.
Come faccio ad essere certo che non si ripresenti più l'attacco?
Grazie
Ho preso anch'io il ransomware deadbolt e purtroppo oltre ad avermi criptato tutti i dati sul nas stava attacando anche il computer nella stessa rete locale.
L'attacco ha smesso quando ho disinstallato qfinder e qsync.
Qualcuno di voi ha avuto problemi simili?
Ho installato diversi antiransomeware ma nessuno ha trovato nulla.
Come faccio ad essere certo che non si ripresenti più l'attacco?
Grazie
Re: Help!!! ho il DeadBolt
Per per prima cosa chiudete le porte aperte sul router. Usate con server e fate sempre un backup
-
- Messaggi: 67
- Iscritto il: 31 ott 2011, 16:19
Re: Help!!! ho il DeadBolt
Francamente sono oltre 10 anni che ho NAS Qnap in RAID5 e questo mi ha permesso di non preoccuparmi del backup.burghy ha scritto: ↑06 set 2022, 21:49 Scusate se chiedo. Non prendetela come supponenza. È più una mia curiosità.
Come mai non avete un backup dei vostri dati più importanti?
Tralasciando gli attacchi come questo, ma sbalzi di corrente, guasti ed eliminazioni accidentali sono sempre dietro l'angolo
Ci voleva un Ramsonware per rompermi le balle e francamente non credevo di essere vulnerabile sia per la configurazione di rete che ho che per la sicurezza che ho applicato alla mia rete.
Ma Qnap evidentemente l'ha fatta grossa rendendosi vulnerabile a questi delinquenti.
Certo, d'ora in poi ci penserò ma backuppare 6 TB di dati ha un costo non trascurabile.
-
- Messaggi: 67
- Iscritto il: 31 ott 2011, 16:19
Re: Help!!! ho il DeadBolt
stavo pensando, se utilizzassimo un meccanismo di crypting del file system (mi pare che sia possibile criptare il FS Qnap) potremmo evitare che un Ramsonware cripti i nostri file ?
-
- Messaggi: 16
- Iscritto il: 15 feb 2021, 08:30
Re: Help!!! ho il DeadBolt
Beh, secondo me quello dovrebbe farlo QNAP sulle release dei firmware del sistema operativo...alexflibero ha scritto: ↑09 set 2022, 17:41 stavo pensando, se utilizzassimo un meccanismo di crypting del file system (mi pare che sia possibile criptare il FS Qnap) potremmo evitare che un Ramsonware cripti i nostri file ?
Re: Help!!! ho il DeadBolt
Non cambia nulla. E come se tu zippi un file con una password. Il virus lo cripta comunquealexflibero ha scritto:stavo pensando, se utilizzassimo un meccanismo di crypting del file system (mi pare che sia possibile criptare il FS Qnap) potremmo evitare che un Ramsonware cripti i nostri file ?
Un backup da tot tera sicuramente ha un costo. Ma di quei dati quali sono davvero indispensabili?
-
- Messaggi: 67
- Iscritto il: 31 ott 2011, 16:19
Re: Help!!! ho il DeadBolt
[/quote]Non cambia nulla. E come se tu zippi un file con una password. Il virus lo cripta comunque
Un backup da tot tera sicuramente ha un costo. Ma di quei dati quali sono davvero indispensabili?[/quote]
Dipende, se fai un cripting che non consente la cancellazione a nessun utente se non root, i file originali non possono essere eliminati.
Inviato dal mio SM-A715F utilizzando Tapatalk
Un backup da tot tera sicuramente ha un costo. Ma di quei dati quali sono davvero indispensabili?[/quote]
Dipende, se fai un cripting che non consente la cancellazione a nessun utente se non root, i file originali non possono essere eliminati.
Inviato dal mio SM-A715F utilizzando Tapatalk
Re: Help!!! ho il DeadBolt
Come credi funzionino i virus. Entrano. Diventano root grazie a qualche zero day fermano i servizi di sicurezza e poi il Payload comandato dal c&c cripta
Re: Help!!! ho il DeadBolt
Un disco esterno USB da 6TB non ha prezzi esagerati.alexflibero ha scritto: ↑09 set 2022, 15:59 Certo, d'ora in poi ci penserò ma backuppare 6 TB di dati ha un costo non trascurabile.
Gigabyte B550M Aorus Pro-P | Ryzen 5700x + Scythe Fuma 2 | nVidia RTX 3060 12GB | NVMe WDBlack 500GB + WD120EFAX
TS 473A: 3×WD60EFRX Raid5
TS 133: SGT EXOS 16TB
TS 453A: 3×WD84PURZ Raid5
TS 251+: WD40EFAX (SMR!!)
Synology 1520+: 4×WD4003FRYZ Raid5
TS 473A: 3×WD60EFRX Raid5
TS 133: SGT EXOS 16TB
TS 453A: 3×WD84PURZ Raid5
TS 251+: WD40EFAX (SMR!!)
Synology 1520+: 4×WD4003FRYZ Raid5
Re: Help!!! ho il DeadBolt
Esatto 130 euro un 6Tb usb lo si trovaPiaNi ha scritto:Un disco esterno USB da 6TB non ha prezzi esagerati.alexflibero ha scritto: ↑09 set 2022, 15:59 Certo, d'ora in poi ci penserò ma backuppare 6 TB di dati ha un costo non trascurabile.
-
- Messaggi: 16
- Iscritto il: 15 feb 2021, 08:30
Re: Help!!! ho il DeadBolt
Buongiorno a tutti.
Forse ci sono buone notizie lato QNAP. Ho appena ricevuto questa email
Appena ho news vi aggiorno
P.S. sto tenendo sotto controllo anche il forum inglese e pare che qualcuno sia riuscito tramite il servizio clienti di QNAP ad avere il codice per sbloccare i file. https://forum.qnap.com/viewtopic.php?f= ... start=1770 (leggete l'ultimo post della pagina)
Forse ci sono buone notizie lato QNAP. Ho appena ricevuto questa email
Speriamo bene. Io al momento sono fuori italia e rientro venerdì.Dear Customer
We strongly recommend performing the following steps:
Take a screenshot of deadbolt ransomware page and save the file to your computer.
Access QTS web interface by adding /cgi-bin/index.cgi after the URL https://NAS_IP or http://NAS_IP:8080.
(for example the NAS has IP address has 192.168.0.2 , using https://192.168.0.2/cgi-bin/index.cgi or http://192.168.0.2:8080/cgi-bin/index.cgi)
With your permission, I would like to access your NAS remotely in order to better assist you.
Please follow these steps to enable remote support with Helpdesk and inform me once it has been activated.
1. Open Control Panel>Network & File>Telnet/SSH
a. If "Allow SSH connection" box is check, please go to next step
b. If "Allow SSH connection" box is uncheck, please check the box and apply
c. If you wish SSH connection remain disable after remote session, please uncheck the box and apply.(must NOT skip step b)
2. Install/open the Helpdesk app 3.0.0 in the App Center (you must login as administrator user).
3. In the Helpdesk App > Remote Support page, input this ticket ID and your email address, then click "Enable Remote Support".
Note: your email address must match the email address provided in this ticket!
If the helpdesk show " please check tat your input matches the AAA-DDD-DDDDD pattern" this warning message, please open your NAS APP center, check the helpdesk APP version whether is V3.0.0 or higher.
4. After Remote Support has been enabled, please reply to me on this ticket to inform me.
Appena ho news vi aggiorno
P.S. sto tenendo sotto controllo anche il forum inglese e pare che qualcuno sia riuscito tramite il servizio clienti di QNAP ad avere il codice per sbloccare i file. https://forum.qnap.com/viewtopic.php?f= ... start=1770 (leggete l'ultimo post della pagina)
-
- Messaggi: 16
- Iscritto il: 15 feb 2021, 08:30
Re: Help!!! ho il DeadBolt
Alla fine la risposta di QNAP è stato nel mio caso un nulla di fatto.
Sotto la risposta ricevuta:
Sotto la risposta ricevuta:
Gentile cliente,
vista la situazione correntemente riscontrata dal nostro team specializzato in casi deadbolt,
non è stato possibile recuperare il contenuto dei dischi installati nel NAS.
Il ticket è stato trasferito nuovamente alla coda italiana.
Di seguito le uniche indicazioni che il team italiano può fornire.
Per ripristinare lo storage ci sono due strade percorribili:
1) Re-inizializzare il NAS e riversare al proprio interno un backup dei propri dati (eseguito prima dell'attacco del ransomware)
Di seguito le istruzioni:
- Spegnere il NAS
- Avviarlo senza dischi inseriti
- Attendere 5 minuti per il completamento del boot
- Inserire i dischi a caldo
- Connettersi con un browser all'IP acquisito dal NAS e listato in QFINDER ( https://www.qnap.com/it-it/utilities/essentials )
- Scegliere "Inizializzare il sistema"
- Seguire il wizard per completare l'installazione
- Ricreare la cartelle condivise e installare le Apps in App Center
- Eseguire il ripristino dei dati dal backup nella loro posizione originale
2) Ripristinare file/cartelle nel loro stato precedente alla crittazione con l'uso delle snapshot ed effettuare un backup esterno:
https://www.qnap.com/solution/snapshots/it-it/
https://docs.qnap.com/operating-system/ ... 5078D.html
In entrambi i casi, il modo migliore per rimuovere completamente l'infezione è re-inizializzando il NAS come scritto nel punto (1).
Se avesse bisogno di ulteriore supporto può rivolgersi ad agenzie specializzate nel settore della sicurezza informatica per valutare con loro il da farsi.
Di seguito può trovare una guida QNAP con i consigli per aumentare la sicurezza del proprio NAS quando viene esposto su internet:
https://www.qnap.com/it-it/how-to/faq/a ... za-del-nas
Può fare riferimento al seguente link dove vengono riportati eventi importanti relativi alla sicurezza del proprio NAS:
https://www.qnap.com/en/security-advisories
Consigliamo inoltre di iscriversi alla newsletter QNAP sulla sicurezza, continuamente aggiornata:
https://www.qnap.com/solution/topics-of-interest/it-it/
Grazie