Přidat otázku mezi oblíbenéZasílat nové odpovědi e-mailem Problém se čtením souborů na cloudu

Dobrý den.

Předem se omlouvám, pokud jsem nezvolil správnou kategorii.

Vypadá to tak, že jsem se stal cílem nějaké hackerské skupiny, možná se pletu, doufám, že se pletu.

Na mém osobním cloudu, už pár dnů nefunguje přehrávání videí, které tam mám. Nefunguje spouštění MP3 souborů ani prohlížení fotek.

Dnes jsem si v úvodní složce cloudu všiml nového textového souboru.
"_FILES_ENCRYPTED_README"
(opatrně při klikání na odkazy, kdo ví kam to vede)

All your files have been encrypted using strong encryption!

To view the website you need to download the OpenBazaar application from: https://openbazaar.org/download/
You can then visit the store via this url: ob://QmcVHJWngBD67hhqXipFvhHcgv1RYLBGcpthew7d9pC3rq/store

We are also reachable via these instant messaging softwares:

toxchat: https://tox.chat/download.html
User ID: AE737ECB916BE24B41543BAD5B24710C5B9DB701592013A6EBBCC0A544931E6145C7D950B82F

bitmessage: https://bitmessage.org/wiki/Main_Page
User ID: BM-NBcQxmkfyoVxSRE8WJQqEbXw1s63CMEq

Kind regards from the Cr1ptT0r team.

Myslíte si že mám šanci na záchranu souborů, nebo rovnou formát? V zařízení mám 2x 3TB disky, zapojené tak, že se obsah klonuje, z důvodu možné poruchy jednoho z HDD.

Děkuji za jakoukoli reakci.

Předmět Autor Datum
https://lnk.sk/aAD2 Prelustruj: MBAM, Adwcleaner, RougeKiller x64 - portable. Chce to tiež z exter…
Nuda 05.03.2019 05:55
Nuda
MBAM, Adwcleaner, RougeKiller x64 - portable, Hitman Pro. Vším prolustrovány oba PC v domácnosti. J…
Dok 05.03.2019 11:53
Dok
co je to ten "osobní cloud"? Myslíš domácí NAS? Podle všeho máš buď některý z domácích PC, které ma…
touchwood 05.03.2019 05:57
touchwood
Ano, myslím tím domácí NAS. Ten je zapojený v routeru TPlink, ten je zapojen jako switch, přes hlavn…
Dok 05.03.2019 10:31
Dok
hackerská skupina na tebe zvysoka @#$%, pravděpodobně sis to zaviroval sám. prohlédni si své disky n…
lední brtník 05.03.2019 08:17
lední brtník
Je možné, že když jsem cloud pořídil, snažil jsem se ho zpřístupnit z internetu, ani nevím jestli se…
Dok 05.03.2019 10:26
Dok
Doufám že tohle jako zabezpečení proti hackerům stačí. vs. Je možné, že když jsem cloud pořídil, s…
touchwood 05.03.2019 10:50
touchwood
Pokud je to NAS typu WD My něco, tak tohle opravdu není určeno na vystrčení do internetu.
Jan Fiala 05.03.2019 11:20
Jan Fiala
Mám tohle D-link DNS 327L + 2x WD RED. Je pravda že funkci vzdáleného připojení nevyužívám a pokusí…
Dok 05.03.2019 11:58
Dok
Takže je to IMHO potvrzeno, jde o útok z inetu na neopatchovaný NAS. Daleko horší je, že malware běž…
touchwood 05.03.2019 12:08
touchwood
Ah to jsem se dozvědet nechtěl. Description of Security Issue: If the NAS is sucessful attacked it…
Dok 05.03.2019 13:39
Dok
4. Ověřit, kam všude se nákaza z NAS rozšířila po domácí síti. Napadený NAS nemusí být konečná.
L-Core 05.03.2019 13:43
L-Core
No já reagoval na pprvní příspěvek že oba dva PC jsem uvedenými programy prověřil, můžu to udělat po…
Dok 05.03.2019 14:38
Dok
Tato aktivita v drtivé většině případů znamená, že je daný počítač nakažen virem či jiným škodlivým…
jirka44 05.03.2019 17:42
jirka44
Já se ptám jestli to nemůže být nějak provázané, na tohle mi antivirový program ani antispyware nic…
Dok 05.03.2019 17:57
Dok
Ale to už Vám přeci vysvětlil touchwood nahoře ve 12:08. Četl jste vůbec jeho odkaz? The malware dr…
jirka44 05.03.2019 18:13
jirka44
jestli je "194.211.70.117" wan adresa tvého mikrotiku, pak zatím nevíš kterého zařízení se incident…
lední brtník 05.03.2019 22:39
lední brtník
Data v NASu jsem zběžně zkontroloval, nenašel jsem žádný funkční soubor, ať už video, audio, fotky n…
Dok 06.03.2019 19:11
Dok
5 programů nic nenašlo, čili výhercem byla napadená naska. tak snad neotevírat do netu a nenechávat…
lední brtník 06.03.2019 22:21
lední brtník
Heslo defaultní není, ale stejně jsem raději změnil. Vypnul jsem DNS a ještě si musím vzpomenout jak…
Dok 07.03.2019 19:12
Dok
Vypnul jsem DNS no třeba. já bych sice vypnul bránu, ale to je fuk. oboje však platí jen pro případ…
lední brtník 07.03.2019 21:27
lední brtník
Díky, aktualizuju i firmware mikrotiku, to mě nenapadlo.
Dok 07.03.2019 21:38
Dok
To můžeš, ale především zamezit přístupu na tvůj NAS komukoliv zvenku. Pokud potřebuješ přístup, tak… poslední
Jan Fiala 11.03.2019 13:39
Jan Fiala
prosím, moc prosím. Všechno to sbal a odnes někomu, kdo alespoň rámcově chápe počítačovou bezpečnos…
touchwood 06.03.2019 08:20
touchwood

https://lnk.sk/aAD2

Prelustruj: MBAM, Adwcleaner, RougeKiller x64 - portable.

Chce to tiež z externého média použiť na dáta hĺbkovú forenznú kontrolu: Dr.Web ISO - live dvd.
https://free.drweb.com/aid_admin/?lng=en

SW na vytvorenie flešky, multiboot z AV typu Live-SysRescue:
https://www.pendrivelinux.com/yumi-multiboot-usb-creator/

Môže ísť iba o hoax. Tie odkazy sú čisté, bežný SW.

Určite používaš nejaký nepriestrelný, vynikajúci, bezkonkurenčný AV, ak sa nemýlim.

Dnes tieto AV šmejdy výhradne systémom škodia.
Zadaj do vyhľadávača tieto slová: payload veil evasion shell, pritom sa cestou Kali zopár riadkami v Python zasrani nudia za svojimi PC rozposielaním infikovaných príloh k mailom.

MBAM, Adwcleaner, RougeKiller x64 - portable, Hitman Pro. Vším prolustrovány oba PC v domácnosti.

Ještě spustím SuperAntiSpyware, zatím se mi stahuje ten Dr.Web ISO, akorát ne live DVD, ale druhá verze na USB disk. CD mechaniku bych musel shánět, ta co mám je nefunkční a odpojena.
Snad se mi podaří z USB disku nabootovat, už to je nějaká doba co jsem tyhle věci dělal naposled.

Zeptám se, ohledně....

SW na vytvorenie flešky, multiboot z AV typu Live-SysRescue:
https://www.pendrivelinux.com/yumi-multiboot-usb-creator/

.... Co to je? To je jen nástroj na vytvoření bootovatelného USB disku? Pokud ano, Dr.web si ho asi vytvoří sám, ne?
Drweb.com Bod 4. To create a bootable USB flash drive, click Create Dr.Web LiveDisk.

co je to ten "osobní cloud"? Myslíš domácí NAS?

Podle všeho máš buď některý z domácích PC, které mají přístup k datům, zavirovaný kryptomalwarem (a další překvapení budou následovat), NEBO jsi ten svůj "osobní cloud" otevřel hackerům na internetu (případně je v něm neošetřená chyba). Bez podrobností lze jen hádat.

Obnova dat je téměř nemožná, pokud náhodou není k dispozici dekryptor.

P.S.: našel jsem thread, kde někdo vyexploitoval NAS od D-linku (jehož majitel bláznivě otevřel porty do inetu: https://www.bleepingcomputer.com/forums/t/691852/cr1ptt0r-ransomware-files-encrypted-readmetxt-support-topic/page-6)

hackerská skupina na tebe zvysoka @#$%, pravděpodobně sis to zaviroval sám. prohlédni si své disky na pc, viz tw.
dobrá připomínka: dnes je módní ukládat záznamy z kamer na nasku a chtít si je zpřístupnit přes net. toto bývá důsledek.

druhá možná cesta:

Určite používaš nejaký nepriestrelný, vynikajúci, bezkonkurenčný AV

ano, spoléhání se na tyto sračky vede přesně k takovým koncům. takže i po zformátování domácí nasky si ji zaviruješ znovu.

detekce a teoretické pokusy o odstranění: nějaké nástroje má kaspersky, bitdefender,
ale vzhledem k volné publikaci původních zdrojáků a k modifikaci kdejakou lamou budeš mít spíš smůlu.

nedá se úplně vyloučit "sociální" virus, že soubory na discích jsou čisté, jen místo adware ti podvržený doplněk chrome stahuje a rozesílá tyto textové soubory, ale nespoléhal bych na to.

Je možné, že když jsem cloud pořídil, snažil jsem se ho zpřístupnit z internetu, ani nevím jestli se mi to tehda povedlo, tuhle funkci jsem rychle opustil, možná jsem ji zpětně nezablokoval.

Nevím co je to AV, myslím že žádné specialitky nepoužívám. Jestli antivirus, tak nemám žádný, čas od času jen PC oskenuju programem SuperAntiSpyware.

Doufám že tohle jako zabezpečení proti hackerům stačí.

vs.

Je možné, že když jsem cloud pořídil, snažil jsem se ho zpřístupnit z internetu, ani nevím jestli se mi to tehda povedlo, tuhle funkci jsem rychle opustil, možná jsem ji zpětně nezablokoval.

OMG.
Značku, typ, verzi firmware ... neznáme.
Co jsi kutil s routerem ... neznáme.

Můžu jenom říct, že jsi dobrý střelec a že něco takového muselo zákonitě přijít.

Ah to jsem se dozvědet nechtěl.

Description of Security Issue:

If the NAS is sucessful attacked it will encrypt file and demand the user pay a fee to have the decrypted. Please upgrade to the latest firmware for your model. The only known way for these type of ransomware can be mitigated is to reformat you entire NAS which will result in the loss of all stored information.

Takže jediné východisko, 1. format disků, 2. aktualizace firmware NASu, 3. zablokování přístupu z internetu?

Platit žádné bitcoiny nebudu. Nebo jiný postup? Děkuju.

No já reagoval na pprvní příspěvek že oba dva PC jsem uvedenými programy prověřil, můžu to udělat poté znovu. Dále mám na síti tiskárnu, té se to snad netýká, a RaspberryPi, na ní ale neni Windows takže doufám že ten nijak řešit nemusím.

//edit: Myslíte že s tím může souviset zpráva, kterou mi poslal před pár dny můj provider internetu?

Dobry den, jde o Vami vyuzivanou IP dresu.
Dejte to prosim do poradku.

Dekuji

--
Hlášení bezpečnostního incidentu

Dobrý den,
bezpečnostní tým CSIRT-MU detekoval zapojení IP adresy 194.211.70.117 do následujícího incidentu:

Typ incidentu: Skenování portů
Čas detekce: 2019-02-14 20:50:00 +0100
IP adresa: 194.211.70.117
Doménové jméno: ---

Detaily incidentu
Podrobné informace o incidentu jsou dostupné na našem bezpečnostním portálu.
Z důvodu závažnosti tohoto incidentu došlo k zablokování IP adresy 194.211.70.117 na dobu 14 dnů. Blokování bylo provedeno za účelem ochrany sítě a podmínkou pro předčasné odblokování je vyřešení bezpečnostního problému, který k zablokování vedl.

Popis incidentu
Skenováním portů se počítač snaží kontaktovat ostatní počítače v síti a zjistit tak, jaké služby jsou v síti dostupné. Skenování nemůže uživatel provést omylem a jen zřídkakdy jej provádí zkušení uživatelé zá! měrně. Tato aktivita v drtivé většině případů znamená, že je daný počítač nakažen virem či jiným škodlivým kódem nebo provozuje chybně nastavenou službu.

Řešení incidentu
Důrazně doporučujeme zkontrolovat počítač pomocí aktualizovaného antivirového software, případně zkontrolovat nastavení síťových služeb.
Jak nejlépe komunikovat s bezpečnostním týmem CSIRT-MU?

Prověřte prosím zdroj incidentu a postarejte se o nápravu. O výsledku nás do 5 pracovních dnů informujte.

S pozdravem

CSIRT-MU
Bezpečnostní tým Masarykovy univerzity
https://csirt.muni.cz

jestli je "194.211.70.117" wan adresa tvého mikrotiku, pak zatím nevíš kterého zařízení se incident týká.
vir (jednoduchý script) může běžet jak na některém domácím pc, tak mohl napadnout děravý firmware nasu nebo zneužít otevřený přístup nasu do netu.

data z nasky jsi kontroloval? myslím fotky a videa (dokumenty teď raději ne). je to proto, ať dokážeš určit rozsah poškození.
o ostatních domácích pc nepíšeš, leda raspberry, to bych taky nechal nakonec.

domácí pc jsi skenoval jiným antivirem, než který používáš a který si ničeho nevšiml? doporučuju nějaký live na boot cd/usb:
https://free.drweb.com/aid_admin/?lng=en
https://support.kaspersky.com/us/viruses/krd18 - nebo jejich kvrt pod windows, když nemáš flashku.

Nevím co je to AV

antivir.

superantispyware mi přijde poněkud zastaralý, ale už jsem ho hodně dlouho neviděl.
progresívnější co do kontroly mi přišel adwclenaer. ovšem na nákazu tohoto typu žádný z nich nestačí, nanejvýš u tebe objeví nějaký downloader.

Data v NASu jsem zběžně zkontroloval, nenašel jsem žádný funkční soubor, ať už video, audio, fotky nebo i ten dokument. Takže jsem provedl kompletní formát + aktualizaci firmware.
Ostatní PC jsem projel programy viz první příspěvek.

MBAM, Adwcleaner, RougeKiller x64 - portable, Hitman Pro, Superantispyware. Vším prolustrovány oba PC v domácnosti.

Ještě jsem neudělal boot USB disk s Dr.Web - ISO. Snad stihnu dnes.

Vypnul jsem DNS

no třeba. já bych sice vypnul bránu, ale to je fuk.
oboje však platí jen pro případ, že už je naska něčím napadená a malware by se chtěl dál aktualizovat, nebo něco odesílat. samotné virové nákaze nasky to nijak nezabrání.

nejnovější dostupný firmware už tam asi máš a v příštím životě si koupíš něco od normálního výrobce (z domácích značek na našem trhu bych to viděl na qnap a synology). druhou možností je mít router, o který se výrobce stará a občas updatuješ firmware (z domácích značek asi jen mikrotik, ostatní výrobci homekrámů s podporou brzy končí).

To můžeš, ale především zamezit přístupu na tvůj NAS komukoliv zvenku.
Pokud potřebuješ přístup, tak port přesměrovat na nějaký nestandardní a ideálně omezit IP adresy, které tam mohou přistupovat.
Když se podíváš do logu Mikrotiku, tak je to neustálý proud pokusů, které testují z různých adres port po portu, jestli se něco nechytne. A když se chytne NAS a oni se tam navíc dostanou...

prosím, moc prosím.

Všechno to sbal a odnes někomu, kdo alespoň rámcově chápe počítačovou bezpečnost, ať to celé zabezpečí, tebe zbaví admin práv a pak ti to předá.

Pokud ti nedošlo, že kompromitace NASu kryptovacím ransomwarem znamená i to, že jej KDOKOLI mohl zneužít k čemukoli. V NASu je totiž (podobně jako v Raspberry) Linux. To je v dnešní době nejmocnější operační systém jaký existuje, tudíž pokud jsi jej svou neschnopností, lajdáctvím a ignorantstvím nechal kompromitovat, je velmi zpozdilé řešit nějaké Windows!

Opakuju to tady pořád dokolečka: (žádný) NAS nepatří na internet! Ty ses spoléhal na to, že výrobce jej má dobře zabezpečený. Výrobce se zase spoléhal, že uživatel je lama, která nezvládne forwardovat porty a/nebo že je poučený z pohledu bezpečnosti. Výsledek je tenhle "případ." A nebuď na omylu: není to jen tvá věc. Kvůli lidem jako jsi ty, kteří zvysoka serou na bezpečnost, se po internetu potulují script kiddies, kteří kvůli své tuposti a neschopnosti útočí právě na tyhle jednoduché cíle (a zřejmě jsou úspěšní). Bohužel každý takto napadený systém je jen další nástroj pro další útoky, další kousek do stádečka botnetu.

edit: a tvůj postup je samozřejmě úplně chybný. Nejprve musíš odstranit příčinu, tj. díru ve firewallu, protože do té doby je možné ten NAS kompromitovat jednoduše znova a znova. Teprve až budeš mít zabezpečenou síť, můžeš "opravovat" NAS.

Zpět do poradny Odpovědět na původní otázku Nahoru