faq обучение настройка
Текущее время: Чт июн 20, 2019 03:24

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 17 ]  На страницу 1, 2  След.
Автор Сообщение
 Заголовок сообщения: Dlink dns320 зашифрованы все файлы
СообщениеДобавлено: Ср фев 20, 2019 16:26 
Не в сети

Зарегистрирован: Ср фев 20, 2019 16:21
Сообщений: 1
Помогите, все файлы зашифрованы и не возможно открыть совсем. кроме одного _cr1ptt0r_logs.txt в котором перечислены все файлы зашифрованные. :shock: :shock:
что это может быть?


Вложения:
2019-02-20_14-14-15.jpg
2019-02-20_14-14-15.jpg [ 267.25 KiB | Просмотров: 1050 ]
Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Dlink dns320 зашифрованы все файлы
СообщениеДобавлено: Чт фев 21, 2019 17:55 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт июн 06, 2017 07:00
Сообщений: 122
Здравствуйте! Похоже на вирус-шифровальщик...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Dlink dns320 зашифрованы все файлы
СообщениеДобавлено: Вс фев 24, 2019 13:05 
Не в сети

Зарегистрирован: Вс фев 24, 2019 13:01
Сообщений: 5
Заметил активный процесс cr1ptt0r, перезагрузил DNS (325), переустановил прошивку, часть файлов удалось спасти, перестали открываться фотографии, тхт файлы как у коллеги по горю, решение будет?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Dlink dns320 зашифрованы все файлы
СообщениеДобавлено: Пн фев 25, 2019 10:48 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт июн 06, 2017 07:00
Сообщений: 122
alexch75 писал(а):
Заметил активный процесс cr1ptt0r, перезагрузил DNS (325), переустановил прошивку, часть файлов удалось спасти, перестали открываться фотографии, тхт файлы как у коллеги по горю, решение будет?


Cr1ptT0r Ransomware - вирус шифрует данные на сетевых (облачных, NAS, Network Attached Storage) хранилищах с помощью особого алгоритма шифрования, а затем требует выкуп, чтобы вернуть файлы. Активность этого крипто-вымогателя пришлась на вторую половину февраля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Информация взята с ресурса: http://id-ransomware.blogspot.com/2019/ ... mware.html


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Dlink dns320 зашифрованы все файлы
СообщениеДобавлено: Пн фев 25, 2019 12:25 
Не в сети

Зарегистрирован: Вс фев 24, 2019 13:01
Сообщений: 5
Как я понимаю помочь здесь никто не сможет; платить, понятно, никому я не планирую, не такая уж важная информация погибла. Скажите, что нужно сделать, чтобы в дальнейшем избежать подобной проблемы и что сделать сейчас, дабы это не повторилось сегодня-завтра? Что и где удалить/почистить, где хранится этот вирус?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Dlink dns320 зашифрованы все файлы
СообщениеДобавлено: Вт фев 26, 2019 13:44 
Не в сети

Зарегистрирован: Вс фев 24, 2019 13:01
Сообщений: 5
сегодня опять запустился процесс, пытается добить остатки информации, будет предложение по поиску этого зверя? что делать то?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Dlink dns320 зашифрованы все файлы
СообщениеДобавлено: Ср фев 27, 2019 12:10 
Не в сети

Зарегистрирован: Пн апр 04, 2011 11:26
Сообщений: 3845
Здравствуйте.

Просьба отписаться модель устройства и версию прошивки на момент заражения вирусом. Спасибо.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Dlink dns320 зашифрованы все файлы
СообщениеДобавлено: Ср фев 27, 2019 16:15 
Не в сети

Зарегистрирован: Вс фев 24, 2019 13:01
Сообщений: 5
DLINK_DNS 325 1.05b09(1.24.1107.2016). После обнаружения активности я перезагрузил устройство, установил предыдущую версию прошивки DLINK_DNS 325.1.05b05 (1.24.0519.2015) и снова вернул b09, остановил transmission (единственное работающее приложение на NAS), проверил KIS 2018 весь диск (один у меня установлен на 2ТБ). Вирус вроде притих, я на всякий случай на ночь выключил устройство, на следующий день включил чтобы посмотреть лог файл, и через некоторое время червь снова активизировался, выключил хранилище. Т.е. каспер ничего не нашел, но вирус остался где-то...
Сейчас даже не в потерянных файлах дело, а что дальше предпринять? Форматировать диск? Часть информации еще годная, куда-то перенести ее надо, да и загубленную может еще удастся реанимировать.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Dlink dns320 зашифрованы все файлы
СообщениеДобавлено: Вт мар 05, 2019 09:53 
Не в сети

Зарегистрирован: Ср окт 01, 2008 06:18
Сообщений: 3
Здравствуйте.
Такая же проблема, вирус прописался где-то в прошивке, обновление прошивки проблему не решает и так и не ясно закрыта ли в ней дыра.
При попытке подключиться под root жутко тупит.
Решил пока не вставлять диск - может он после отключения начинает шифровать файлы по второму разу.

По идее если остались некоторые исходные файлы их на сохранить и потом попробовать с их помощью расшифровать.

Форматирование диска не поможет.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Dlink dns320 зашифрованы все файлы
СообщениеДобавлено: Вт мар 05, 2019 12:23 
Не в сети

Зарегистрирован: Вт мар 05, 2019 11:44
Сообщений: 2
Добрый день!
Такая же проблема как у топик стартера((( NAS 327L прошивка 1.0 наверно, не включал его больше.
Только nas сейчас в процессе кодирования был( услышал какую-то странную активность вентилятора утром...
Отключил пока, часть файлов наверно жива ещё.

Вопрос, как остановить процесс Cr1ptT0r их два и они отжирают все 100 процентов процессора. Чтобы скопировать хотя бы живые пока ещё файлы.

UPd. Основные файлы оказались живые. На винтах в папке приложений Nas_Prog есть папка cr1ptt0r
Как его выпилить из приложений?



В сети крайне мало информации по этой теме, нашёл только это https://www.bleepingcomputer.com/forums ... 20cr1ptt0r и https://www.bugsfighter.com/ru/remove-c ... our-files/


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Dlink dns320 зашифрованы все файлы
СообщениеДобавлено: Ср мар 06, 2019 18:22 
Не в сети

Зарегистрирован: Пн апр 04, 2011 11:26
Сообщений: 3845
Самый вероятный способ попадания вируса на NAS это с зараженного ПК в локальной сети. По возможности попробуйте проделайте следующие действия:

1) Если остались незашифрованные файлы, которые необходимо сохранить, то вытаскивать диски и подключать и монтировать напрямую к ПК с ОС Linux (все зависит от типа RAID который был на накопителе). Оттуда бэкапить "живые" файлы и после этого форматировать жесткие диски.

2) Искать вирус на машинах в локальной сети и удалять! Это важно так как в большинстве случаев накопитель расположен за роутером и доступ к нему осуществляется именно с ПК в локальной сети, с которых и могла проникнуть "зараза". Ну а напрямую на белом IP не в коем случае нельзя держать накопитель - это крайне небезопасно.

3) Затем обновить NAS на следующие прошивки (в зависимости от модели)
https://securityadvisories.dlink.com/an ... e=SAP10110

4) Установить обратно отформатированный жесткий диск.

5) Мониторить работу и поведение накопителя на предмет появления проблемы.

По результатам отписывать сюда.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Dlink dns320 зашифрованы все файлы
СообщениеДобавлено: Ср мар 06, 2019 22:42 
Не в сети

Зарегистрирован: Вт мар 05, 2019 11:44
Сообщений: 2
Александр, спасибо за информацию по прошивкам

Можно смонтировать диск и к компьютеру с виндой с помощью ext2fsd

Оба домашних компа были выключены. Судя по логу криптовать файлы он начал в 5 утра. Значит зараза из вне как-то просочилась.
Сейчас прогоню Defender-ом оба компьютера.

Там в темах пишут, что надо отключать веб интерфейс на Nas-е, правда потом не понятно как им управлять(


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Dlink dns320 зашифрованы все файлы
СообщениеДобавлено: Сб апр 27, 2019 06:03 
Не в сети

Зарегистрирован: Сб апр 27, 2019 05:45
Сообщений: 2
Добрый день ! DLINK DNS 320 был RAID1 зашифровал весь диск. Снял оба диска . С трудом залил новую прошивку 2.06, удалил в новых пользователей ( которые появились неожиданно). Снес все к заводским настройкам , Отформатировал один диск . Воткнул только отформатированый диск, отформатировал его встроенной процедурой (RAID1 не создавал это в принципе не возможно с одним диском). После этого на на чистое пространства залил пару папок. через 30 минут они опять зашифровались. Подскажите как удалить cr1ptt0r из самого DLINK DNS 320. Проверил все компы дефендером и Dr.Web CureIt ни какой сигнатуры вируса не нашли. Отправил запрос в DRWEB и Касперскому. вот ответ от drweb " Здравствуйте. Файлы зашифрованы Linux.Encoder.24 (использует уязвимости в операционной системе сетевых накопителей, например, D-Link NAS DNS-320). Расшифровка нашими силами невозможна. Единственный способ восстановления данных - из резервных копий, если они имеются..."
Подскажите как удалить вирус с DLINK DNS 320.
Подскажите кто из антивирусов его определяет.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Dlink dns320 зашифрованы все файлы
СообщениеДобавлено: Ср май 08, 2019 08:42 
Не в сети

Зарегистрирован: Вс фев 24, 2019 13:01
Сообщений: 5
Уже дважды форматировал диск на компьютере в ntfs, полное форматирование, затем прошивал рекомендованной прошивкой NAS (без установленного диска), при установке в dns-325 снова форматировал в ext4, т.е. выжить на диске вирус не должен был, компьютер просканировал KIS 2018, в общем снова оживает этот вирус, день-два и файлы снова зашифрованы. Есть еще какие-то рекомендации? Касперский должен видеть этот вирус в ОС Win7? Или этот шифровальщик всё же сидит где-то в мозгах файлохранилища?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Dlink dns320 зашифрованы все файлы
СообщениеДобавлено: Чт май 09, 2019 12:29 
Не в сети

Зарегистрирован: Пн июл 11, 2011 08:58
Сообщений: 66
Меня тоже накрыл этот вирусняк.
Пока спасением не занимался, позже займусь. NAS выключил, диски на ПК посмотрел, фотки похоже все зашифрованы, видео не все успел попортить.
По наивности пароли на dns325 не ставил, все таки внутрення сеть.
Может он банально лезет через web морду nas?


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 17 ]  На страницу 1, 2  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB