Problém se čtením souborů na cloudu
Dobrý den.
Předem se omlouvám, pokud jsem nezvolil správnou kategorii.
Vypadá to tak, že jsem se stal cílem nějaké hackerské skupiny, možná se pletu, doufám, že se pletu.
Na mém osobním cloudu, už pár dnů nefunguje přehrávání videí, které tam mám. Nefunguje spouštění MP3 souborů ani prohlížení fotek.
Dnes jsem si v úvodní složce cloudu všiml nového textového souboru.
"_FILES_ENCRYPTED_README"
(opatrně při klikání na odkazy, kdo ví kam to vede)
All your files have been encrypted using strong encryption!
To view the website you need to download the OpenBazaar application from: https://openbazaar.org/download/
You can then visit the store via this url: ob://QmcVHJWngBD67hhqXipFvhHcgv1RYLBGcpthew7d9pC3rq/store
We are also reachable via these instant messaging softwares:
toxchat: https://tox.chat/download.html
User ID: AE737ECB916BE24B41543BAD5B24710C5B9DB701592013A6EBBCC0A544931E6145C7D950B82F
bitmessage: https://bitmessage.org/wiki/Main_Page
User ID: BM-NBcQxmkfyoVxSRE8WJQqEbXw1s63CMEq
Kind regards from the Cr1ptT0r team.
Myslíte si že mám šanci na záchranu souborů, nebo rovnou formát? V zařízení mám 2x 3TB disky, zapojené tak, že se obsah klonuje, z důvodu možné poruchy jednoho z HDD.
Děkuji za jakoukoli reakci.
https://lnk.sk/aAD2
Prelustruj: MBAM, Adwcleaner, RougeKiller x64 - portable.
Chce to tiež z externého média použiť na dáta hĺbkovú forenznú kontrolu: Dr.Web ISO - live dvd.
https://free.drweb.com/aid_admin/?lng=en
SW na vytvorenie flešky, multiboot z AV typu Live-SysRescue:
https://www.pendrivelinux.com/yumi-multiboot-usb-creator/
Môže ísť iba o hoax. Tie odkazy sú čisté, bežný SW.
Určite používaš nejaký nepriestrelný, vynikajúci, bezkonkurenčný AV, ak sa nemýlim.
Dnes tieto AV šmejdy výhradne systémom škodia.
Zadaj do vyhľadávača tieto slová: payload veil evasion shell, pritom sa cestou Kali zopár riadkami v Python zasrani nudia za svojimi PC rozposielaním infikovaných príloh k mailom.
MBAM, Adwcleaner, RougeKiller x64 - portable, Hitman Pro. Vším prolustrovány oba PC v domácnosti.
Ještě spustím SuperAntiSpyware, zatím se mi stahuje ten Dr.Web ISO, akorát ne live DVD, ale druhá verze na USB disk. CD mechaniku bych musel shánět, ta co mám je nefunkční a odpojena.
Snad se mi podaří z USB disku nabootovat, už to je nějaká doba co jsem tyhle věci dělal naposled.
Zeptám se, ohledně....
.... Co to je? To je jen nástroj na vytvoření bootovatelného USB disku? Pokud ano, Dr.web si ho asi vytvoří sám, ne?
Drweb.com Bod 4. To create a bootable USB flash drive, click Create Dr.Web LiveDisk.
co je to ten "osobní cloud"? Myslíš domácí NAS?
Podle všeho máš buď některý z domácích PC, které mají přístup k datům, zavirovaný kryptomalwarem (a další překvapení budou následovat), NEBO jsi ten svůj "osobní cloud" otevřel hackerům na internetu (případně je v něm neošetřená chyba). Bez podrobností lze jen hádat.
Obnova dat je téměř nemožná, pokud náhodou není k dispozici dekryptor.
P.S.: našel jsem thread, kde někdo vyexploitoval NAS od D-linku (jehož majitel bláznivě otevřel porty do inetu: https://www.bleepingcomputer.com/forums/t/691852/cr1ptt0r-ransomware-files-encrypted-readmetxt-support-topic/page-6)
Ano, myslím tím domácí NAS. Ten je zapojený v routeru TPlink, ten je zapojen jako switch, přes hlavní router Mikrotik.
Doufám že tohle jako zabezpečení proti hackerům stačí.
hackerská skupina na tebe zvysoka @#$%, pravděpodobně sis to zaviroval sám. prohlédni si své disky na pc, viz tw.
dobrá připomínka: dnes je módní ukládat záznamy z kamer na nasku a chtít si je zpřístupnit přes net. toto bývá důsledek.
druhá možná cesta:
ano, spoléhání se na tyto sračky vede přesně k takovým koncům. takže i po zformátování domácí nasky si ji zaviruješ znovu.
detekce a teoretické pokusy o odstranění: nějaké nástroje má kaspersky, bitdefender,
ale vzhledem k volné publikaci původních zdrojáků a k modifikaci kdejakou lamou budeš mít spíš smůlu.
nedá se úplně vyloučit "sociální" virus, že soubory na discích jsou čisté, jen místo adware ti podvržený doplněk chrome stahuje a rozesílá tyto textové soubory, ale nespoléhal bych na to.
Je možné, že když jsem cloud pořídil, snažil jsem se ho zpřístupnit z internetu, ani nevím jestli se mi to tehda povedlo, tuhle funkci jsem rychle opustil, možná jsem ji zpětně nezablokoval.
Nevím co je to AV, myslím že žádné specialitky nepoužívám. Jestli antivirus, tak nemám žádný, čas od času jen PC oskenuju programem SuperAntiSpyware.
vs.
OMG.
Značku, typ, verzi firmware ... neznáme.
Co jsi kutil s routerem ... neznáme.
Můžu jenom říct, že jsi dobrý střelec a že něco takového muselo zákonitě přijít.
Pokud je to NAS typu WD My něco, tak tohle opravdu není určeno na vystrčení do internetu.
Mám tohle D-link DNS 327L + 2x WD RED.
Je pravda že funkci vzdáleného připojení nevyužívám a pokusím se ji zablokovat.
Takže je to IMHO potvrzeno, jde o útok z inetu na neopatchovaný NAS. Daleko horší je, že malware běží přímo na NASu.
https://www.bleepingcomputer.com/news/security/cr1ptt0r-ransomware-infects-d-link-nas-devices-targets-embedded-systems/
Je tam i security advisory od D-Linku.
Ah to jsem se dozvědet nechtěl.
Takže jediné východisko, 1. format disků, 2. aktualizace firmware NASu, 3. zablokování přístupu z internetu?
Platit žádné bitcoiny nebudu. Nebo jiný postup? Děkuju.
4. Ověřit, kam všude se nákaza z NAS rozšířila po domácí síti. Napadený NAS nemusí být konečná.
No já reagoval na pprvní příspěvek že oba dva PC jsem uvedenými programy prověřil, můžu to udělat poté znovu. Dále mám na síti tiskárnu, té se to snad netýká, a RaspberryPi, na ní ale neni Windows takže doufám že ten nijak řešit nemusím.
//edit: Myslíte že s tím může souviset zpráva, kterou mi poslal před pár dny můj provider internetu?
kterému slovu z této věty nerozumíte?
Já se ptám jestli to nemůže být nějak provázané, na tohle mi antivirový program ani antispyware nic nenašel, ten ale si myslím neprohledává NAS.
Ale to už Vám přeci vysvětlil touchwood nahoře ve 12:08. Četl jste vůbec jeho odkaz?
jestli je "194.211.70.117" wan adresa tvého mikrotiku, pak zatím nevíš kterého zařízení se incident týká.
vir (jednoduchý script) může běžet jak na některém domácím pc, tak mohl napadnout děravý firmware nasu nebo zneužít otevřený přístup nasu do netu.
data z nasky jsi kontroloval? myslím fotky a videa (dokumenty teď raději ne). je to proto, ať dokážeš určit rozsah poškození.
o ostatních domácích pc nepíšeš, leda raspberry, to bych taky nechal nakonec.
domácí pc jsi skenoval jiným antivirem, než který používáš a který si ničeho nevšiml? doporučuju nějaký live na boot cd/usb:
https://free.drweb.com/aid_admin/?lng=en
https://support.kaspersky.com/us/viruses/krd18 - nebo jejich kvrt pod windows, když nemáš flashku.
antivir.
superantispyware mi přijde poněkud zastaralý, ale už jsem ho hodně dlouho neviděl.
progresívnější co do kontroly mi přišel adwclenaer. ovšem na nákazu tohoto typu žádný z nich nestačí, nanejvýš u tebe objeví nějaký downloader.
Data v NASu jsem zběžně zkontroloval, nenašel jsem žádný funkční soubor, ať už video, audio, fotky nebo i ten dokument. Takže jsem provedl kompletní formát + aktualizaci firmware.
Ostatní PC jsem projel programy viz první příspěvek.
Ještě jsem neudělal boot USB disk s Dr.Web - ISO. Snad stihnu dnes.
5 programů nic nenašlo, čili výhercem byla napadená naska.
tak snad neotevírat do netu a nenechávat na routeru/nasce defaultní hesla.
Heslo defaultní není, ale stejně jsem raději změnil. Vypnul jsem DNS a ještě si musím vzpomenout jaké porty vypnout, některé totiž využívám v raspberryPi.
Děkuji.
no třeba. já bych sice vypnul bránu, ale to je fuk.
oboje však platí jen pro případ, že už je naska něčím napadená a malware by se chtěl dál aktualizovat, nebo něco odesílat. samotné virové nákaze nasky to nijak nezabrání.
nejnovější dostupný firmware už tam asi máš a v příštím životě si koupíš něco od normálního výrobce (z domácích značek na našem trhu bych to viděl na qnap a synology). druhou možností je mít router, o který se výrobce stará a občas updatuješ firmware (z domácích značek asi jen mikrotik, ostatní výrobci homekrámů s podporou brzy končí).
Díky, aktualizuju i firmware mikrotiku, to mě nenapadlo.
To můžeš, ale především zamezit přístupu na tvůj NAS komukoliv zvenku.
Pokud potřebuješ přístup, tak port přesměrovat na nějaký nestandardní a ideálně omezit IP adresy, které tam mohou přistupovat.
Když se podíváš do logu Mikrotiku, tak je to neustálý proud pokusů, které testují z různých adres port po portu, jestli se něco nechytne. A když se chytne NAS a oni se tam navíc dostanou...
prosím, moc prosím.
Všechno to sbal a odnes někomu, kdo alespoň rámcově chápe počítačovou bezpečnost, ať to celé zabezpečí, tebe zbaví admin práv a pak ti to předá.
Pokud ti nedošlo, že kompromitace NASu kryptovacím ransomwarem znamená i to, že jej KDOKOLI mohl zneužít k čemukoli. V NASu je totiž (podobně jako v Raspberry) Linux. To je v dnešní době nejmocnější operační systém jaký existuje, tudíž pokud jsi jej svou neschnopností, lajdáctvím a ignorantstvím nechal kompromitovat, je velmi zpozdilé řešit nějaké Windows!
Opakuju to tady pořád dokolečka: (žádný) NAS nepatří na internet! Ty ses spoléhal na to, že výrobce jej má dobře zabezpečený. Výrobce se zase spoléhal, že uživatel je lama, která nezvládne forwardovat porty a/nebo že je poučený z pohledu bezpečnosti. Výsledek je tenhle "případ." A nebuď na omylu: není to jen tvá věc. Kvůli lidem jako jsi ty, kteří zvysoka serou na bezpečnost, se po internetu potulují script kiddies, kteří kvůli své tuposti a neschopnosti útočí právě na tyhle jednoduché cíle (a zřejmě jsou úspěšní). Bohužel každý takto napadený systém je jen další nástroj pro další útoky, další kousek do stádečka botnetu.
edit: a tvůj postup je samozřejmě úplně chybný. Nejprve musíš odstranit příčinu, tj. díru ve firewallu, protože do té doby je možné ten NAS kompromitovat jednoduše znova a znova. Teprve až budeš mít zabezpečenou síť, můžeš "opravovat" NAS.