Attacco Hacker al NAS

Utilizzate questo forum per qualsiasi argomento che non è categorizzato altrove.
Rispondi
Andrea
Messaggi: 16
Iscritto il: 24 giu 2011, 23:18

Attacco Hacker al NAS

Messaggio da Andrea »

Buonasera a tutti.

Chiedo il vostro aiuto perché credo di aver subito un attacco hacker al NAS.
Oggi entrando nel NAS ho notato che alcuni file presentavano l'estensione ".encrypt"

Guardando meglio ho notato che tutti i file docx, excel, pdf etc e tutti i file jpeg, gif etc (quindi documenti e immagini) presentano questa dicitura.

In ogni cartella c'è un file txt che dice questo
https://imgbox.com/0c2LGBzq

Se vado su TOR vedo questo:
https://imgbox.com/NkU0nFHQ

C'è un modo secondo voi per risolvere il problema?

Cosa dovrei fare per rendere più sicuro il NAS? Tipo chiudere le porte etc. Ho letto dei consigli simili prima sul forum.

Secondo voi questa cosa sta andando avanti e rischio di trovarmi tutti i file del NAS così?

Grazie mille a tutti. Scusate ma sono un po' disperato
- NAS: QNAP TS 219+ con 2 Seagate 2TB in Raid 1 (mirroring)
- TV: Samsung UE37D5500 e 2 x UE22ES5400 Smart TV + LG Flatron M2294D.
- PC: 2 PC Desktop + Sony Vaio con Win7 e un Mac Mini
- LAN: Router Netgear WNR1000 + 2 Switches Cisco, 8 (SE2800), e 5 porte (SE2500)
- CELLULARE: iPhone 7
Avatar utente
lucam1970
Messaggi: 708
Iscritto il: 28 gen 2012, 01:02

Re: Attacco Hacker al NAS

Messaggio da lucam1970 »

Purtroppo sei vittima di un ransomware.
Sei il secondo in pochi giorni.
devi prendere contromisure urgenti.
Spero per te che tu avessi un backup. In tal caso devi scollegare l'hd di backup (o il NAS se fai il backup su un NAS secondario)
Leggi questo thread
viewtopic.php?f=14&t=18785
- NAS: QNAP TS-653D 16GB (24TB/RAID5 - QTS 5.2.0.2860)
- Backup Unit: QNAP TS-653A 8GB (16TB/RAID5 - QTS 5.2.0.2860)
- UPS: APC Back-UPS BX700
- Client: Macbook Pro (2020) ; Macbook Pro (2016); Macbook Air M1
- Home Cinema: TV Samsung 55C8000 - Apple TV 4th - Samsung BD-C5900 - SkyQ - Denon 1911 - Indiana Line Tesi
Andrea
Messaggi: 16
Iscritto il: 24 giu 2011, 23:18

Re: Attacco Hacker al NAS

Messaggio da Andrea »

Purtroppo non avevo un backup. E' da una vita che voglio comprare un NAS secondario per non fare un backup ma non l'ho mai fatto.
Ho solo una copia parziale di alcune cartelle.

Adesso secondo voi questo virus sta continuando a bloccarmi i file? Devo staccare il NAS da internet o non cambia nulla?
- NAS: QNAP TS 219+ con 2 Seagate 2TB in Raid 1 (mirroring)
- TV: Samsung UE37D5500 e 2 x UE22ES5400 Smart TV + LG Flatron M2294D.
- PC: 2 PC Desktop + Sony Vaio con Win7 e un Mac Mini
- LAN: Router Netgear WNR1000 + 2 Switches Cisco, 8 (SE2800), e 5 porte (SE2500)
- CELLULARE: iPhone 7
Avatar utente
lucam1970
Messaggi: 708
Iscritto il: 28 gen 2012, 01:02

Re: Attacco Hacker al NAS

Messaggio da lucam1970 »

Internet o non internet il ransomware continuerà a criptarti i files.
Spegni il NAS tanto per cominciare.
Non so indicarti la procedura nel dettaglio ma credo che su internet si trovino diversi tutorial con un software che "potrebbe" esser d'aiuto per recuperare i files
- NAS: QNAP TS-653D 16GB (24TB/RAID5 - QTS 5.2.0.2860)
- Backup Unit: QNAP TS-653A 8GB (16TB/RAID5 - QTS 5.2.0.2860)
- UPS: APC Back-UPS BX700
- Client: Macbook Pro (2020) ; Macbook Pro (2016); Macbook Air M1
- Home Cinema: TV Samsung 55C8000 - Apple TV 4th - Samsung BD-C5900 - SkyQ - Denon 1911 - Indiana Line Tesi
Andrea
Messaggi: 16
Iscritto il: 24 giu 2011, 23:18

Re: Attacco Hacker al NAS

Messaggio da Andrea »

Ti ringrazio per l'aiuto e per la disponibilità. Ho trovato dei programmi su internet e anche delle ditte specializzate che decriptano questi file.
Spero di riuscire a recuperare tutto. L'unica cosa che non voglio fare è pagare quei delinquenti. Anche perché non credo che risolverei nulla.

Devo solo rendere più sicuro il NAS. proverò a seguire i passaggi che ha descritto quell'utente nel thread che mi hai indicato. A partire da una password più sicura.
- NAS: QNAP TS 219+ con 2 Seagate 2TB in Raid 1 (mirroring)
- TV: Samsung UE37D5500 e 2 x UE22ES5400 Smart TV + LG Flatron M2294D.
- PC: 2 PC Desktop + Sony Vaio con Win7 e un Mac Mini
- LAN: Router Netgear WNR1000 + 2 Switches Cisco, 8 (SE2800), e 5 porte (SE2500)
- CELLULARE: iPhone 7
Avatar utente
PiaNi
Messaggi: 4182
Iscritto il: 25 ott 2011, 22:39
Località: Bari

Re: Attacco Hacker al NAS

Messaggio da PiaNi »

Ma come avviene l'attacco?
Entrano ed installano qualche app che codifica tutto?
Gigabyte B550M Aorus Pro-P | Ryzen 5700x + Scythe Fuma 2 | nVidia RTX 3060 12GB | NVMe WDBlack 500GB + WD120EFAX
TS 473A: 3×WD60EFRX Raid5
TS 133: SGT EXOS 16TB
TS 453A: 3×WD84PURZ Raid5
TS 251+: WD40EFAX (SMR!!)
Synology 1520+: 4×WD4003FRYZ Raid5
Avatar utente
selvaggi
Messaggi: 1634
Iscritto il: 02 feb 2016, 14:30
Località: provincia di Ancona

Re: Attacco Hacker al NAS

Messaggio da selvaggi »

leggi anche questo post viewtopic.php?f=60&t=17596
Qnap TS-251 : Tick : 2 HD 4TB Toshiba MD04ACA400 : Tick : 2 RAM 4GB Kingston KVR16LS11/4 : Tick : t&m logitech wireless combo mk270 : Tick : wi-fi TP-Link tl-wdn4200 : Tick :

: book : Tutorial : Sig : TS-251 App Center : Thumbup : TS-251 download : WohoW : Manuali : Tv Happy : /// : Question : : Question : Wikipedia : Ok :
Avatar utente
vin24
Messaggi: 77
Iscritto il: 23 dic 2015, 12:32

Re: Attacco Hacker al NAS

Messaggio da vin24 »

Mi aggiungo anch'io, poco fa sono entrato sul NAS e anch'io ho trovato tutti i miei file così, teniamoci in contatto tutti quanti così da aiutarci a vicenda.
- NAS: TS-451D2 8GB (2x 8TB - RAID1)
- Backup Unit: TS-251 8GB (8TB + 8TB)
- UPS: APC Back-UPS Pro 900
contenitore21
Messaggi: 494
Iscritto il: 14 lug 2013, 15:58

Re: Attacco Hacker al NAS

Messaggio da contenitore21 »

Incuriosito dalla cosa, ho verificato anch'io il registro connessioni e ho notato numerosissimi login fail con admin da ip sconosciuti nei gg scorsi. Fortunatamente ho seguito consigli dei piu esperti (PiaNi, FFFAB, Selvggi ecc..) e ho rivisto tutti gli utenti eliminando admin.
Non ho messo il ban automatico oltre i 3 tentativi perchè temo di autobannarmi per qualche motivo.
Grazie dei consigli
Andrea
Messaggi: 16
Iscritto il: 24 giu 2011, 23:18

Re: Attacco Hacker al NAS

Messaggio da Andrea »

Alla fine ho risolto come mi ha suggerito selvaggi.

1) Ho tolto un disco dal NAS e l'ho messo nel PC. Da lì ho recuperato quasi tutti i dati.
Il Ransomware aveva passato in rassegna circa il 60% del disco criptando solo i documenti e le immagini.
Per fortuna non ha toccato i file video, gli audio, gli ebook, i software i giochi etc. In pratica ho perso 12 Gb su 2.800

2) Tramite PC ho formattato il disco e ho eliminato le partizioni.

3) Ho messo il disco vuoto e ho reinizializzato il NAS.

4) Ho ripetuto il tutto con il secondo disco.

5) Ho cambiato la password con una molto più lunga e sicura e ho settato tutto seguendo le guide della QNAP.

Fortunatamente mi sono ricordato che l'anno scorso avevo caricato tutte le foto su Amazon Photos. Quindi ho perso le foto degli ultimi 10 mesi che non sono molte posso recuperare dagli amici e qualche documento, ma nulla di importante dato che la maggior parte li tengo su Dropbox.

In ogni caso ho subito comprato un WD Essentials da 8Tb e ho fatto una copia di tutto. Adesso è chiuso nella sua scatola e farò dei backup ogni tanto.

Mi piacerebbe comprare un nuovo NAS e usare quello vecchio per il backup. Se possibile vorrei settarli in modo tale che il secondo si accenda una volta alla settimana e contemporaneamente il primo faccia il backup.

Per vostra conoscenza vi dico che una ditta a cui ho chiesto un preventivo per decriptare i dati mi ha chiesto 4.900€.
Quindi fate attenzione e fate i backup. Adesso ho imparato la lezione
- NAS: QNAP TS 219+ con 2 Seagate 2TB in Raid 1 (mirroring)
- TV: Samsung UE37D5500 e 2 x UE22ES5400 Smart TV + LG Flatron M2294D.
- PC: 2 PC Desktop + Sony Vaio con Win7 e un Mac Mini
- LAN: Router Netgear WNR1000 + 2 Switches Cisco, 8 (SE2800), e 5 porte (SE2500)
- CELLULARE: iPhone 7
Avatar utente
PiaNi
Messaggi: 4182
Iscritto il: 25 ott 2011, 22:39
Località: Bari

Re: Attacco Hacker al NAS

Messaggio da PiaNi »

Andrea ha scritto: 29 mar 2021, 20:09 Mi piacerebbe comprare un nuovo NAS e usare quello vecchio per il backup. Se possibile vorrei settarli in modo tale che il secondo si accenda una volta alla settimana e contemporaneamente il primo faccia il backup.
Sono due anni che utilizzo un secondo nas, che adesso ho sostituito con un TS-131K, prima avevo un 131P, e poi c'è il vantaggio che non sono costretto ad usare dischi per raid, essendo monodisco.
E' tutto automatizzato con HBS3.
Andrea ha scritto: 29 mar 2021, 20:09 Per vostra conoscenza vi dico che una ditta a cui ho chiesto un preventivo per decriptare i dati mi ha chiesto 4.900€.
Quindi fate attenzione e fate i backup. Adesso ho imparato la lezione
Non esiste un software per trovare la "chiave" di criptaggio?
Magari attraverso il calcolo distribuito, Boinc ect....
Ormai con le cpu che abbiamo....
Gigabyte B550M Aorus Pro-P | Ryzen 5700x + Scythe Fuma 2 | nVidia RTX 3060 12GB | NVMe WDBlack 500GB + WD120EFAX
TS 473A: 3×WD60EFRX Raid5
TS 133: SGT EXOS 16TB
TS 453A: 3×WD84PURZ Raid5
TS 251+: WD40EFAX (SMR!!)
Synology 1520+: 4×WD4003FRYZ Raid5
Andrea
Messaggi: 16
Iscritto il: 24 giu 2011, 23:18

Re: Attacco Hacker al NAS

Messaggio da Andrea »

Molto interessante. Non conoscevo questa funzione. Quindi con HBS3 potrei gestire sia il backup sul secondo NAS che sull'HDD esterno se ho capito bene. Quando mi arriverà il nuovo NAS farò qualche prova.
Non esiste un software per trovare la "chiave" di criptaggio?
Magari attraverso il calcolo distribuito, Boinc ect....
Ormai con le cpu che abbiamo....
C'è un software per decriptare i file. Si chiama eCh0raixDecoder, sviluppato da un ricercatore, un certo BloodDolly. Però è stato sviluppato nel 2019 e non funziona più con le versioni attuali del ransomware. Io l'ho scaricato e ho provato ma non ho trovato la chiave.
- NAS: QNAP TS 219+ con 2 Seagate 2TB in Raid 1 (mirroring)
- TV: Samsung UE37D5500 e 2 x UE22ES5400 Smart TV + LG Flatron M2294D.
- PC: 2 PC Desktop + Sony Vaio con Win7 e un Mac Mini
- LAN: Router Netgear WNR1000 + 2 Switches Cisco, 8 (SE2800), e 5 porte (SE2500)
- CELLULARE: iPhone 7
Avatar utente
PiaNi
Messaggi: 4182
Iscritto il: 25 ott 2011, 22:39
Località: Bari

Re: Attacco Hacker al NAS

Messaggio da PiaNi »

Andrea ha scritto: 29 mar 2021, 22:13 Molto interessante. Non conoscevo questa funzione. Quindi con HBS3 potrei gestire sia il backup sul secondo NAS che sull'HDD esterno se ho capito bene. Quando mi arriverà il nuovo NAS farò qualche prova.
Si, il nas di backup si avvia 15-20 minuti prima, fa la scansione di Malware Remove, e poi parte il backup dal nas principale.
Il nas secondario, dopo un tot di tempo si spegne, però nella gestione di alimentazione c'è abilitata l'opzione "posticipa arresto quando un processo di replica è in corso" (credo su suggerimento di selvaggi o wozxyz), cosi se il backup è più lungo non viene interrotto.

Ovviamente arriva sempre mail di processo terminato, dal Centro Notifiche, che conviene attivare per diverse cose, come accessi bloccati o in caso di installazione o disinstallazioen di app, ma gari su casella gmail che su android sono immediate.
Andrea ha scritto: 29 mar 2021, 22:13 C'è un software per decriptare i file. Si chiama eCh0raixDecoder, sviluppato da un ricercatore, un certo BloodDolly. Però è stato sviluppato nel 2019 e non funziona più con le versioni attuali del ransomware. Io l'ho scaricato e ho provato ma non ho trovato la chiave.
Domani faccio qualche ricerca.
Gigabyte B550M Aorus Pro-P | Ryzen 5700x + Scythe Fuma 2 | nVidia RTX 3060 12GB | NVMe WDBlack 500GB + WD120EFAX
TS 473A: 3×WD60EFRX Raid5
TS 133: SGT EXOS 16TB
TS 453A: 3×WD84PURZ Raid5
TS 251+: WD40EFAX (SMR!!)
Synology 1520+: 4×WD4003FRYZ Raid5
Avatar utente
lucam1970
Messaggi: 708
Iscritto il: 28 gen 2012, 01:02

Re: Attacco Hacker al NAS

Messaggio da lucam1970 »

Per quanto riguarda la mia strategia di backup, io uso a tal fine due vecchi NAS, rispettivamente un TS-412 e un TS-421.
Ogni sera, alle 23, i due NAS si accendono e a partire dalle 01:30 partono in sequenza le diverse sincronizzazioni unidirezionali di HBS3 dal Ts-653A verso i due vecchietti.
Alle 09:00 di mattina i due NAS di backup si spengono.

Per quanto riguarda invece i criteri di sicurezza sul TS-653A:
- upnp disabilitato (così come sul router);
- QFirewall installato e operativo;
- ban degli IP che tentano il login, sbagliandolo, per cinque volte nell'arco di 30 minuti;
- porte accesso di default http, https e SSH sostituite con altre;
- servizi ftp e sftp disabilitati;
- servizio web server disabilitato;
- password rafforzata sia per admin che per gli altri utenti con obbligo di sostituzione ogni sei mesi.

Dopodichè sgrat sgrat sgrat e lupara sotto il letto per i malintenzionati : CoolGun : ....
- NAS: QNAP TS-653D 16GB (24TB/RAID5 - QTS 5.2.0.2860)
- Backup Unit: QNAP TS-653A 8GB (16TB/RAID5 - QTS 5.2.0.2860)
- UPS: APC Back-UPS BX700
- Client: Macbook Pro (2020) ; Macbook Pro (2016); Macbook Air M1
- Home Cinema: TV Samsung 55C8000 - Apple TV 4th - Samsung BD-C5900 - SkyQ - Denon 1911 - Indiana Line Tesi
Avatar utente
PiaNi
Messaggi: 4182
Iscritto il: 25 ott 2011, 22:39
Località: Bari

Re: Attacco Hacker al NAS

Messaggio da PiaNi »

Ma il 412 e 421, in quanto non più aggiornati come firmware, non sono vulmerabili?
Gigabyte B550M Aorus Pro-P | Ryzen 5700x + Scythe Fuma 2 | nVidia RTX 3060 12GB | NVMe WDBlack 500GB + WD120EFAX
TS 473A: 3×WD60EFRX Raid5
TS 133: SGT EXOS 16TB
TS 453A: 3×WD84PURZ Raid5
TS 251+: WD40EFAX (SMR!!)
Synology 1520+: 4×WD4003FRYZ Raid5
burghy
Messaggi: 24
Iscritto il: 06 ago 2016, 18:25

Re: Attacco Hacker al NAS

Messaggio da burghy »

Per quanto vulnerabili sono offline e non pubblici

Inviato dal mio SM-A600FN utilizzando Tapatalk

Avatar utente
lucam1970
Messaggi: 708
Iscritto il: 28 gen 2012, 01:02

Re: Attacco Hacker al NAS

Messaggio da lucam1970 »

La domanda è pertinente e me la sono posta anche io. Nel dubbio avevo cambiato le porte http, https e ssh anche su quelli.
Inoltre, ho disattivato tutti i servizi non necessari e mantengo lo scan malware attivo.
Password rafforzata su entrambi.

E dita incrociate perché se si fo@@ono anche il backup sono dolori ....
- NAS: QNAP TS-653D 16GB (24TB/RAID5 - QTS 5.2.0.2860)
- Backup Unit: QNAP TS-653A 8GB (16TB/RAID5 - QTS 5.2.0.2860)
- UPS: APC Back-UPS BX700
- Client: Macbook Pro (2020) ; Macbook Pro (2016); Macbook Air M1
- Home Cinema: TV Samsung 55C8000 - Apple TV 4th - Samsung BD-C5900 - SkyQ - Denon 1911 - Indiana Line Tesi
Andrea
Messaggi: 16
Iscritto il: 24 giu 2011, 23:18

Re: Attacco Hacker al NAS

Messaggio da Andrea »

lucam1970 ha scritto: 30 mar 2021, 23:44 Per quanto riguarda invece i criteri di sicurezza sul TS-653A:
- upnp disabilitato (così come sul router);
- QFirewall installato e operativo;
- ban degli IP che tentano il login, sbagliandolo, per cinque volte nell'arco di 30 minuti;
- porte accesso di default http, https e SSH sostituite con altre;
- servizi ftp e sftp disabilitati;
- servizio web server disabilitato;
- password rafforzata sia per admin che per gli altri utenti con obbligo di sostituzione ogni sei mesi.

Grazie mille per i consigli.
Provo a settare il mio NAS così
- NAS: QNAP TS 219+ con 2 Seagate 2TB in Raid 1 (mirroring)
- TV: Samsung UE37D5500 e 2 x UE22ES5400 Smart TV + LG Flatron M2294D.
- PC: 2 PC Desktop + Sony Vaio con Win7 e un Mac Mini
- LAN: Router Netgear WNR1000 + 2 Switches Cisco, 8 (SE2800), e 5 porte (SE2500)
- CELLULARE: iPhone 7
Avatar utente
PiaNi
Messaggi: 4182
Iscritto il: 25 ott 2011, 22:39
Località: Bari

Re: Attacco Hacker al NAS

Messaggio da PiaNi »

lucam1970 ha scritto: 30 mar 2021, 23:44 - ban per almeno 24 ore degli IP che tentano il login, sbagliandolo, per cinque volte nell'arco di 30 minuti;
Di default il blocco dura 30 minuti.
Gigabyte B550M Aorus Pro-P | Ryzen 5700x + Scythe Fuma 2 | nVidia RTX 3060 12GB | NVMe WDBlack 500GB + WD120EFAX
TS 473A: 3×WD60EFRX Raid5
TS 133: SGT EXOS 16TB
TS 453A: 3×WD84PURZ Raid5
TS 251+: WD40EFAX (SMR!!)
Synology 1520+: 4×WD4003FRYZ Raid5
Avatar utente
lucam1970
Messaggi: 708
Iscritto il: 28 gen 2012, 01:02

Re: Attacco Hacker al NAS

Messaggio da lucam1970 »

PiaNi ha scritto: 01 apr 2021, 10:49 Di default il blocco dura 30 minuti.
ciao @PiaNi,
non vorrei essermi rincretinito ma tra le opzioni del ban c'è anche "per sempre" ed è proprio quello che uso io.
In pratica, se in un arco di tempo di 30 minuti qualcuno tenta l'accesso per 5 volte, sbagliando ogni volta le credenziali, QTS banna quell'ip "per sempre".
Allego lo screenshot per spiegarmi meglio.
Allegati
Screeny Shot 1 Apr 2021 at 22.15.31.png
- NAS: QNAP TS-653D 16GB (24TB/RAID5 - QTS 5.2.0.2860)
- Backup Unit: QNAP TS-653A 8GB (16TB/RAID5 - QTS 5.2.0.2860)
- UPS: APC Back-UPS BX700
- Client: Macbook Pro (2020) ; Macbook Pro (2016); Macbook Air M1
- Home Cinema: TV Samsung 55C8000 - Apple TV 4th - Samsung BD-C5900 - SkyQ - Denon 1911 - Indiana Line Tesi
Rispondi