Přidat otázku mezi oblíbenéZasílat nové odpovědi e-mailem Problém se čtením souborů na cloudu

Dobrý den.

Předem se omlouvám, pokud jsem nezvolil správnou kategorii.

Vypadá to tak, že jsem se stal cílem nějaké hackerské skupiny, možná se pletu, doufám, že se pletu.

Na mém osobním cloudu, už pár dnů nefunguje přehrávání videí, které tam mám. Nefunguje spouštění MP3 souborů ani prohlížení fotek.

Dnes jsem si v úvodní složce cloudu všiml nového textového souboru.
"_FILES_ENCRYPTED_README"
(opatrně při klikání na odkazy, kdo ví kam to vede)

All your files have been encrypted using strong encryption!

To view the website you need to download the OpenBazaar application from: https://openbazaar.org/download/
You can then visit the store via this url: ob://QmcVHJWngBD67hhqXipFvhHcgv1RYLBGcpthew7d9pC3rq/store

We are also reachable via these instant messaging softwares:

toxchat: https://tox.chat/download.html
User ID: AE737ECB916BE24B41543BAD5B24710C5B9DB701592013A6EBBCC0A544931E6145C7D950B82F

bitmessage: https://bitmessage.org/wiki/Main_Page
User ID: BM-NBcQxmkfyoVxSRE8WJQqEbXw1s63CMEq

Kind regards from the Cr1ptT0r team.

Myslíte si že mám šanci na záchranu souborů, nebo rovnou formát? V zařízení mám 2x 3TB disky, zapojené tak, že se obsah klonuje, z důvodu možné poruchy jednoho z HDD.

Děkuji za jakoukoli reakci.

Jsou zobrazeny jen nové odpovědi. Zobrazit všechny
Předmět Autor Datum
Takže je to IMHO potvrzeno, jde o útok z inetu na neopatchovaný NAS. Daleko horší je, že malware běž…
touchwood 05.03.2019 12:08
touchwood
Ah to jsem se dozvědet nechtěl. Description of Security Issue: If the NAS is sucessful attacked it…
Dok 05.03.2019 13:39
Dok
4. Ověřit, kam všude se nákaza z NAS rozšířila po domácí síti. Napadený NAS nemusí být konečná.
L-Core 05.03.2019 13:43
L-Core
No já reagoval na pprvní příspěvek že oba dva PC jsem uvedenými programy prověřil, můžu to udělat po…
Dok 05.03.2019 14:38
Dok
jestli je "194.211.70.117" wan adresa tvého mikrotiku, pak zatím nevíš kterého zařízení se incident…
lední brtník 05.03.2019 22:39
lední brtník
Data v NASu jsem zběžně zkontroloval, nenašel jsem žádný funkční soubor, ať už video, audio, fotky n…
Dok 06.03.2019 19:11
Dok
5 programů nic nenašlo, čili výhercem byla napadená naska. tak snad neotevírat do netu a nenechávat…
lední brtník 06.03.2019 22:21
lední brtník
Heslo defaultní není, ale stejně jsem raději změnil. Vypnul jsem DNS a ještě si musím vzpomenout jak…
Dok 07.03.2019 19:12
Dok
Vypnul jsem DNS no třeba. já bych sice vypnul bránu, ale to je fuk. oboje však platí jen pro případ…
lední brtník 07.03.2019 21:27
lední brtník
Díky, aktualizuju i firmware mikrotiku, to mě nenapadlo.
Dok 07.03.2019 21:38
Dok
To můžeš, ale především zamezit přístupu na tvůj NAS komukoliv zvenku. Pokud potřebuješ přístup, tak… poslední
Jan Fiala 11.03.2019 13:39
Jan Fiala

Ah to jsem se dozvědet nechtěl.

Description of Security Issue:

If the NAS is sucessful attacked it will encrypt file and demand the user pay a fee to have the decrypted. Please upgrade to the latest firmware for your model. The only known way for these type of ransomware can be mitigated is to reformat you entire NAS which will result in the loss of all stored information.

Takže jediné východisko, 1. format disků, 2. aktualizace firmware NASu, 3. zablokování přístupu z internetu?

Platit žádné bitcoiny nebudu. Nebo jiný postup? Děkuju.

No já reagoval na pprvní příspěvek že oba dva PC jsem uvedenými programy prověřil, můžu to udělat poté znovu. Dále mám na síti tiskárnu, té se to snad netýká, a RaspberryPi, na ní ale neni Windows takže doufám že ten nijak řešit nemusím.

//edit: Myslíte že s tím může souviset zpráva, kterou mi poslal před pár dny můj provider internetu?

Dobry den, jde o Vami vyuzivanou IP dresu.
Dejte to prosim do poradku.

Dekuji

--
Hlášení bezpečnostního incidentu

Dobrý den,
bezpečnostní tým CSIRT-MU detekoval zapojení IP adresy 194.211.70.117 do následujícího incidentu:

Typ incidentu: Skenování portů
Čas detekce: 2019-02-14 20:50:00 +0100
IP adresa: 194.211.70.117
Doménové jméno: ---

Detaily incidentu
Podrobné informace o incidentu jsou dostupné na našem bezpečnostním portálu.
Z důvodu závažnosti tohoto incidentu došlo k zablokování IP adresy 194.211.70.117 na dobu 14 dnů. Blokování bylo provedeno za účelem ochrany sítě a podmínkou pro předčasné odblokování je vyřešení bezpečnostního problému, který k zablokování vedl.

Popis incidentu
Skenováním portů se počítač snaží kontaktovat ostatní počítače v síti a zjistit tak, jaké služby jsou v síti dostupné. Skenování nemůže uživatel provést omylem a jen zřídkakdy jej provádí zkušení uživatelé zá! měrně. Tato aktivita v drtivé většině případů znamená, že je daný počítač nakažen virem či jiným škodlivým kódem nebo provozuje chybně nastavenou službu.

Řešení incidentu
Důrazně doporučujeme zkontrolovat počítač pomocí aktualizovaného antivirového software, případně zkontrolovat nastavení síťových služeb.
Jak nejlépe komunikovat s bezpečnostním týmem CSIRT-MU?

Prověřte prosím zdroj incidentu a postarejte se o nápravu. O výsledku nás do 5 pracovních dnů informujte.

S pozdravem

CSIRT-MU
Bezpečnostní tým Masarykovy univerzity
https://csirt.muni.cz

jestli je "194.211.70.117" wan adresa tvého mikrotiku, pak zatím nevíš kterého zařízení se incident týká.
vir (jednoduchý script) může běžet jak na některém domácím pc, tak mohl napadnout děravý firmware nasu nebo zneužít otevřený přístup nasu do netu.

data z nasky jsi kontroloval? myslím fotky a videa (dokumenty teď raději ne). je to proto, ať dokážeš určit rozsah poškození.
o ostatních domácích pc nepíšeš, leda raspberry, to bych taky nechal nakonec.

domácí pc jsi skenoval jiným antivirem, než který používáš a který si ničeho nevšiml? doporučuju nějaký live na boot cd/usb:
https://free.drweb.com/aid_admin/?lng=en
https://support.kaspersky.com/us/viruses/krd18 - nebo jejich kvrt pod windows, když nemáš flashku.

Nevím co je to AV

antivir.

superantispyware mi přijde poněkud zastaralý, ale už jsem ho hodně dlouho neviděl.
progresívnější co do kontroly mi přišel adwclenaer. ovšem na nákazu tohoto typu žádný z nich nestačí, nanejvýš u tebe objeví nějaký downloader.

Data v NASu jsem zběžně zkontroloval, nenašel jsem žádný funkční soubor, ať už video, audio, fotky nebo i ten dokument. Takže jsem provedl kompletní formát + aktualizaci firmware.
Ostatní PC jsem projel programy viz první příspěvek.

MBAM, Adwcleaner, RougeKiller x64 - portable, Hitman Pro, Superantispyware. Vším prolustrovány oba PC v domácnosti.

Ještě jsem neudělal boot USB disk s Dr.Web - ISO. Snad stihnu dnes.

Vypnul jsem DNS

no třeba. já bych sice vypnul bránu, ale to je fuk.
oboje však platí jen pro případ, že už je naska něčím napadená a malware by se chtěl dál aktualizovat, nebo něco odesílat. samotné virové nákaze nasky to nijak nezabrání.

nejnovější dostupný firmware už tam asi máš a v příštím životě si koupíš něco od normálního výrobce (z domácích značek na našem trhu bych to viděl na qnap a synology). druhou možností je mít router, o který se výrobce stará a občas updatuješ firmware (z domácích značek asi jen mikrotik, ostatní výrobci homekrámů s podporou brzy končí).

To můžeš, ale především zamezit přístupu na tvůj NAS komukoliv zvenku.
Pokud potřebuješ přístup, tak port přesměrovat na nějaký nestandardní a ideálně omezit IP adresy, které tam mohou přistupovat.
Když se podíváš do logu Mikrotiku, tak je to neustálý proud pokusů, které testují z různých adres port po portu, jestli se něco nechytne. A když se chytne NAS a oni se tam navíc dostanou...

Zpět do poradny Odpovědět na původní otázku Nahoru