Cosa c'è di nuovo?
HWReload

Registrati e partecipa alle attività del forum

Qnap Nas ts-212 infetto da ransomware .encrypted

mtguido

Utente
Iscritto dal:
19 Aprile 2021
Messaggi
41
Buonasera,
oggi ho aperto da iphone l'app Qfile per recuperare un file sul mio nas Qnap ts-212. Con mia grande sorpresa mi sono ritrovato tutti i file con estensione .encrypted. In ogni cartella era presente un fle "README_FOR_DECRYPT.txtt". All'interno dello stesso indicazioni per collegarsi ad un sito internet per scoprire con decriptare i file. Chiaramente non ho aperto il sito.

Sono corso a staccare il nas dalla rete e ho subito staccato anche l'hard disk esterno collegato al nas dove effettuo i backup settimanali dei dati del nas.
Successivamente ho verificato lo stato dei due computer di casa e al momento sembrerebbero non essere stati attaccati (ho fatto una passata con malwarebytes).

Poi ho voluto controllare lo stato del disco esterno del nas, quello dei backup, per scoprire se i dati erano salvi. L'ho collegato ad un vecchio portatile (la live di ubunti non mi leggeva il disco, è ntfs) e sembrerebbe che miracolosamente i file siano integri. In realtà sulla cartella radice dell'hard disk esterno è presente il solito file "README_FOR_DECRYPT.txtt" ma tutte le cartelle e i file sembrano integre e leggibili.

Adesso vi chiedo quindi come recuperare il nas. Al momento lo tengo scollegato e non saprei come agire anche perchè collegandolo alla rete avrei paura di infettare gli altri dispositivi.
Inoltre anche l'hard disk esterno con il backup vorrei analizzarlo ma il portatile su cui ho fatto il test è troppo vecchio non riesco ad installarci neanche malwarebytes.

Mi spieghereste come procedere passo passo?

Vi ringrazio
 

Blume

ProtoModeratore
Staff
Iscritto dal:
23 Dicembre 2017
Messaggi
660
Buonasera,
oggi ho aperto da iphone l'app Qfile per recuperare un file sul mio nas Qnap ts-212. Con mia grande sorpresa mi sono ritrovato tutti i file con estensione .encrypted. In ogni cartella era presente un fle "README_FOR_DECRYPT.txtt". All'interno dello stesso indicazioni per collegarsi ad un sito internet per scoprire con decriptare i file. Chiaramente non ho aperto il sito.

Sono corso a staccare il nas dalla rete e ho subito staccato anche l'hard disk esterno collegato al nas dove effettuo i backup settimanali dei dati del nas.
Successivamente ho verificato lo stato dei due computer di casa e al momento sembrerebbero non essere stati attaccati (ho fatto una passata con malwarebytes).

Poi ho voluto controllare lo stato del disco esterno del nas, quello dei backup, per scoprire se i dati erano salvi. L'ho collegato ad un vecchio portatile (la live di ubunti non mi leggeva il disco, è ntfs) e sembrerebbe che miracolosamente i file siano integri. In realtà sulla cartella radice dell'hard disk esterno è presente il solito file "README_FOR_DECRYPT.txtt" ma tutte le cartelle e i file sembrano integre e leggibili.

Adesso vi chiedo quindi come recuperare il nas. Al momento lo tengo scollegato e non saprei come agire anche perchè collegandolo alla rete avrei paura di infettare gli altri dispositivi.
Inoltre anche l'hard disk esterno con il backup vorrei analizzarlo ma il portatile su cui ho fatto il test è troppo vecchio non riesco ad installarci neanche malwarebytes.

Mi spieghereste come procedere passo passo?

Vi ringrazio
Se i tuoi back up esterni sono integri, rasa gli hard disk del nas e "rimonti" tutto.
Il txt che hai linkato su altro lido è solo l'indicazione di dove pagare per avere la chiave di decriptazione.
 

Allegati

  • Cattura.PNG
    Cattura.PNG
    1,017.7 KB · Visualizzazioni: 143

mtguido

Utente
Iscritto dal:
19 Aprile 2021
Messaggi
41
Se i tuoi back up esterni sono integri, rasa gli hard disk del nas e "rimonti" tutto.
Il txt che hai linkato su altro lido è solo l'indicazione di dove pagare per avere la chiave di decriptazione.
Si ho letto su un forum specializzato che chiedono 0,03 btc come riscatto, circa 1350€.

mi indichereste quali verifiche fare e con quali tool agire per assicurarmi che l’hard disk esterno sia pulito dal ramsonware e per controllare anche i computer? Grazie
 

mtguido

Utente
Iscritto dal:
19 Aprile 2021
Messaggi
41
Aggiornamenti sulle operazioni fatte.

A) Disco di backup esterno
- Eliminato quei pochi file che erano criptati (ho forse capito perchè erano criptati solo alcuni file, sono andato nella backup station del nas e ho notato che era partito un backup giorni fa, fortunatamente fallito dopo poco. Quindi quei file criptati che c'erano forse erano stati copiati dal backup e non dal ramsonware. Ad ogni modo poco male perchè erano file poco importanti). Alcuni file non si rimuovevano, ci sono riuscito solo dopo un chkdsk.
- Tramite hiren boot live (windows 10 live) ho passato l'hard disk esterno con malwarebytes

B) Disco del Nas
- Ho rimosso il disco dal nas
- Avviato sul mio pc fisso Shadowdefender e avviato la shadowmode
- Collegato disco del nas via usb
- Formattato con la gestione dischi di windows (formattazione rapida)
- Post formattazione l'ho passato con Malwarebytes, Tdsskiller, Roguekiller, eek, adwcleaner (con adwcleaner e tdsskiller non sono riuscito ad effettuare una scansione personalizzata solo sul disco, non ho trovato opzioni per farlo, ho avviato la scansione generica, spero mi abbia scansionato anche il disco del nas oltre al fisso). Ad ogni modo non hanno trovato minacce.
- Reinserito disco nel nas e inizializzato con nuovo firmware.

A questo punto posso dire di aver eliminato il ramsonware definitivamente?
C'è altro che dovrei fare per stare tranquillo?

A giorni comprerò un nuovo nas (synology ds220+). Questo qnap ts-212 lo utilizzerò per farci i backup del synology, poi dovrò studiarmi come fare. Intanto vi chiederei di indicarmi quali accortezze impostare nel nas per evitare di ricadere in una situazione simile.


Grazie
 

Danilo79

Moderatore
Staff
Iscritto dal:
23 Dicembre 2017
Messaggi
40
Aggiornamenti sulle operazioni fatte.

A) Disco di backup esterno
- Eliminato quei pochi file che erano criptati (ho forse capito perchè erano criptati solo alcuni file, sono andato nella backup station del nas e ho notato che era partito un backup giorni fa, fortunatamente fallito dopo poco. Quindi quei file criptati che c'erano forse erano stati copiati dal backup e non dal ramsonware. Ad ogni modo poco male perchè erano file poco importanti). Alcuni file non si rimuovevano, ci sono riuscito solo dopo un chkdsk.
- Tramite hiren boot live (windows 10 live) ho passato l'hard disk esterno con malwarebytes

B) Disco del Nas
- Ho rimosso il disco dal nas
- Avviato sul mio pc fisso Shadowdefender e avviato la shadowmode
- Collegato disco del nas via usb
- Formattato con la gestione dischi di windows (formattazione rapida)
- Post formattazione l'ho passato con Malwarebytes, Tdsskiller, Roguekiller, eek, adwcleaner (con adwcleaner e tdsskiller non sono riuscito ad effettuare una scansione personalizzata solo sul disco, non ho trovato opzioni per farlo, ho avviato la scansione generica, spero mi abbia scansionato anche il disco del nas oltre al fisso). Ad ogni modo non hanno trovato minacce.
- Reinserito disco nel nas e inizializzato con nuovo firmware.

A questo punto posso dire di aver eliminato il ramsonware definitivamente?
C'è altro che dovrei fare per stare tranquillo?

A giorni comprerò un nuovo nas (synology ds220+). Questo qnap ts-212 lo utilizzerò per farci i backup del synology, poi dovrò studiarmi come fare. Intanto vi chiederei di indicarmi quali accortezze impostare nel nas per evitare di ricadere in una situazione simile.


Grazie
Dopo le scansioni dovresti avere debellato il ransomware....
Ma bastava la formattazione...
Ad ogni modo bene che i file non erano importanti....

Per me dovresti impedire l accesso al nas da internet ,ma solo in rete locale, se possibile ....chiudere le porte non usate....disattivare smb....
Aggiornate i firmware e usare un buon firewall....

Se hai necessità di collegarti da remoto usa una buona VPN....
Se invece una VPN risulta non praticabile,per accedere fa remoto creati un account come amministratore (non lasciare l account predefinito), e usa password forti....

Comunque per sicurezza i dati importanti io fareiun beckup offline....
Rimane il metodo con maggior sicurezza....
 
Ultima modifica:

mtguido

Utente
Iscritto dal:
19 Aprile 2021
Messaggi
41
Dopo le scansioni dovresti avere debellato il ransomware....
Ma bastava la formattazione...
Ad ogni modo bene che i file non erano importanti....

Per me dovresti impedire l accesso al nas da internet ,ma solo in rete locale, se possibile ....chiudere le porte non usate....disattivare smb....
Aggiornate i firmware e usare un buon firewall....

Se hai necessità di collegarti da remoto usa una buona VPN....
Se invece una VPN risulta non praticabile,per accedere fa remoto creati un account come amministratore (non lasciare l account predefinito), e usa password forti....

Comunque per sicurezza i dati importanti io fareiun beckup offline....
Rimane il metodo con maggior sicurezza....
Dunque la configurazione che vorrei fare io col nuovo naso è questa:
- nas synology principale
- nas qnap per farci i backup
- hard disk esterno collegato via usb al synology o al qnap per ulteriore backup

Intanto vi chiedo se può essere una buona idea impostarla così. E se andasse bene come impostare il qnap per prepararlo a svolgere questa funzione. Non avrò bisogno di collegarmi al qnap da remoto visto che lo farò sul synology. Vorrei impostarlo nel modo più sicuro e chiuso possibile in modo che serva solo per farci un backup settimanale in sicurezza.
 

mtguido

Utente
Iscritto dal:
19 Aprile 2021
Messaggi
41
Dopo le scansioni dovresti avere debellato il ransomware....
Ma bastava la formattazione...
Giusto per la cronaca e per chi dovesse capitarci. Dopo aver formattato con Windows, aver rimesso il disco nel nas che lo ha formattato di nuovo e inizializzato, ho installato sul sistema del nas appena avviato l’app qnap “malware Remover”….avviato la scansione e ha trovato due malware. Per fortuna li ha anche rimossi. La scansione successiva non ha trovato niente. Quindi la formattazione di Windows non era affatto bastata e neanche l’inizializzazione del nas.



Spero di essere apposto ora…
 
Top