NAS 326 ransom znasilnenie

[QuocienT]

Niekto mi znasilnil NAS v praci...

The harddisks of your computer have been encrypted with an Military grade encryption algorithm.
There is no way to restore your data without a special key.
Only we can decrypt your files!
To purchase your key and restore your data, please follow these three easy steps:
1. pay exactly 0.1130 BTC to this Wallet : 3MAqy8bi5SGrfYAzhavTjZWRNBsLvgZ8sX
2. Once payment has been completed, send email to letsgetyourfileback@protonmail.com .send this id as content of email : 1mk8hjkn2old3
We will check to see if payment has been paid.
3. You will receive a text file with your KEY that will unlock all your files.
IMPORTANT: To decrypt your files, place text file on desktop and wait. Shortly after it will begin to decrypt all files.
WARNING:
Do NOT attempt to decrypt your files with any software as it is obselete and will not work, and may cost you more to unlcok your files.
Do NOT change file names, mess with the files, or run deccryption software as it will cost you more to unlock your files-
-and there is a high chance you will lose your files forever.
Do NOT send "PAID" button without paying, price WILL go up for disobedience.
Do NOT think that we wont delete your files altogether and throw away the key if you refuse to pay. WE WILL.

Da sa s tym nieco robit?
Vdaka

[Rudy]

Zdravím!
Fórum viry.cz je určeno pro home usery. Viz pravidla: https://forum.viry.cz/viewtopic.php?f=12&t=5601 (bod 6). Zkuste to u našich kolegů zde: https://neslape.cz/?utm_campaign=neslap ... ium=banner .

[QuocienT]

No, ja som home user, momentalne mam home office aj kvoli tomu som si to tak zariadil...tiez nerobim vo firme ale som doktorand na Akademii...

[Rudy]

Niekto mi znasilnil NAS v praci...

Jak si pak mám vyložit toto?

[altrok]

Ahoj,

máš NAS vystrčenej do internetu? Před měsícem byla publikována zranitelnost, která začala být okamžitě zneužívána - podle ransomnotes jseš obětí stejných vyděračů (všem se vám shodujou id). Dochází ke zneužití chyby firmwaru, která umožňuje neoprávněný root přístup zadáním dvou speciálních znaků CVE-2020-9054 https://www.zyxel.com/support/remote-co ... ucts.shtml

Podle všeho jde o destruktivní ransomware a předpokládám, že všechny tvé soubory teď mají koncovku .hr a velikost 77 kB (a stejný obsah). Buď byly původní soubory "odlity" do jiného umístění nebo byly rovnou smazány. Tím pádem došlo k minimálnímu novému zápisu a je teoretická možnost obnovy pomocí nástrojů typu EASEUS Data Recovery apod.

Doporučuju pročíst téma se stejným problémem https://www.bleepingcomputer.com/forums ... ort-topic/

[QuocienT]

NAS ma specialne pridelenu IP adresu vypoctovim centrom na zaklade MAC, realne ju vedia asi dvaja ludia. NAS nie je chranene firewallom. Avsak zmenil som heslo, bolo uz dlhsie nastavene na ftps a https, momentalne ma najnovsi firmware. Vypol som myslim WebDAV, cize uz nie je pristupne cez mobil/android. Snazil som sa co najviac osekat moznosti ako sa k nom da realne pripojit. Ano, je tam ta koncovka HR...pravdepodobne je to tak, ze boli niekam prenesene a naspat vratene v osekanej forme... Cize pristup, ako keby som ich nahodou nechtiac vymazal by mohol fungovat? Data tam mam ulozene dlhodobo bez nejakych zasadnych zmien.

Da sa to vylozit tak, ze niekto sa mi tam vlamal, zmanipuloval data a teraz ma chce vydierat, co sa za znasilnenie, pokial ide o metaforu da nazyvat...

[altrok]

NAS ma specialne pridelenu IP adresu vypoctovim centrom na zaklade MAC, realne ju vedia asi dvaja ludia. NAS nie je chranene firewallom.

Vzhledem k tomu, že máš symptomy shodné s vícero lidmi po celém světě (model NASu, ransom note), předpokládám, že i v tomto případě se do tvého NASu připojil útočník z pohodlí svého domova a ochrana v LAN je v tomto konkrétním případě irelevantní.

Avsak zmenil som heslo, bolo uz dlhsie nastavene na ftps a https, momentalne ma najnovsi firmware. Vypol som myslim WebDAV, cize uz nie je pristupne cez mobil/android. Snazil som sa co najviac osekat moznosti ako sa k nom da realne pripojit.

Jde o služby, které byly dostupné z internetu - v tomto konkrétním CVE šlo o webové rozhraní. Takže na firewallu (routeru) zakaž příslušný port forward. Zyxel NASky neznám a netuším jestli na ni přistupujete přes proxy (jako to má např. Synology) nebo napřímo přes veřejku. Neznám vaši konfiguraci a nejsem schopen více poradit.

Ano, je tam ta koncovka HR...pravdepodobne je to tak, ze boli niekam prenesene a naspat vratene v osekanej forme...

Buď byly přenesené na jiný lokální disk nebo smazány a místo nich byly vytvořeny nové, malé soubory se stejným názvem a přidanou koncovkou .hr . Proto nedošlo k velkému novému zápisu dat na disk a data je teoreticky možné obnovit. Všechny soubory mají nejspíš shodný obsah a ani po zaplacení výkupného dle mého útočník není schopen ti data obnovit (proto se nikdy nedoporučuje platit výkupné!!).

Cize pristup, ako keby som ich nahodou nechtiac vymazal by mohol fungovat? Data tam mam ulozene dlhodobo bez nejakych zasadnych zmien.

Ano, proto jsem doporučil software na obnovu smazaných souborů např. Easeus

Da sa to vylozit tak, ze niekto sa mi tam vlamal, zmanipuloval data a teraz ma chce vydierat, co sa za znasilnenie, pokial ide o metaforu da nazyvat...

Ty tomu říkáš znásilnění, v IT terminologii se tomuto říká spíš ransomware Útočník zašifruje soubory a pro opětovné dešifrování požaduje ransom neboli výkupné. Je to v současnosti nejrozšířenější bussiness model kyberútočníků - Maastrichtská univerzita zaplatila 220.000 USD. Průšvih je když zasáhne kritickou informační infrastrukturu viz u nás benešovská nemocnice, bohunická fakultka v Brně etc.

[QuocienT]

Ok, vdaka, za vysvetlenie, skusim to teda obnovit ako keby to bolo nahodne vymazane...

[altrok]

Nenapadá mě jiná možnost... než to všechno obnovíš, tak dělejte co nejmíň nových zápisů na NASku (ukládání nových/obnovených souborů atd.), aby sis nepřepsal data, která se snažíš obnovit.