faq обучение настройка
Текущее время: Вт апр 23, 2019 08:10

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 12 ] 
Автор Сообщение
 Заголовок сообщения: Dlink dns320 зашифрованы все файлы
СообщениеДобавлено: Ср фев 20, 2019 16:26 
Не в сети

Зарегистрирован: Ср фев 20, 2019 16:21
Сообщений: 1
Помогите, все файлы зашифрованы и не возможно открыть совсем. кроме одного _cr1ptt0r_logs.txt в котором перечислены все файлы зашифрованные. :shock: :shock:
что это может быть?


Вложения:
2019-02-20_14-14-15.jpg
2019-02-20_14-14-15.jpg [ 267.25 KiB | Просмотров: 644 ]
Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Dlink dns320 зашифрованы все файлы
СообщениеДобавлено: Чт фев 21, 2019 17:55 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт июн 06, 2017 07:00
Сообщений: 115
Здравствуйте! Похоже на вирус-шифровальщик...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Dlink dns320 зашифрованы все файлы
СообщениеДобавлено: Вс фев 24, 2019 13:05 
Не в сети

Зарегистрирован: Вс фев 24, 2019 13:01
Сообщений: 4
Заметил активный процесс cr1ptt0r, перезагрузил DNS (325), переустановил прошивку, часть файлов удалось спасти, перестали открываться фотографии, тхт файлы как у коллеги по горю, решение будет?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Dlink dns320 зашифрованы все файлы
СообщениеДобавлено: Пн фев 25, 2019 10:48 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт июн 06, 2017 07:00
Сообщений: 115
alexch75 писал(а):
Заметил активный процесс cr1ptt0r, перезагрузил DNS (325), переустановил прошивку, часть файлов удалось спасти, перестали открываться фотографии, тхт файлы как у коллеги по горю, решение будет?


Cr1ptT0r Ransomware - вирус шифрует данные на сетевых (облачных, NAS, Network Attached Storage) хранилищах с помощью особого алгоритма шифрования, а затем требует выкуп, чтобы вернуть файлы. Активность этого крипто-вымогателя пришлась на вторую половину февраля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Информация взята с ресурса: http://id-ransomware.blogspot.com/2019/ ... mware.html


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Dlink dns320 зашифрованы все файлы
СообщениеДобавлено: Пн фев 25, 2019 12:25 
Не в сети

Зарегистрирован: Вс фев 24, 2019 13:01
Сообщений: 4
Как я понимаю помочь здесь никто не сможет; платить, понятно, никому я не планирую, не такая уж важная информация погибла. Скажите, что нужно сделать, чтобы в дальнейшем избежать подобной проблемы и что сделать сейчас, дабы это не повторилось сегодня-завтра? Что и где удалить/почистить, где хранится этот вирус?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Dlink dns320 зашифрованы все файлы
СообщениеДобавлено: Вт фев 26, 2019 13:44 
Не в сети

Зарегистрирован: Вс фев 24, 2019 13:01
Сообщений: 4
сегодня опять запустился процесс, пытается добить остатки информации, будет предложение по поиску этого зверя? что делать то?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Dlink dns320 зашифрованы все файлы
СообщениеДобавлено: Ср фев 27, 2019 12:10 
Не в сети

Зарегистрирован: Пн апр 04, 2011 11:26
Сообщений: 3843
Здравствуйте.

Просьба отписаться модель устройства и версию прошивки на момент заражения вирусом. Спасибо.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Dlink dns320 зашифрованы все файлы
СообщениеДобавлено: Ср фев 27, 2019 16:15 
Не в сети

Зарегистрирован: Вс фев 24, 2019 13:01
Сообщений: 4
DLINK_DNS 325 1.05b09(1.24.1107.2016). После обнаружения активности я перезагрузил устройство, установил предыдущую версию прошивки DLINK_DNS 325.1.05b05 (1.24.0519.2015) и снова вернул b09, остановил transmission (единственное работающее приложение на NAS), проверил KIS 2018 весь диск (один у меня установлен на 2ТБ). Вирус вроде притих, я на всякий случай на ночь выключил устройство, на следующий день включил чтобы посмотреть лог файл, и через некоторое время червь снова активизировался, выключил хранилище. Т.е. каспер ничего не нашел, но вирус остался где-то...
Сейчас даже не в потерянных файлах дело, а что дальше предпринять? Форматировать диск? Часть информации еще годная, куда-то перенести ее надо, да и загубленную может еще удастся реанимировать.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Dlink dns320 зашифрованы все файлы
СообщениеДобавлено: Вт мар 05, 2019 09:53 
Не в сети

Зарегистрирован: Ср окт 01, 2008 06:18
Сообщений: 3
Здравствуйте.
Такая же проблема, вирус прописался где-то в прошивке, обновление прошивки проблему не решает и так и не ясно закрыта ли в ней дыра.
При попытке подключиться под root жутко тупит.
Решил пока не вставлять диск - может он после отключения начинает шифровать файлы по второму разу.

По идее если остались некоторые исходные файлы их на сохранить и потом попробовать с их помощью расшифровать.

Форматирование диска не поможет.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Dlink dns320 зашифрованы все файлы
СообщениеДобавлено: Вт мар 05, 2019 12:23 
Не в сети

Зарегистрирован: Вт мар 05, 2019 11:44
Сообщений: 2
Добрый день!
Такая же проблема как у топик стартера((( NAS 327L прошивка 1.0 наверно, не включал его больше.
Только nas сейчас в процессе кодирования был( услышал какую-то странную активность вентилятора утром...
Отключил пока, часть файлов наверно жива ещё.

Вопрос, как остановить процесс Cr1ptT0r их два и они отжирают все 100 процентов процессора. Чтобы скопировать хотя бы живые пока ещё файлы.

UPd. Основные файлы оказались живые. На винтах в папке приложений Nas_Prog есть папка cr1ptt0r
Как его выпилить из приложений?



В сети крайне мало информации по этой теме, нашёл только это https://www.bleepingcomputer.com/forums ... 20cr1ptt0r и https://www.bugsfighter.com/ru/remove-c ... our-files/


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Dlink dns320 зашифрованы все файлы
СообщениеДобавлено: Ср мар 06, 2019 18:22 
Не в сети

Зарегистрирован: Пн апр 04, 2011 11:26
Сообщений: 3843
Самый вероятный способ попадания вируса на NAS это с зараженного ПК в локальной сети. По возможности попробуйте проделайте следующие действия:

1) Если остались незашифрованные файлы, которые необходимо сохранить, то вытаскивать диски и подключать и монтировать напрямую к ПК с ОС Linux (все зависит от типа RAID который был на накопителе). Оттуда бэкапить "живые" файлы и после этого форматировать жесткие диски.

2) Искать вирус на машинах в локальной сети и удалять! Это важно так как в большинстве случаев накопитель расположен за роутером и доступ к нему осуществляется именно с ПК в локальной сети, с которых и могла проникнуть "зараза". Ну а напрямую на белом IP не в коем случае нельзя держать накопитель - это крайне небезопасно.

3) Затем обновить NAS на следующие прошивки (в зависимости от модели)
https://securityadvisories.dlink.com/an ... e=SAP10110

4) Установить обратно отформатированный жесткий диск.

5) Мониторить работу и поведение накопителя на предмет появления проблемы.

По результатам отписывать сюда.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Dlink dns320 зашифрованы все файлы
СообщениеДобавлено: Ср мар 06, 2019 22:42 
Не в сети

Зарегистрирован: Вт мар 05, 2019 11:44
Сообщений: 2
Александр, спасибо за информацию по прошивкам

Можно смонтировать диск и к компьютеру с виндой с помощью ext2fsd

Оба домашних компа были выключены. Судя по логу криптовать файлы он начал в 5 утра. Значит зараза из вне как-то просочилась.
Сейчас прогоню Defender-ом оба компьютера.

Там в темах пишут, что надо отключать веб интерфейс на Nas-е, правда потом не понятно как им управлять(


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 12 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 7


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB