Problém se čtením souborů na cloudu
Dobrý den.
Předem se omlouvám, pokud jsem nezvolil správnou kategorii.
Vypadá to tak, že jsem se stal cílem nějaké hackerské skupiny, možná se pletu, doufám, že se pletu.
Na mém osobním cloudu, už pár dnů nefunguje přehrávání videí, které tam mám. Nefunguje spouštění MP3 souborů ani prohlížení fotek.
Dnes jsem si v úvodní složce cloudu všiml nového textového souboru.
"_FILES_ENCRYPTED_README"
(opatrně při klikání na odkazy, kdo ví kam to vede)
All your files have been encrypted using strong encryption!
To view the website you need to download the OpenBazaar application from: https://openbazaar.org/download/
You can then visit the store via this url: ob://QmcVHJWngBD67hhqXipFvhHcgv1RYLBGcpthew7d9pC3rq/store
We are also reachable via these instant messaging softwares:
toxchat: https://tox.chat/download.html
User ID: AE737ECB916BE24B41543BAD5B24710C5B9DB701592013A6EBBCC0A544931E6145C7D950B82F
bitmessage: https://bitmessage.org/wiki/Main_Page
User ID: BM-NBcQxmkfyoVxSRE8WJQqEbXw1s63CMEq
Kind regards from the Cr1ptT0r team.
Myslíte si že mám šanci na záchranu souborů, nebo rovnou formát? V zařízení mám 2x 3TB disky, zapojené tak, že se obsah klonuje, z důvodu možné poruchy jednoho z HDD.
Děkuji za jakoukoli reakci.
Takže je to IMHO potvrzeno, jde o útok z inetu na neopatchovaný NAS. Daleko horší je, že malware běží přímo na NASu.
https://www.bleepingcomputer.com/news/security/cr1ptt0r-ransomware-infects-d-link-nas-devices-targets-embedded-systems/
Je tam i security advisory od D-Linku.
Ah to jsem se dozvědet nechtěl.
Takže jediné východisko, 1. format disků, 2. aktualizace firmware NASu, 3. zablokování přístupu z internetu?
Platit žádné bitcoiny nebudu. Nebo jiný postup? Děkuju.
4. Ověřit, kam všude se nákaza z NAS rozšířila po domácí síti. Napadený NAS nemusí být konečná.
No já reagoval na pprvní příspěvek že oba dva PC jsem uvedenými programy prověřil, můžu to udělat poté znovu. Dále mám na síti tiskárnu, té se to snad netýká, a RaspberryPi, na ní ale neni Windows takže doufám že ten nijak řešit nemusím.
//edit: Myslíte že s tím může souviset zpráva, kterou mi poslal před pár dny můj provider internetu?
jestli je "194.211.70.117" wan adresa tvého mikrotiku, pak zatím nevíš kterého zařízení se incident týká.
vir (jednoduchý script) může běžet jak na některém domácím pc, tak mohl napadnout děravý firmware nasu nebo zneužít otevřený přístup nasu do netu.
data z nasky jsi kontroloval? myslím fotky a videa (dokumenty teď raději ne). je to proto, ať dokážeš určit rozsah poškození.
o ostatních domácích pc nepíšeš, leda raspberry, to bych taky nechal nakonec.
domácí pc jsi skenoval jiným antivirem, než který používáš a který si ničeho nevšiml? doporučuju nějaký live na boot cd/usb:
https://free.drweb.com/aid_admin/?lng=en
https://support.kaspersky.com/us/viruses/krd18 - nebo jejich kvrt pod windows, když nemáš flashku.
antivir.
superantispyware mi přijde poněkud zastaralý, ale už jsem ho hodně dlouho neviděl.
progresívnější co do kontroly mi přišel adwclenaer. ovšem na nákazu tohoto typu žádný z nich nestačí, nanejvýš u tebe objeví nějaký downloader.
Data v NASu jsem zběžně zkontroloval, nenašel jsem žádný funkční soubor, ať už video, audio, fotky nebo i ten dokument. Takže jsem provedl kompletní formát + aktualizaci firmware.
Ostatní PC jsem projel programy viz první příspěvek.
Ještě jsem neudělal boot USB disk s Dr.Web - ISO. Snad stihnu dnes.
5 programů nic nenašlo, čili výhercem byla napadená naska.
tak snad neotevírat do netu a nenechávat na routeru/nasce defaultní hesla.
Heslo defaultní není, ale stejně jsem raději změnil. Vypnul jsem DNS a ještě si musím vzpomenout jaké porty vypnout, některé totiž využívám v raspberryPi.
Děkuji.
no třeba. já bych sice vypnul bránu, ale to je fuk.
oboje však platí jen pro případ, že už je naska něčím napadená a malware by se chtěl dál aktualizovat, nebo něco odesílat. samotné virové nákaze nasky to nijak nezabrání.
nejnovější dostupný firmware už tam asi máš a v příštím životě si koupíš něco od normálního výrobce (z domácích značek na našem trhu bych to viděl na qnap a synology). druhou možností je mít router, o který se výrobce stará a občas updatuješ firmware (z domácích značek asi jen mikrotik, ostatní výrobci homekrámů s podporou brzy končí).
Díky, aktualizuju i firmware mikrotiku, to mě nenapadlo.
To můžeš, ale především zamezit přístupu na tvůj NAS komukoliv zvenku.
Pokud potřebuješ přístup, tak port přesměrovat na nějaký nestandardní a ideálně omezit IP adresy, které tam mohou přistupovat.
Když se podíváš do logu Mikrotiku, tak je to neustálý proud pokusů, které testují z různých adres port po portu, jestli se něco nechytne. A když se chytne NAS a oni se tam navíc dostanou...
prosím, moc prosím.
Všechno to sbal a odnes někomu, kdo alespoň rámcově chápe počítačovou bezpečnost, ať to celé zabezpečí, tebe zbaví admin práv a pak ti to předá.
Pokud ti nedošlo, že kompromitace NASu kryptovacím ransomwarem znamená i to, že jej KDOKOLI mohl zneužít k čemukoli. V NASu je totiž (podobně jako v Raspberry) Linux. To je v dnešní době nejmocnější operační systém jaký existuje, tudíž pokud jsi jej svou neschnopností, lajdáctvím a ignorantstvím nechal kompromitovat, je velmi zpozdilé řešit nějaké Windows!
Opakuju to tady pořád dokolečka: (žádný) NAS nepatří na internet! Ty ses spoléhal na to, že výrobce jej má dobře zabezpečený. Výrobce se zase spoléhal, že uživatel je lama, která nezvládne forwardovat porty a/nebo že je poučený z pohledu bezpečnosti. Výsledek je tenhle "případ." A nebuď na omylu: není to jen tvá věc. Kvůli lidem jako jsi ty, kteří zvysoka serou na bezpečnost, se po internetu potulují script kiddies, kteří kvůli své tuposti a neschopnosti útočí právě na tyhle jednoduché cíle (a zřejmě jsou úspěšní). Bohužel každý takto napadený systém je jen další nástroj pro další útoky, další kousek do stádečka botnetu.
edit: a tvůj postup je samozřejmě úplně chybný. Nejprve musíš odstranit příčinu, tj. díru ve firewallu, protože do té doby je možné ten NAS kompromitovat jednoduše znova a znova. Teprve až budeš mít zabezpečenou síť, můžeš "opravovat" NAS.