Help!!! ho il DeadBolt

[egiros]

Buongiorno a tutti, purtroppo sono stato colpito anche io da deadbolt circa un mese fá, per motivi di lavoro non ho potuto dedicargli tempo prima, e purtroppo il mio ultimo backup non ha tutti gli ultimi file che mi servono. Le uniche procedure che ho fatto come suggerito da Qnap, è stato aggiornare manualmente il firmware manualmente all’ultima versione disponibile, in questo modo il nas è tornato raggiungibile, ma i miei file sono ovviamente criptati. Ora volevo chiedervi se nel frattempo è stata trovata una soluzione, ma sopratutto, scusate la stupidità della domanda, avendo una configurazione in raid 10, è possibile che i file criptati non siano stati ancora sincronizzati tutti gli hard disk?
Il mio nas non è sempre acceso, e proprio l’ultima volta che l’ho acceso è partita la sincronizzazione, ovviamente ho spento subito. Ci sarebbe un modo di accedere ai file contenuti nei dischi non ancora sincronizzati?
Grazie a tutti quelli che riusciranno a rispondermi.

[wave00]

A me hanno trovato la chiave solo che non ha ripristinato tutti i dati che avevo quindi ho una buona parte dei miei dati ancora cifrati.
Avevo un BackUp vecchio perchè pensavo che con un RAID 1 fosse tranquillo ed invece...
Ora mi toccherà mantenere i file criptati sul PC ed aspettare che magari arrivi un domani il modo per poterli decifrare.
Ho salvato la pagina di DeadBolt ma non sono sicuro sia a questo punto valida per poter ripristinare anche gli altri file.
Ormai non mi resta che inizializzare nuovamente il NAS e fare dei backup continui dei miei file, anche solo facendo degli snapshot del disco.
Devo dire che QNAP mi ha deluso da questo punto di vista.

[frankieorabona]

RAgazzi che voi sappiate c'è un modo per decifrare i file criptati?

[FrancoA]

Salve a tutti
ho letto i vostri post e vorrei condividere quanto segue:

-Il 03/09/2022 ho subito l'attacco DeadBolt
-Non avevo tempo da dedicare a tale problema (impossibilitato)
-Ho spento il Nas TS-231P2 e staccato dalla rete ethernet
-Il 29/03/2023 riaccendo il Nas, avendo in questo periodo il tempo e il modo di affrontare il problema
-Il messaggio del Ransomware con il riscatto non compare più
-I files sono tutti criptati
-Il Malware Remover, che parte in fase di accensione del Nas, aveva eliminato il Virus
-Sempre il 29/03/2023 apro ticket al supporto Qnap
-Ancora oggi non mi hanno risolto nulla e l'unica risposta che mi danno in continuazione è che non è possibile recuperare i files da parte loro

Preso atto che il loro sistema (Firmaware) e le Applicazioni Qnap sono state veicolo, in quanto vulnerabili, al DeadBolt, continuo a richiedere che diano gli strumenti necessari per decriptare i files presenti nel Nas.
In data 03/09/2022, pur avendo il sistema aggiornato, il loro Malware Remover non era in grado di contrastare il DeadBolt e le Applicazioni consentivano l'ingresso del virus nel sistema. In pratica il loro sistema era del tutto VULNERABILE.

Questa sera, abbastanza stanco di ricevere risposte negative, rispondo nel ticket in questo modo:
"""Salve
ho preso visione che altri utenti Qnap hanno avuto lo stesso attacco DeadBolt
Questo conferma che il vostro sistema era vulnerabile
Questo conferma che è vostra la responsabilità
Questo conferma che il Firmware e le altre Applicazioni Qnap erano vulnerabili al DeadBolt
Questo conferma che le vostre Applicazioni Qnap sono state veicolo per la diffusione del DeadBolt nei Nas Qnap

Una azienda seria e affermata come la vostra deve mettere a disposizione gli strumenti necessari per recuperare i dati dell'utente finale
Questo da parte vostra è doveroso in quanto non avete fornito nei tempi utili le adeguate protezioni dei sistemi Nas Qnap per chiudere le falle e i bug delle vostre Applicazioni Qnap

Chiedo cortesemente una soluzione per recuperare i miei dati dal Nas Qnap
Rimango in attesa di una soluzione
Grazie"""

Vediamo cosa rispondono, ma già mi sembra di leggere la loro ennesima risposta evasiva e non risolutoria.
Voi avete risolto nel frattempo, avete decriptato i files attaccati?
Grazie
un saluto a tutti

[lucam1970]

Voi avete risolto nel frattempo, avete decriptato i files attaccati?

Credo che solo pagando il riscatto sia possibile decriptare i files.

Nel thread dedicato a Deadbolt sul forum in lingua inglese (che è ormai arrivato a 165 pagine) gli ultimi post al riguardo sono del 28 e del 29 marzo e sono stati scritti da utenti che hanno potuto decriptare i propri files solo dopo aver pagato.

https://forum.qnap.com/viewtopic.php?f= ... start=2460

Leggendo i messaggi all'indietro per qualche pagina, la musica purtroppo non cambia...

[FrancoA]

Voi avete risolto nel frattempo, avete decriptato i files attaccati?

Credo che solo pagando il riscatto sia possibile decriptare i files.

Nel thread dedicato a Deadbolt sul forum in lingua inglese (che è ormai arrivato a 165 pagine) gli ultimi post al riguardo sono del 28 e del 29 marzo e sono stati scritti da utenti che hanno potuto decriptare i propri files solo dopo aver pagato.

https://forum.qnap.com/viewtopic.php?f= ... start=2460

Leggendo i messaggi all'indietro per qualche pagina, la musica purtroppo non cambia...

Dici che non vale la pena aspettare un Fix che risolva?

[lucam1970]

Dici che non vale la pena aspettare un Fix che risolva?

Penso che non sia tecnicamente possibile.

Se ricordo bene la vicenda di Deadbolt (e non mi sto confondendo con uno dei precedenti ransomware che hanno attaccato i sistemi Qnap nel mondo), il criminale (o l’organizzazione criminale), dopo aver lanciato l’attacco, propose a Qnap di pagare una grossa somma in cambio di una chiave di decriptazione “pubblica”.
Quest’ultima avrebbe potuto sbloccare tutti i device Qnap che erano stati nel frattempo criptati.
L’alternativa sarebbe stata che ogni singolo utente colpito si sarebbe dovuto far carico di pagare un riscatto (di minore entità) per sbloccare solo la propria macchina e i propri dati.

Qnap si rifiutò di pagare e sappiamo come è andata.

Esiste quindi una “chiave generale” che consentirebbe a Qnap di creare un’app per sradicare Deadbolt? Forse sì ma, ormai, dopo che migliaia e migliaia di utenti hanno già pagato, non penso che Qnap ritorni sui suoi passi cedendo al ricatto.
Otterrebbe solo l’effetto di far infuriare coloro che hanno già pagato, perdendo così altri clienti.

Per altro verso, sperare che la “chiave generale” venga prima o poi rilasciata al pubblico, come gesto di clemenza e magnanimità, mi sembra altrettanto impossibile. Chi è dietro questa vicenda ha “ottenuto” somme pazzesche, su scala globale, e continua a “guadagnare” (come dicevo nel mio post precedente gli ultimi riscatti pagati sono del 28 e 29 marzo).

L’unica opzione che mi viene in mente è che il criminale (o l’organizzazione criminale) venga individuato ed arrestato e che, per salvarsi le bucce, collabori fornendo alle autorità competenti la famigerata chiave.

Comprendi da te che si tratta di un’ipotesi abbastanza remota ormai. Più che altro una speranza.

[FrancoA]

Dici che non vale la pena aspettare un Fix che risolva?

Penso che non sia tecnicamente possibile.

Se ricordo bene la vicenda di Deadbolt (e non mi sto confondendo con uno dei precedenti ransomware che hanno attaccato i sistemi Qnap nel mondo), il criminale (o l’organizzazione criminale), dopo aver lanciato l’attacco, propose a Qnap di pagare una grossa somma in cambio di una chiave di decriptazione “pubblica”.
Quest’ultima avrebbe potuto sbloccare tutti i device Qnap che erano stati nel frattempo criptati.
L’alternativa sarebbe stata che ogni singolo utente colpito si sarebbe dovuto far carico di pagare un riscatto (di minore entità) per sbloccare solo la propria macchina e i propri dati.

Qnap si rifiutò di pagare e sappiamo come è andata.

Esiste quindi una “chiave generale” che consentirebbe a Qnap di creare un’app per sradicare Deadbolt? Forse sì ma, ormai, dopo che migliaia e migliaia di utenti hanno già pagato, non penso che Qnap ritorni sui suoi passi cedendo al ricatto.
Otterrebbe solo l’effetto di far infuriare coloro che hanno già pagato, perdendo così altri clienti.

Per altro verso, sperare che la “chiave generale” venga prima o poi rilasciata al pubblico, come gesto di clemenza e magnanimità, mi sembra altrettanto impossibile. Chi è dietro questa vicenda ha “ottenuto” somme pazzesche, su scala globale, e continua a “guadagnare” (come dicevo nel mio post precedente gli ultimi riscatti pagati sono del 28 e 29 marzo).

L’unica opzione che mi viene in mente è che il criminale (o l’organizzazione criminale) venga individuato ed arrestato e che, per salvarsi le bucce, collabori fornendo alle autorità competenti la famigerata chiave.

Comprendi da te che si tratta di un’ipotesi abbastanza remota ormai. Più che altro una speranza.

Grazie mille per la risposta e per le info

[PiaNi]

Se non hai fretta puoi "parcheggiare" i dati e sperare che la polizia di qualche stato risolva il problema, sempre che non sia diventato impossibile...
Qui la soluzione alla prima versione di Deadbolt:
https://www.redhotcyber.com/post/la-cyb ... -rispetto/

[FrancoA]

Se non hai fretta puoi "parcheggiare" i dati e sperare che la polizia di qualche stato risolva il problema, sempre che non sia diventato impossibile...
Qui la soluzione alla prima versione di Deadbolt:
https://www.redhotcyber.com/post/la-cyb ... -rispetto/

Si si si .... hai perfettamente ragione. Meglio parcheggiare e confidare che esca una soluzione come in precedenza.
Grazie mille !!!