Problema Cryptolocker

[kennani]

Buongiorno a tutti,

ho bisogno del vostro aiuto urgentemente. Stamani un mio cliente ha preso un cryptolocker di nuova generazione secondo me. In pratica nonstante le cartelle fossero protette da password sembra sia entrato al suo interno.

Il problema è che nonostante dal qnap si veda che ci siano i dati al suo interno risultano vuote.

Ho provato a da accedere tramite ftp e da sempre il solito risultato. Secondo voi c'è qualche altra prova da effettuare?

Grazie per il momento apsetto un vostro aiuto

[ninio]

Riformula meglio perché non si capisce nulla.....di base cryptolocker cripta i file non li fa sparire, li rende inutilizzabili e si propaga sulle share di rete...quindi dipende dai permessi che l'utente della macchina attaccata e solo le share a cui ha accesso in scrittura "possono" venir criptate.

[lele88]

dovresti cercare di capire che tipo di variante e'

[kennani]

Purtroppo è come vi ho detto i file all'interno del qnap non ci sono più, sono stati cancellati. In sostanza il nas è vuoto e lo spazio e totalmente libero. Non so come possa essere successo.

A questo punto mi chiedevo se sono stati cancellati è posibile recuperarli magari con un software di terze parti?

Grazie per la vostra pazienza.

[lele88]

inizia a vedere con questo per le shadow copies
https://www.google.it/url?sa=t&rct=j&q= ... nsIiAaqWxw

[ninio]

keniani con buona probabilità i tuoi dati sono stati cancellati volontariamente o involontariamente dal tuo cliente non è colpa di nessun virus.....!!!!!
La cancellazione mezzo rete è definitiva non esiste cestino se non aveva un backup ha perso tutto...solo SE tu avevi in fase di configurazione abilitato il cestino di QNAP li recuperi da li usando la file station di QNAP.
Te lo scrivo per esperienza perché il cliente non accetterà mai di spedire qualche migliaio di euro per "provare" il recupero "serio" o pagare te e o la tua società senza nessuna garanzia di recupero minimo dei dati...chiaramente a meno che tu non ti proponi di lavorare gratis, spero per te e per la continuazione del mantenimento del cliente che tu abbia sottolineato pesantemente che la mancanza di un backup porta a rischio di perdita totale dei documenti,quindi il cliente abbia ponderato questa possibilità e la scelta di non attuare una retention di backup sia stata una sua scelta, altrimenti credo che vuoi siete già oltre l'uscio della sua porta
Chiaramente lascia perdere il consiglio di lele88 che risponde sempre alla domanda che ore sono, con la previsione del tempo ti farà solo perdere del tempo

[kennani]

Per il pagamento a questo punto non ci sono problemi e io sono tranquillo, aveva anche una copia offline che regolarmente facevano tutti i giorni. Purtroppo ieri si sono accorti del virus troppo tardi e quando hanno fatto il backup esterno in pratica si è sincronizzato con il qnap.

Cmq ci hanno chiesto 5 bitcoin, cmq amen. L'unica cosa che rimane strana è come possa esser entrato nel nas.

Grazie di tutto.

[ninio]

i 5 bitcoin sono a fondo perduto non riavrai mai i tuoi dati
Nel NAS come ti ho scritto prima ci entra perché l'utente che ha preso il Virus con buona probabilità avrà avuto i permessi sul NAS e sulle cartelle incriminate.
Io rimango del parere che qualche dipendete per errore abbia cancellato tutto

[lele88]

guarda che 5 bitcoin al cambio attuale stiamo parlando di circa 3000euro

[luciano]

Ciao kennani, sarebbe interessante sapere che modello è e sopratutto che versione del firmware aveva, l'unità in questione. Grazie. Com'è andata a finire la questione?

[luciopro]

curioso pure io sull'esito del caso...
come hai risolto??

[yVega]

Torno a rinfrescare l'argomento per approfondire l'argomento.. com'è andata a finire?

Da quanto letto in rete le varie versioni di questo ransomware modificano causalmente l'estensione dei file, corretto? Se fosse sempre così, anche nell'eventualità di venire infettati e di infettare il disco condiviso su NAS non creerebbe grossi problemi. La sincronia monodirezionale (backup verso il NAS) finirebbe per non trovare nessun file da aggiornare, ma tutti file nuovi da aggiungere, quelli criptati per l'appunto.
Ma se vi fosse una qualche ransomware che fa la stessa cosa lasciando il file con il nome originale, l'aggiornamento finirebbe per aggiornare tutti i file sani del NAS con la nuova loro versione criptata.
Escludendo i backup manuali e responsabili, come difendersi in modo automatizzato a questo primo livello prima di arginare la cosa ai livelli successivi (Nas to Nas, ecc.) ?

[Giangy73]

Avendo paura anch'io di queste brutte bestie di virus, ho adottato la soluzione che periodicamente salvo su un HD esterno, sempre scollegato, il materiale che si trova sul nas, programmandolo e quindi, dopo il primo backup che ha messo molto tempo, ora i successivi sono molto veloci.
In questo modo, se il nas dovesse essere infettato, ho la copia sull'HD scollegato e, una volta ripulito il nas, posso ripristinare tutti i dati.
Certo che qualche dato andrà perduto, ma parliamo di foto e video di famiglia, qualche bolletta, il tutto nell'arco massimo di 1 solo mese, materiale che bene o male si potrebbe recuperare facilmente.

[luciano]

L'unica soluzione al problema è quella di Giangy73. Backup. Backup e ancora backup. Esterno e scollegato.

[yVega]

Capisco, ma vorrei automatizzare anche il backup "scollegato" senza farlo a mano.. senza dovermi ricordare.. senza farne una mania.. ma stando tranquilli che c'è

così buttata lì un po' spiccia..
una schedulazione che faccia
- una ricerca su tutto il disco di tutti i file "COME_RIPRISTINARE_I_FILES.txt" in un primo file di log txt (script)
- se il primo file è diverso da vuoto
- ho qualche directory già infettata: esco con alert
- altrimenti accendo un disco remoto del NAS (interfacce relè comandate via usb) (script)
- avvio backup
- disconnessione disco remoto (script)

..forse troppo banale e comunque non basterebbe, appena cambia qualcosa non sarebbe più sicuro...

[merluzzo]

..forse troppo banale e comunque non basterebbe, appena cambia qualcosa non sarebbe più sicuro...

Se hai le conoscenze/competenze giuste e' realizzabile ma concettualmente c'e' un grosso errore di fondo: credere che la gestione della sicurezza sia un processo automatico.
La sicurezza dei tuoi dati e' direttamente proporzionale alla tua paranoia di perderli.
Giusto per essere paranoici quel tanto che basta.. i processi di controllo e attuazione del tuo sistema come si scambiano i dati?
Sei sicuro che quei canali sia protetti? I processi girano tutti su una stessa macchina o su macchine diverse? Sono protette queste macchine?

Non lo dico per scoraggiarti dal realizzare la tua idea, anzi!
Parlo solo per esperienza, i backup sono una cosa tremendamente seria

[yVega]

Non volevo passare per chi vuole semplificare troppo.. anzi, certe paranoie vengono proprio perché considero il backup una cosa seria anch'io e vorrei, per quanto possibile, andare incontro alla sicurezza (andare incontro, non risolvere) per quelle operazioni manuali che faccio quando posso e mi sento sicuro di poterle fare.

Da qui l'idea di trovare qualcosa che possa fare backup "scollegati" in automatico per ridurre il "rischio" quando non posso farlo io.

[merluzzo]

Da qui l'idea di trovare qualcosa che possa fare backup "scollegati" in automatico per ridurre il "rischio" quando non posso farlo io.

Scusa, avevo capito che volevi un sistema stile maverick, lancia e dimentica

[Manuel1990]

Io utilizzo un sistema diverso usando sincronie e permessi.
Con l'utente che utilizzo e ho memorizzato sul pc ho i permessi di lettura e scrittura sulla cartella multimedia.
Mentre sulla cartella personale ho i permessi in sola lettura.
Gestisco tutti i file e li organizzo sul pc. Per scriverli sul nas utilizzo SyncBack free che collegandosi in ftp con un altro utente effettua una sincronia unidirezionale dall cartelle del pc alla mia cartella sul nas... E se perdo i film pace...

Inviato dal mio SM-G925F utilizzando Tapatalk

[Murdock44]

purtroppo questi benedetti cryptolocker sono davvero un bel guaio.
io per esempio ho creato piu lun iscsi, poi formattate e criptate con bitlocker. Le monto solo quando faccio la sincronizzazione dei file che ho sui pc per il backup, sono protette e manco tutti i criptolocker di questo mondo potrebbero infettarle.