Attacco Hacker al NAS

[Andrea]

Buonasera a tutti.

Chiedo il vostro aiuto perché credo di aver subito un attacco hacker al NAS.
Oggi entrando nel NAS ho notato che alcuni file presentavano l'estensione ".encrypt"

Guardando meglio ho notato che tutti i file docx, excel, pdf etc e tutti i file jpeg, gif etc (quindi documenti e immagini) presentano questa dicitura.

In ogni cartella c'è un file txt che dice questo
https://imgbox.com/0c2LGBzq

Se vado su TOR vedo questo:
https://imgbox.com/NkU0nFHQ

C'è un modo secondo voi per risolvere il problema?

Cosa dovrei fare per rendere più sicuro il NAS? Tipo chiudere le porte etc. Ho letto dei consigli simili prima sul forum.

Secondo voi questa cosa sta andando avanti e rischio di trovarmi tutti i file del NAS così?

Grazie mille a tutti. Scusate ma sono un po' disperato

[lucam1970]

Purtroppo sei vittima di un ransomware.
Sei il secondo in pochi giorni.
devi prendere contromisure urgenti.
Spero per te che tu avessi un backup. In tal caso devi scollegare l'hd di backup (o il NAS se fai il backup su un NAS secondario)
Leggi questo thread
viewtopic.php?f=14&t=18785

[Andrea]

Purtroppo non avevo un backup. E' da una vita che voglio comprare un NAS secondario per non fare un backup ma non l'ho mai fatto.
Ho solo una copia parziale di alcune cartelle.

Adesso secondo voi questo virus sta continuando a bloccarmi i file? Devo staccare il NAS da internet o non cambia nulla?

[lucam1970]

Internet o non internet il ransomware continuerà a criptarti i files.
Spegni il NAS tanto per cominciare.
Non so indicarti la procedura nel dettaglio ma credo che su internet si trovino diversi tutorial con un software che "potrebbe" esser d'aiuto per recuperare i files

[Andrea]

Ti ringrazio per l'aiuto e per la disponibilità. Ho trovato dei programmi su internet e anche delle ditte specializzate che decriptano questi file.
Spero di riuscire a recuperare tutto. L'unica cosa che non voglio fare è pagare quei delinquenti. Anche perché non credo che risolverei nulla.

Devo solo rendere più sicuro il NAS. proverò a seguire i passaggi che ha descritto quell'utente nel thread che mi hai indicato. A partire da una password più sicura.

[PiaNi]

Ma come avviene l'attacco?
Entrano ed installano qualche app che codifica tutto?

[selvaggi]

leggi anche questo post viewtopic.php?f=60&t=17596

[vin24]

Mi aggiungo anch'io, poco fa sono entrato sul NAS e anch'io ho trovato tutti i miei file così, teniamoci in contatto tutti quanti così da aiutarci a vicenda.

[contenitore21]

Incuriosito dalla cosa, ho verificato anch'io il registro connessioni e ho notato numerosissimi login fail con admin da ip sconosciuti nei gg scorsi. Fortunatamente ho seguito consigli dei piu esperti (PiaNi, FFFAB, Selvggi ecc..) e ho rivisto tutti gli utenti eliminando admin.
Non ho messo il ban automatico oltre i 3 tentativi perchè temo di autobannarmi per qualche motivo.
Grazie dei consigli

[Andrea]

Alla fine ho risolto come mi ha suggerito selvaggi.

1) Ho tolto un disco dal NAS e l'ho messo nel PC. Da lì ho recuperato quasi tutti i dati.
Il Ransomware aveva passato in rassegna circa il 60% del disco criptando solo i documenti e le immagini.
Per fortuna non ha toccato i file video, gli audio, gli ebook, i software i giochi etc. In pratica ho perso 12 Gb su 2.800

2) Tramite PC ho formattato il disco e ho eliminato le partizioni.

3) Ho messo il disco vuoto e ho reinizializzato il NAS.

4) Ho ripetuto il tutto con il secondo disco.

5) Ho cambiato la password con una molto più lunga e sicura e ho settato tutto seguendo le guide della QNAP.

Fortunatamente mi sono ricordato che l'anno scorso avevo caricato tutte le foto su Amazon Photos. Quindi ho perso le foto degli ultimi 10 mesi che non sono molte posso recuperare dagli amici e qualche documento, ma nulla di importante dato che la maggior parte li tengo su Dropbox.

In ogni caso ho subito comprato un WD Essentials da 8Tb e ho fatto una copia di tutto. Adesso è chiuso nella sua scatola e farò dei backup ogni tanto.

Mi piacerebbe comprare un nuovo NAS e usare quello vecchio per il backup. Se possibile vorrei settarli in modo tale che il secondo si accenda una volta alla settimana e contemporaneamente il primo faccia il backup.

Per vostra conoscenza vi dico che una ditta a cui ho chiesto un preventivo per decriptare i dati mi ha chiesto 4.900€.
Quindi fate attenzione e fate i backup. Adesso ho imparato la lezione

[PiaNi]

Mi piacerebbe comprare un nuovo NAS e usare quello vecchio per il backup. Se possibile vorrei settarli in modo tale che il secondo si accenda una volta alla settimana e contemporaneamente il primo faccia il backup.

Sono due anni che utilizzo un secondo nas, che adesso ho sostituito con un TS-131K, prima avevo un 131P, e poi c'è il vantaggio che non sono costretto ad usare dischi per raid, essendo monodisco.
E' tutto automatizzato con HBS3.

Per vostra conoscenza vi dico che una ditta a cui ho chiesto un preventivo per decriptare i dati mi ha chiesto 4.900€.
Quindi fate attenzione e fate i backup. Adesso ho imparato la lezione

Non esiste un software per trovare la "chiave" di criptaggio?
Magari attraverso il calcolo distribuito, Boinc ect....
Ormai con le cpu che abbiamo....

[Andrea]

Molto interessante. Non conoscevo questa funzione. Quindi con HBS3 potrei gestire sia il backup sul secondo NAS che sull'HDD esterno se ho capito bene. Quando mi arriverà il nuovo NAS farò qualche prova.

Non esiste un software per trovare la "chiave" di criptaggio?
Magari attraverso il calcolo distribuito, Boinc ect....
Ormai con le cpu che abbiamo....

C'è un software per decriptare i file. Si chiama eCh0raixDecoder, sviluppato da un ricercatore, un certo BloodDolly. Però è stato sviluppato nel 2019 e non funziona più con le versioni attuali del ransomware. Io l'ho scaricato e ho provato ma non ho trovato la chiave.

[PiaNi]

Molto interessante. Non conoscevo questa funzione. Quindi con HBS3 potrei gestire sia il backup sul secondo NAS che sull'HDD esterno se ho capito bene. Quando mi arriverà il nuovo NAS farò qualche prova.

Si, il nas di backup si avvia 15-20 minuti prima, fa la scansione di Malware Remove, e poi parte il backup dal nas principale.
Il nas secondario, dopo un tot di tempo si spegne, però nella gestione di alimentazione c'è abilitata l'opzione "posticipa arresto quando un processo di replica è in corso" (credo su suggerimento di selvaggi o wozxyz), cosi se il backup è più lungo non viene interrotto.

Ovviamente arriva sempre mail di processo terminato, dal Centro Notifiche, che conviene attivare per diverse cose, come accessi bloccati o in caso di installazione o disinstallazioen di app, ma gari su casella gmail che su android sono immediate.

C'è un software per decriptare i file. Si chiama eCh0raixDecoder, sviluppato da un ricercatore, un certo BloodDolly. Però è stato sviluppato nel 2019 e non funziona più con le versioni attuali del ransomware. Io l'ho scaricato e ho provato ma non ho trovato la chiave.

Domani faccio qualche ricerca.

[lucam1970]

Per quanto riguarda la mia strategia di backup, io uso a tal fine due vecchi NAS, rispettivamente un TS-412 e un TS-421.
Ogni sera, alle 23, i due NAS si accendono e a partire dalle 01:30 partono in sequenza le diverse sincronizzazioni unidirezionali di HBS3 dal Ts-653A verso i due vecchietti.
Alle 09:00 di mattina i due NAS di backup si spengono.

Per quanto riguarda invece i criteri di sicurezza sul TS-653A:
- upnp disabilitato (così come sul router);
- QFirewall installato e operativo;
- ban degli IP che tentano il login, sbagliandolo, per cinque volte nell'arco di 30 minuti;
- porte accesso di default http, https e SSH sostituite con altre;
- servizi ftp e sftp disabilitati;
- servizio web server disabilitato;
- password rafforzata sia per admin che per gli altri utenti con obbligo di sostituzione ogni sei mesi.

Dopodichè sgrat sgrat sgrat e lupara sotto il letto per i malintenzionati ....

[PiaNi]

Ma il 412 e 421, in quanto non più aggiornati come firmware, non sono vulmerabili?

[burghy]

Per quanto vulnerabili sono offline e non pubblici

Inviato dal mio SM-A600FN utilizzando Tapatalk

[lucam1970]

La domanda è pertinente e me la sono posta anche io. Nel dubbio avevo cambiato le porte http, https e ssh anche su quelli.
Inoltre, ho disattivato tutti i servizi non necessari e mantengo lo scan malware attivo.
Password rafforzata su entrambi.

E dita incrociate perché se si fo@@ono anche il backup sono dolori ....

[Andrea]

Per quanto riguarda invece i criteri di sicurezza sul TS-653A:
- upnp disabilitato (così come sul router);
- QFirewall installato e operativo;
- ban degli IP che tentano il login, sbagliandolo, per cinque volte nell'arco di 30 minuti;
- porte accesso di default http, https e SSH sostituite con altre;
- servizi ftp e sftp disabilitati;
- servizio web server disabilitato;
- password rafforzata sia per admin che per gli altri utenti con obbligo di sostituzione ogni sei mesi.

Grazie mille per i consigli.
Provo a settare il mio NAS così

[PiaNi]

- ban per almeno 24 ore degli IP che tentano il login, sbagliandolo, per cinque volte nell'arco di 30 minuti;

Di default il blocco dura 30 minuti.

[lucam1970]

Di default il blocco dura 30 minuti.

ciao @PiaNi,
non vorrei essermi rincretinito ma tra le opzioni del ban c'è anche "per sempre" ed è proprio quello che uso io.
In pratica, se in un arco di tempo di 30 minuti qualcuno tenta l'accesso per 5 volte, sbagliando ogni volta le credenziali, QTS banna quell'ip "per sempre".
Allego lo screenshot per spiegarmi meglio.