DLink DNS-320 Cr1pt0r ransomware

[Mich_Mich]

Καλησπέρα σας.
Εδώ και λίγες ημέρες (από τις 19/02) βρίσκεται σε εξέλιξη μια επίθεση ransomware σε NAS DNS-320XX της εταιρείας DLink (πηγή).

Νομίζω πως όλοι όσοι δέχθηκαν την επίθεση, είχαν εκτεθειμένο τον NAS στο ίντερνετ (port forward?) και παλαιό firmware.
Το παλιο firmware είναι σχετικό, καθώς το firmware του δικού μου μηχανήματος έχει να ανανεωθεί από το 2016.

Λοιπόν, ήμουν κ εγώ ένας από τους άσχετους που είχαμε τέτοιο μηχάνημα και το αφήσαμε αέρα πατέρα στο ίντερνετ μέσω μιας ανοιχτής θύρας στο router. Εγώ συγκεκριμένα το χρησιμοποιώ για αποθήκευση και διαμοιρασμό αρχείων μεταξύ των τριών υπολογιστών του γραφείου μου. Κάποια στιγμή που χρειάστηκε να δουλέψω από το σπίτι, άνοιξα την πόρτα. Να σημειώσω πως ο κωδικός του χρήστη είναι 10 χαρακτήρες, πεζά-κεφαλαία-αριθιμοί και ειδικοί χαρακτήρες, οπότε θεωρώ πως δύσκολα να έγινε το μπάσιμο με brute-force.

Το Σάββατο, ο πατέρας μου παρατήρησε κάποια δυσλειτουργία σε ορισμένα αρχεία (τα έβγαζε corrupted) και του λέω "κάνε ένα restart μπας κ έρθει στα ίσια του". Τελικά το restart δεν έκανε τίποτα και το άφησε να το δω εγώ από Δευτέρα.

Σήμερα, είδα πως πολλά (όχι όλα) αρχεία ήταν corrupted και είχαν δημιουργηθεί 2 αρχεία txt. Το ένα ήταν το "_FILES_ENCRYPTED_README.txt" και το άλλο το "cr1pt0r.txt". Το πρώτο ήταν κενό, ενώ στο 2ο έγραφε ποια αρχεία κρυπτογραφήθηκαν. Από εκεί έψαξα τι κ πως κ πληροφορήθηκα για την επίθεση. Άμεσα έκλεισα την πόρτα στο ρουτερ και διέγραψα 2 νέα account που είχαν δημιουργηθεί στο NAS (με ονόματα sudo και wheel).

Ευτυχώς, παίρνω backup (του ΝΑS στο PC) κάθε εργάσιμη με το Acronis, με αποτέλεσμα το πρόβλημα να είναι σχεδόν μηδαμινό, αφού μετά από recovery του backup τα αρχεία επανήλθαν κανονικά.

Το θέμα είναι τι κάνω από εδώ και πέρα? Format τον Nas με τα κρυπτογραφημένα αρχεία? Reset τον NAS? Πέταμα και να παω σε ένα πιο σύγχρονο μηχάνημα?
Ευχαριστώ πολύ!

[8anos]

ωχ έχω ένα 320L που χρησιμοποιώ κυρίως για τα τορεντς.
ευτυχώς το τσέκαρα τωρα δεν εχω κάποιο πρόβλημα. Αυτο που δεν φαίνεται καθαρά ειναι αν υπάρχει κίνδυνος και για τις συσκευές που ειναι συνδεδεμένες στο ίδιο δίκτυο και πως μπορεί κάποιος να προστατευτεί, να κλείσει την πόρτα φτάνει; Επίσης δεν είναι καθαρό αν όλες οι εκδόσεις του firmware ειναι ευάλωτες.

Για τον φιλο που το κολλησε ενα φορματ θα ηταν απαραίτητο συμφωνα με την κατασκευαστρια : The only known way for these type of ransomware can be mitigated is to reformat you entire NAS which will result in the loss of all stored information.

[Mich_Mich]

Καλησπέρα.
Θέλει προσοχή γιατί απ'όσο διάβασα, ακόμα κ με format, το ransomware έχει εγκαταστήσει κάτι που τρέχει έναν tor server στο background.