Problém se čtením souborů na cloudu

Takže je to IMHO potvrzeno, jde o útok z inetu na neopatchovaný NAS. Daleko horší je, že malware běží přímo na NASu.

https://www.bleepingcomputer.com/news/security/cr1ptt0r-ransomware-infects-d-link-nas-devices-targets-embedded-systems/

Je tam i security advisory od D-Linku.

Ah to jsem se dozvědet nechtěl.

Description of Security Issue:

If the NAS is sucessful attacked it will encrypt file and demand the user pay a fee to have the decrypted. Please upgrade to the latest firmware for your model. The only known way for these type of ransomware can be mitigated is to reformat you entire NAS which will result in the loss of all stored information.

Takže jediné východisko, 1. format disků, 2. aktualizace firmware NASu, 3. zablokování přístupu z internetu?

Platit žádné bitcoiny nebudu. Nebo jiný postup? Děkuju.

4. Ověřit, kam všude se nákaza z NAS rozšířila po domácí síti. Napadený NAS nemusí být konečná.

No já reagoval na pprvní příspěvek že oba dva PC jsem uvedenými programy prověřil, můžu to udělat poté znovu. Dále mám na síti tiskárnu, té se to snad netýká, a RaspberryPi, na ní ale neni Windows takže doufám že ten nijak řešit nemusím.

//edit: Myslíte že s tím může souviset zpráva, kterou mi poslal před pár dny můj provider internetu?

Dobry den, jde o Vami vyuzivanou IP dresu.
Dejte to prosim do poradku.

Dekuji

--
Hlášení bezpečnostního incidentu

Dobrý den,
bezpečnostní tým CSIRT-MU detekoval zapojení IP adresy 194.211.70.117 do následujícího incidentu:

Typ incidentu: Skenování portů
Čas detekce: 2019-02-14 20:50:00 +0100
IP adresa: 194.211.70.117
Doménové jméno: ---

Detaily incidentu
Podrobné informace o incidentu jsou dostupné na našem bezpečnostním portálu.
Z důvodu závažnosti tohoto incidentu došlo k zablokování IP adresy 194.211.70.117 na dobu 14 dnů. Blokování bylo provedeno za účelem ochrany sítě a podmínkou pro předčasné odblokování je vyřešení bezpečnostního problému, který k zablokování vedl.

Popis incidentu
Skenováním portů se počítač snaží kontaktovat ostatní počítače v síti a zjistit tak, jaké služby jsou v síti dostupné. Skenování nemůže uživatel provést omylem a jen zřídkakdy jej provádí zkušení uživatelé zá! měrně. Tato aktivita v drtivé většině případů znamená, že je daný počítač nakažen virem či jiným škodlivým kódem nebo provozuje chybně nastavenou službu.

Řešení incidentu
Důrazně doporučujeme zkontrolovat počítač pomocí aktualizovaného antivirového software, případně zkontrolovat nastavení síťových služeb.
Jak nejlépe komunikovat s bezpečnostním týmem CSIRT-MU?

Prověřte prosím zdroj incidentu a postarejte se o nápravu. O výsledku nás do 5 pracovních dnů informujte.

S pozdravem

CSIRT-MU
Bezpečnostní tým Masarykovy univerzity
https://csirt.muni.cz

jestli je "194.211.70.117" wan adresa tvého mikrotiku, pak zatím nevíš kterého zařízení se incident týká.
vir (jednoduchý script) může běžet jak na některém domácím pc, tak mohl napadnout děravý firmware nasu nebo zneužít otevřený přístup nasu do netu.

data z nasky jsi kontroloval? myslím fotky a videa (dokumenty teď raději ne). je to proto, ať dokážeš určit rozsah poškození.
o ostatních domácích pc nepíšeš, leda raspberry, to bych taky nechal nakonec.

domácí pc jsi skenoval jiným antivirem, než který používáš a který si ničeho nevšiml? doporučuju nějaký live na boot cd/usb:
https://free.drweb.com/aid_admin/?lng=en
https://support.kaspersky.com/us/viruses/krd18 - nebo jejich kvrt pod windows, když nemáš flashku.

Nevím co je to AV

antivir.

superantispyware mi přijde poněkud zastaralý, ale už jsem ho hodně dlouho neviděl.
progresívnější co do kontroly mi přišel adwclenaer. ovšem na nákazu tohoto typu žádný z nich nestačí, nanejvýš u tebe objeví nějaký downloader.

Data v NASu jsem zběžně zkontroloval, nenašel jsem žádný funkční soubor, ať už video, audio, fotky nebo i ten dokument. Takže jsem provedl kompletní formát + aktualizaci firmware.
Ostatní PC jsem projel programy viz první příspěvek.

MBAM, Adwcleaner, RougeKiller x64 - portable, Hitman Pro, Superantispyware. Vším prolustrovány oba PC v domácnosti.

Ještě jsem neudělal boot USB disk s Dr.Web - ISO. Snad stihnu dnes.

5 programů nic nenašlo, čili výhercem byla napadená naska.
tak snad neotevírat do netu a nenechávat na routeru/nasce defaultní hesla.

Heslo defaultní není, ale stejně jsem raději změnil. Vypnul jsem DNS a ještě si musím vzpomenout jaké porty vypnout, některé totiž využívám v raspberryPi.

Děkuji.

Vypnul jsem DNS

no třeba. já bych sice vypnul bránu, ale to je fuk.
oboje však platí jen pro případ, že už je naska něčím napadená a malware by se chtěl dál aktualizovat, nebo něco odesílat. samotné virové nákaze nasky to nijak nezabrání.

nejnovější dostupný firmware už tam asi máš a v příštím životě si koupíš něco od normálního výrobce (z domácích značek na našem trhu bych to viděl na qnap a synology). druhou možností je mít router, o který se výrobce stará a občas updatuješ firmware (z domácích značek asi jen mikrotik, ostatní výrobci homekrámů s podporou brzy končí).

Díky, aktualizuju i firmware mikrotiku, to mě nenapadlo.

To můžeš, ale především zamezit přístupu na tvůj NAS komukoliv zvenku.
Pokud potřebuješ přístup, tak port přesměrovat na nějaký nestandardní a ideálně omezit IP adresy, které tam mohou přistupovat.
Když se podíváš do logu Mikrotiku, tak je to neustálý proud pokusů, které testují z různých adres port po portu, jestli se něco nechytne. A když se chytne NAS a oni se tam navíc dostanou...