Help!!! ho il DeadBolt

Utilizzate questo forum per qualsiasi argomento che non è categorizzato altrove.
burghy
Messaggi: 24
Iscritto il: 06 ago 2016, 18:25

Re: Help!!! ho il DeadBolt

Messaggio da burghy »

Scusate se chiedo. Non prendetela come supponenza. È più una mia curiosità.

Come mai non avete un backup dei vostri dati più importanti?
Tralasciando gli attacchi come questo, ma sbalzi di corrente, guasti ed eliminazioni accidentali sono sempre dietro l'angolo
pastoso
Messaggi: 9
Iscritto il: 09 lug 2015, 11:50
Località: Bologna

Re: Help!!! ho il DeadBolt

Messaggio da pastoso »

credo e spero di rispondere un po per tutti, io sinceramente non avrei mai creduto di arrivare ad un punto simile, e nemmeno che QNAP se ne sia lavata le mani in questo modo, dato che il problema per questo ultimo attacco è avvenuto per un modulo "photo station" che presenta una falla di protezione (come da bollettino tecnico pubblicato il 04/09/2022 dalla stessa QNAP).
Sinceramente sono allibito e deluso, avevo dati importani "per me e per la mia famiglia" ma niente di trascendentale, e sopratutto mi fidavo di un marchio blasonato come QNAP, oggi non più e credo che per me sia finita l'era del cloud domestico.
Avatar utente
lucam1970
Messaggi: 708
Iscritto il: 28 gen 2012, 01:02

Re: Help!!! ho il DeadBolt

Messaggio da lucam1970 »

Il recentissimo attacco ransomware Deadbolt, per l'ennesima volta determinato da una falla di Qnap, è molto preoccupante.
Ci vuole un cambio di passo serio da parte di questa azienda sul piano della security anche perchè è sotto gli occhi di tutti che è presa di mira in modo specifico, anzi dichiarato (mi chiedo se sono andati a fare qualche controllo nei database delle loro risorse umane, tra quelli che hanno licenziato negli ultimi due anni).

Comunque tutto questo non toglie che è assolutamente indispensabile dotarsi di sistemi di backup e di gruppo di continuità.
Da questo punto di vista raccolgo le riflessioni di @burghy ed esattamente come lui, lo faccio senza alcuna supponenza.

Del resto, se ci pensiamo bene, la questione del backup è ormai familiare un po' a tutti quanti. Basti pensare agli smartphone con su migliaia di foto delle vacanze, dei nostri momenti belli o importanti. Un incidente serio qualsiasi e, se non si ha un backup, si perde tutto.
- NAS: QNAP TS-653D 16GB (24TB/RAID5 - QTS 5.2.0.2860)
- Backup Unit: QNAP TS-653A 8GB (16TB/RAID5 - QTS 5.2.0.2860)
- UPS: APC Back-UPS BX700
- Client: Macbook Pro (2020) ; Macbook Pro (2016); Macbook Air M1
- Home Cinema: TV Samsung 55C8000 - Apple TV 4th - Samsung BD-C5900 - SkyQ - Denon 1911 - Indiana Line Tesi
Avatar utente
n3rv0x
Messaggi: 2775
Iscritto il: 03 nov 2009, 23:28

Re: Help!!! ho il DeadBolt

Messaggio da n3rv0x »

newcris81 ha scritto: 06 set 2022, 20:55 Scusate,
quale versione firmware va installata tra le ultime due presenti sul sito:
- 5.0.1.2137 build 20220826 (Release Candidate);
- 5.0.1.2131 build 20220820 (Public Beta 3);
Relase candidate
Qnap Ts-453 Be
newcris81
Messaggi: 17
Iscritto il: 05 ott 2009, 12:47

Re: Help!!! ho il DeadBolt

Messaggio da newcris81 »

n3rv0x ha scritto: 07 set 2022, 12:49 Relase candidate
Grazie.
QNAP TS-453Be 16GB RAM - HDD Western Digital Red WD30EFRX
Carlo10
Messaggi: 1
Iscritto il: 08 set 2022, 20:16

Re: Help!!! ho il DeadBolt

Messaggio da Carlo10 »

Aiuto! Anche io sono stato infettato ed ho perso tutti i dati, ma all'accesso al NAS non vedo la schermata con la richiesta di pagamento. Credo che l'antimalware l'abbia rimossa!! Come posso recuperare l'indirizzo di pagamento? E' urgente!! Grazie a chiunque sappia darmi indicazioni.
Avatar utente
lucam1970
Messaggi: 708
Iscritto il: 28 gen 2012, 01:02

Re: Help!!! ho il DeadBolt

Messaggio da lucam1970 »

Carlo10 ha scritto: 08 set 2022, 20:21 Aiuto! Anche io sono stato infettato ed ho perso tutti i dati, ma all'accesso al NAS non vedo la schermata con la richiesta di pagamento. Credo che l'antimalware l'abbia rimossa!! Come posso recuperare l'indirizzo di pagamento? E' urgente!! Grazie a chiunque sappia darmi indicazioni.
Può darsi che Malware Remover l'abbia messo in quarantena. In quel caso è possibile recuperare i tre files di cui si compone Deadbolt e che -purtroppo- in questo momento ti servono.
In un mio post in prima pagina avevo consigliato di fare riferimento ad uno specifico thread sul forum inglese dove ci sono alcuni utenti che hanno capito come funziona Deadbolt e che sono in grado di aiutare.
Avevo incollato anche il link per andarsi a leggere le molte pagine del thread.
Sono ormai arrivati a pagina 113 e il mio consiglio è di leggere un po' di cose prima di fare domande perchè le stesse persone disponibili ad aiutare cominciano ad innervosirsi a ripetere sempre le stesse cose.
Capisco sia l'ansia che l'inca@@atura e sono ugualmente preoccupato di beccarmelo anche io (pur avendo il backup di tutto).
Però un minimo di sforzo per capire alcuni passaggi chiave va fatto prima di avanzare richieste di aiuto.

Comunque la procedura per recuperare la schermata di pagamento è la seguente.
IF YOU NEED HELP RECOVERING YOUR RANSOM PAGE to get the BTC address you need to pay, then contact QNAP support. The Malware Remover tool could have moved it to a quarantine area, QNAP can help you with that. Disable or remove the Malware Remover app temporarily. (I know this seems strange, but you do not want it to accidently delete the BTC ransom address by mistake). DO NOT UPDATE YOUR FIRMWARE until you have recorded the BTC ransom address. If you do update your firmware, you may never be able to get the BTC ransom address. There may be a *small* chance that you can find the SDDPd.bin file under /mnt/HDA_ROOT/update_pkg/ (use SSH to go look), in which case you *may* be able to recover the ransom page. For more info on that CONTACT QNAP SUPPORT as their script attempts recovery. If that doesn't work, you can try manually doing the same thing. Read this link https://www.bleepingcomputer.com/forums ... on/page-38 (note that Bleepingcomputer references the file with the wrong spelling!). I would recommend taking a FULL BACKUP of your (encrypted) system before attempting anything as a safeguard against making things worse. Essentially, you are re-infecting yourself, very risky and to be performed at your own risk. (Although it seems the QNAP script [more detail on the script is posted below] also performs this step)
- NAS: QNAP TS-653D 16GB (24TB/RAID5 - QTS 5.2.0.2860)
- Backup Unit: QNAP TS-653A 8GB (16TB/RAID5 - QTS 5.2.0.2860)
- UPS: APC Back-UPS BX700
- Client: Macbook Pro (2020) ; Macbook Pro (2016); Macbook Air M1
- Home Cinema: TV Samsung 55C8000 - Apple TV 4th - Samsung BD-C5900 - SkyQ - Denon 1911 - Indiana Line Tesi
matteomer
Messaggi: 1
Iscritto il: 14 nov 2009, 07:57

Re: Help!!! ho il DeadBolt

Messaggio da matteomer »

Buongiorno a tutti.
Ho preso anch'io il ransomware deadbolt e purtroppo oltre ad avermi criptato tutti i dati sul nas stava attacando anche il computer nella stessa rete locale.
L'attacco ha smesso quando ho disinstallato qfinder e qsync.
Qualcuno di voi ha avuto problemi simili?
Ho installato diversi antiransomeware ma nessuno ha trovato nulla.
Come faccio ad essere certo che non si ripresenti più l'attacco?
Grazie
burghy
Messaggi: 24
Iscritto il: 06 ago 2016, 18:25

Re: Help!!! ho il DeadBolt

Messaggio da burghy »

Per per prima cosa chiudete le porte aperte sul router. Usate con server e fate sempre un backup
alexflibero
Messaggi: 67
Iscritto il: 31 ott 2011, 16:19

Re: Help!!! ho il DeadBolt

Messaggio da alexflibero »

burghy ha scritto: 06 set 2022, 21:49 Scusate se chiedo. Non prendetela come supponenza. È più una mia curiosità.

Come mai non avete un backup dei vostri dati più importanti?
Tralasciando gli attacchi come questo, ma sbalzi di corrente, guasti ed eliminazioni accidentali sono sempre dietro l'angolo
Francamente sono oltre 10 anni che ho NAS Qnap in RAID5 e questo mi ha permesso di non preoccuparmi del backup.
Ci voleva un Ramsonware per rompermi le balle e francamente non credevo di essere vulnerabile sia per la configurazione di rete che ho che per la sicurezza che ho applicato alla mia rete.
Ma Qnap evidentemente l'ha fatta grossa rendendosi vulnerabile a questi delinquenti.
Certo, d'ora in poi ci penserò ma backuppare 6 TB di dati ha un costo non trascurabile.
alexflibero
Messaggi: 67
Iscritto il: 31 ott 2011, 16:19

Re: Help!!! ho il DeadBolt

Messaggio da alexflibero »

stavo pensando, se utilizzassimo un meccanismo di crypting del file system (mi pare che sia possibile criptare il FS Qnap) potremmo evitare che un Ramsonware cripti i nostri file ?
Gabriel.83
Messaggi: 16
Iscritto il: 15 feb 2021, 08:30

Re: Help!!! ho il DeadBolt

Messaggio da Gabriel.83 »

alexflibero ha scritto: 09 set 2022, 17:41 stavo pensando, se utilizzassimo un meccanismo di crypting del file system (mi pare che sia possibile criptare il FS Qnap) potremmo evitare che un Ramsonware cripti i nostri file ?
Beh, secondo me quello dovrebbe farlo QNAP sulle release dei firmware del sistema operativo...
burghy
Messaggi: 24
Iscritto il: 06 ago 2016, 18:25

Re: Help!!! ho il DeadBolt

Messaggio da burghy »

alexflibero ha scritto:stavo pensando, se utilizzassimo un meccanismo di crypting del file system (mi pare che sia possibile criptare il FS Qnap) potremmo evitare che un Ramsonware cripti i nostri file ?
Non cambia nulla. E come se tu zippi un file con una password. Il virus lo cripta comunque


Un backup da tot tera sicuramente ha un costo. Ma di quei dati quali sono davvero indispensabili?
alexflibero
Messaggi: 67
Iscritto il: 31 ott 2011, 16:19

Re: Help!!! ho il DeadBolt

Messaggio da alexflibero »

[/quote]Non cambia nulla. E come se tu zippi un file con una password. Il virus lo cripta comunque


Un backup da tot tera sicuramente ha un costo. Ma di quei dati quali sono davvero indispensabili?[/quote]

Dipende, se fai un cripting che non consente la cancellazione a nessun utente se non root, i file originali non possono essere eliminati.

Inviato dal mio SM-A715F utilizzando Tapatalk

burghy
Messaggi: 24
Iscritto il: 06 ago 2016, 18:25

Re: Help!!! ho il DeadBolt

Messaggio da burghy »

Come credi funzionino i virus. Entrano. Diventano root grazie a qualche zero day fermano i servizi di sicurezza e poi il Payload comandato dal c&c cripta
Avatar utente
PiaNi
Messaggi: 4182
Iscritto il: 25 ott 2011, 22:39
Località: Bari

Re: Help!!! ho il DeadBolt

Messaggio da PiaNi »

alexflibero ha scritto: 09 set 2022, 15:59 Certo, d'ora in poi ci penserò ma backuppare 6 TB di dati ha un costo non trascurabile.
Un disco esterno USB da 6TB non ha prezzi esagerati.
Gigabyte B550M Aorus Pro-P | Ryzen 5700x + Scythe Fuma 2 | nVidia RTX 3060 12GB | NVMe WDBlack 500GB + WD120EFAX
TS 473A: 3×WD60EFRX Raid5
TS 133: SGT EXOS 16TB
TS 453A: 3×WD84PURZ Raid5
TS 251+: WD40EFAX (SMR!!)
Synology 1520+: 4×WD4003FRYZ Raid5
burghy
Messaggi: 24
Iscritto il: 06 ago 2016, 18:25

Re: Help!!! ho il DeadBolt

Messaggio da burghy »

PiaNi ha scritto:
alexflibero ha scritto: 09 set 2022, 15:59 Certo, d'ora in poi ci penserò ma backuppare 6 TB di dati ha un costo non trascurabile.
Un disco esterno USB da 6TB non ha prezzi esagerati.
Esatto 130 euro un 6Tb usb lo si trova
Avatar utente
n3rv0x
Messaggi: 2775
Iscritto il: 03 nov 2009, 23:28

Re: Help!!! ho il DeadBolt

Messaggio da n3rv0x »

n3rv0x ha scritto: 07 set 2022, 12:49
newcris81 ha scritto: 06 set 2022, 20:55 Scusate,
quale versione firmware va installata tra le ultime due presenti sul sito:
- 5.0.1.2137 build 20220826 (Release Candidate);
- 5.0.1.2131 build 20220820 (Public Beta 3);
Relase candidate
E' uscita la release candidate 2
Qnap Ts-453 Be
Gabriel.83
Messaggi: 16
Iscritto il: 15 feb 2021, 08:30

Re: Help!!! ho il DeadBolt

Messaggio da Gabriel.83 »

Buongiorno a tutti.
Forse ci sono buone notizie lato QNAP. Ho appena ricevuto questa email
Dear Customer
We strongly recommend performing the following steps:

Take a screenshot of deadbolt ransomware page and save the file to your computer.

Access QTS web interface by adding /cgi-bin/index.cgi after the URL https://NAS_IP or http://NAS_IP:8080.
(for example the NAS has IP address has 192.168.0.2 , using https://192.168.0.2/cgi-bin/index.cgi or http://192.168.0.2:8080/cgi-bin/index.cgi)

With your permission, I would like to access your NAS remotely in order to better assist you.
Please follow these steps to enable remote support with Helpdesk and inform me once it has been activated.

1. Open Control Panel>Network & File>Telnet/SSH
a. If "Allow SSH connection" box is check, please go to next step
b. If "Allow SSH connection" box is uncheck, please check the box and apply
c. If you wish SSH connection remain disable after remote session, please uncheck the box and apply.(must NOT skip step b)
Immagine

2. Install/open the Helpdesk app 3.0.0 in the App Center (you must login as administrator user).
Immagine

3. In the Helpdesk App > Remote Support page, input this ticket ID and your email address, then click "Enable Remote Support".
Note: your email address must match the email address provided in this ticket!
If the helpdesk show " please check tat your input matches the AAA-DDD-DDDDD pattern" this warning message, please open your NAS APP center, check the helpdesk APP version whether is V3.0.0 or higher.
Immagine

4. After Remote Support has been enabled, please reply to me on this ticket to inform me.
Speriamo bene. Io al momento sono fuori italia e rientro venerdì.
Appena ho news vi aggiorno

P.S. sto tenendo sotto controllo anche il forum inglese e pare che qualcuno sia riuscito tramite il servizio clienti di QNAP ad avere il codice per sbloccare i file. https://forum.qnap.com/viewtopic.php?f= ... start=1770 (leggete l'ultimo post della pagina)
Gabriel.83
Messaggi: 16
Iscritto il: 15 feb 2021, 08:30

Re: Help!!! ho il DeadBolt

Messaggio da Gabriel.83 »

Alla fine la risposta di QNAP è stato nel mio caso un nulla di fatto.
Sotto la risposta ricevuta:
Gentile cliente,

vista la situazione correntemente riscontrata dal nostro team specializzato in casi deadbolt,
non è stato possibile recuperare il contenuto dei dischi installati nel NAS.

Il ticket è stato trasferito nuovamente alla coda italiana.

Di seguito le uniche indicazioni che il team italiano può fornire.

Per ripristinare lo storage ci sono due strade percorribili:

1) Re-inizializzare il NAS e riversare al proprio interno un backup dei propri dati (eseguito prima dell'attacco del ransomware)
Di seguito le istruzioni:

- Spegnere il NAS
- Avviarlo senza dischi inseriti
- Attendere 5 minuti per il completamento del boot
- Inserire i dischi a caldo
- Connettersi con un browser all'IP acquisito dal NAS e listato in QFINDER ( https://www.qnap.com/it-it/utilities/essentials )
- Scegliere "Inizializzare il sistema"
- Seguire il wizard per completare l'installazione
- Ricreare la cartelle condivise e installare le Apps in App Center
- Eseguire il ripristino dei dati dal backup nella loro posizione originale

2) Ripristinare file/cartelle nel loro stato precedente alla crittazione con l'uso delle snapshot ed effettuare un backup esterno:
https://www.qnap.com/solution/snapshots/it-it/
https://docs.qnap.com/operating-system/ ... 5078D.html

In entrambi i casi, il modo migliore per rimuovere completamente l'infezione è re-inizializzando il NAS come scritto nel punto (1).

Se avesse bisogno di ulteriore supporto può rivolgersi ad agenzie specializzate nel settore della sicurezza informatica per valutare con loro il da farsi.

Di seguito può trovare una guida QNAP con i consigli per aumentare la sicurezza del proprio NAS quando viene esposto su internet:
https://www.qnap.com/it-it/how-to/faq/a ... za-del-nas

Può fare riferimento al seguente link dove vengono riportati eventi importanti relativi alla sicurezza del proprio NAS:
https://www.qnap.com/en/security-advisories

Consigliamo inoltre di iscriversi alla newsletter QNAP sulla sicurezza, continuamente aggiornata:
https://www.qnap.com/solution/topics-of-interest/it-it/

Grazie
Rispondi