Help!!! ho il DeadBolt

[alexflibero]

Ciao a tutti, nonostante abbia il mio NAS sempre aggiornato all'ultima versione di SO e stia particolarmente attento, oggi mi è comparsa la pagina di DeadBolt alla login sul NAS.
Ho già cercato in giro cosa posso/devo fare ma non trovo riscontri corretti.
Alla pagina https://www.qnap.com/en/security-advisory/qsa-22-19 si dice che con le versioni nuove di SO il problema è risolto ma non è cosi questa è la mia situazione:
-----------------------------------------------------------------------------------
Nome server XXXXXXXX
Nome del modello TS-451+
CPU Intel(R) Celeron(R) CPU J1900 , fino a 1993 MHz (4 core, 4 thread)
Numero di serie Q208B36872
Versione BIOS QW37AR41
Memoria totale 16 GB (16 GB utilizzabile)
Supporto multi-channel 2 canali - 1 DIMM per canale
Slot memoria 2 (8 GB / 8 GB)
Versione del firmware 5.0.0.2131 Build 20220815
Tempo di avvio del sistema 0 Giorni 0 Ora 35 minuti
Fuso orario (GMT+01:00) Amsterdam, Berlin, Bern, Rome, Stockholm, Vienna
Codifica nome file Inglese
---------------------------------------------------------------------------------
Ho provato a lanciare il malware remover ma non trova nulla, adesso ho lanciato uno scan antivirus e ne stò attendendo l'esito. molti file risultano già criptati. Non ho nessuna intenzione di pagare anzi se c'è un modo per fargli il culo ditemelo che partecipo anch'io.
Cosa posso fare ??
Ho fatto anche un restart ma sento che il NAS " frulla " in continuazione quindi credo che stia continuando a criptare.
Help please!!!

[pastoso]

Ciao, anch'io nella stessa situazione con un TS-251+, io addirittura ho isolato il Nas dalla rete, ma il processo di cifratura dei file è già oltre il 25%.
Avevo aggiornato il firmware 2 giorni fa, il malware remover non trova nulla ed ho aperto un ticket A QNAP ma ancora nessuna risposta.
Speriamo che facciano una guida su come risolvere al più presto, ma sopratutto se i fali criptati non sono recuperabili chi si accolla la responsabilità del danno?

[alexflibero]

Scordati di poter recuperare i file. Lo puoi fare solo pagando ed io questa soddisfazione non gliela do', anzi se qualcuno mi aiuta a capire da dove viene questa monnezza mi attrezzo pure per fargli il culo.
Comunque per il primo Ramsonware la comunità degli antivirus fece un tool che decrittava i files ma non ci conterei che lo facciano per tutti. Tu salva tutti i dati gia criptati e spera.
Nel frattempo, fai uno shutdown immediato, ricarica l'ultima versione dell' SO (io ho messo una beta perchè l'ultima ufficiale l'avevo già) e riapplica tutti gli aggiornamenti. Io ho fatto cosi ed il deadbolt sembra sparito. per controllare se c'è ancora collegati con un terminale e fai questo comando:
ps -ef | grep 5184

se è ancor attivo troverai un processo con quel PID attivo altrimenti non troverai nulla.

[alexflibero]

Dimenticavo, se hai attivo il QNap Cloud disattivalo immediatamente, sembra che entrino da li.

[burghy]

Sembra siano entrati dalla photostation pubblicata in internet. Hanno già aggiornato l'app

https://www.qnap.com/en/security-advisory/qsa-22-24


Photo Station 5.2.14 / 5.4.15 / 5.7.18 / 6.0.22 / 6.1.2

( 2022/09/04 )

[Fixed Issues]

- Fixed a security issue。


Ulteriori sviluppi su cosa fare qui:

https://forum.qnap.com/viewtopic.php?t=164797

[alexflibero]

Aggiornamento.
La versione di SO
Versione del firmware 5.0.0.2131 Build 20220815

E' definitivamente vulnerabile.
Ve lo confermo perche' per eliminare il Deadbolt ho installato la.build successiva disponibile in beta sul.sito QNap ed il virus non si è ripresentato.
Quando ho provaro a rimettere la vecchia il virus si è immediatamente ripresentato.
Quindi, come prima cosa direi si aggiornare l' SO alla build in beta, sperando che QNap la renda al piu presto definitiva.

Inviato dal mio SM-A715F utilizzando Tapatalk

[stedurso]

Ciao,

purtroppo anche io ne sono stato colpito, il giorno 3, la mia situazione era:

QNAP TS-451A Firmware 5.0.0.1986(20220324).

Per fortuna mi sono accorto che stavano criptando i file e ho aggiornato il firmware al 5.0.0.2131(20220815). Visto che per fortuna erano pochi i file criptati li ho eliminati.
Il problema però è che se provo a collegarmi all'indirizzo <local_nas_ip>:8080 esce ancora la schermata di richiesta...ma non ho più file criptati

Chiesto il supporto, con assistenza remota, leggo che ora è in corso..ma non mi danno grandi aggiornamenti
Nel frattempo ho cancellato Photo station e tolto tutti i port forwarding lasciando solo quella di Plex.
Secondo voi si può stare al sicuro così? Certo non poter esporre su internet il nas ne toglie parecchia della sua utilità...

Il ramsonware si potrebbe in qualche modo riattivare e iniziare a criptare di nuovo i file?

[stedurso]

Aggiornamento.
La versione di SO
Versione del firmware 5.0.0.2131 Build 20220815

E' definitivamente vulnerabile.
Ve lo confermo perche' per eliminare il Deadbolt ho installato la.build successiva disponibile in beta sul.sito QNap ed il virus non si è ripresentato.
Quando ho provaro a rimettere la vecchia il virus si è immediatamente ripresentato.
Quindi, come prima cosa direi si aggiornare l' SO alla build in beta, sperando che QNap la renda al piu presto definitiva.

Inviato dal mio SM-A715F utilizzando Tapatalk

che versione hai installato? 5.0.1.2137?

[Gabriel.83]

Buongiorno a tutti
Anche io sono stato attaccato dal deadbolt. Il mio NAS ha il frimware 5.0.1.2034 (20220515)
Qualcuno mi può per piacere spiegare come accedere poi al nas quando lo disconnetto dalla rete? In quel caso vedrei ancora il messaggio di deadbolt o riesco ad accedere in locale per poter formattarlo?
Inizialmente stavo valutando anche la possibilità di pagarli ma anche volendo non saprei come fare

[stedurso]

Buongiorno a tutti
Anche io sono stato attaccato dal deadbolt. Il mio NAS ha il frimware 5.0.1.2034 (20220515)
Qualcuno mi può per piacere spiegare come accedere poi al nas quando lo disconnetto dalla rete? In quel caso vedrei ancora il messaggio di deadbolt o riesco ad accedere in locale per poter formattarlo?
Inizialmente stavo valutando anche la possibilità di pagarli ma anche volendo non saprei come fare

Io ho seguito questa guida per accedere e installare il nuovo firmware,

Updating QTS or QuTS hero

Log on to QTS or QuTS hero as an administrator using one of the following URLs in a web browser:
http://nas_ip:8080/cgi-bin/index.cgi
https://nas_ip/cgi-bin/index.cgi
Note: Replace "nas_ip" with your NAS IP address.
Go to Control Panel > System > Firmware Update.
Under Live Update, click Check for Update.
QTS or QuTS hero downloads and installs the latest available update.
Tip: You can also download the update from the QNAP website. Go to Support > Download Center and then perform a manual update for your specific device.

la puoi trovare qui con le info dell'attacco di gennaio
https://www.qnap.com/en/security-advisory/qsa-22-19

[alexflibero]

Seguite la guida postata da stedurso e installate la beta dell'ultima build, non quella in GA, dovete installare la Beta. Se reinstallate la release corrente vi ri beccate Il Ransomware

[stedurso]

Confermo che passando alla Versione del firmware QTS 5.0.1.2137 Build 20220826 non mi si presenta più la schermata di richiesta bit coin.

[alexflibero]

Mi spiace dirlo perchè uso NAs Qnap da 15 anni, ma stavolta sono rimasto veramente deluso dalla permeabilità che questo sistema ha dimostrato di avere in barba alle rassicurazioni che dalla versione 5 dell'SO non avremmo avuto problemi.
Grazie QNap!! Credo che cambierò NAS.

[Idalgo84]

Salve a tutti, ho riscontrato solo stamane che il mio TS-230 aveva subito in data 3 settembre l’attacco di deadbolt. Trattandosi di una vulnerabilità di Qnap, credo sia opportuno avviare una class action nei confronti del produttore, in quanto un NAS non collegato in internet per me è inutile quanto un hd esterno. Credo che un’azienda seria debba creare un decrypter per quei file e soprattutto un anti malware valido, visto che avevo tutto aggiornato come da loro indicazioni.

[lucam1970]

Ragazzi, consiglio a tutti (per primo a me stesso) di seguire il thread dedicato a Deadbolt sul forum inglese.

Vi incollo di seguito un post a pagina 93 del thread con alcune precisazioni:
https://forum.qnap.com/viewtopic.php?f= ... 80#p825512

Sono molti i post utili da leggere, sia prima che dopo questo che ho linkato.

Se con un po' di pazienza vi leggete i numerorissimi messaggi, vedrete che ci sono alcuni utenti che da alcuni giorni stanno dando consigli su come capire se Deadbolt è ancora in funzione e su come killarlo (è un app con un nome numerico di 4 o 5 cifre, difficile da individuare nella lista dei processi).

Una cosa che mi pare di capire è che il reboot o l'installazione di un nuovo firmware NON garantiscono la scomparsa di Deadbolt, il quale invece potrebbe essere ancora presente sul NAS dopo queste due azioni.

Lascio spazio a chi può essere maggiormente chiaro al riguardo (e quindi maggiormente utile).

[burghy]

Sarebbe interessante sapere se chi ha anche qnap adra se ha rilevato l'attacci

[newcris81]

Buonasera a tutti,
purtroppo ho appena scoperto che anche il mio QNAP TS-453 è stato infettato con deadbolt e i file sono già stati criptati. La versione del firmware installata è la 5.0.0.2131 build 20220815.
Potete indicarmi come procedere? Sono poco ferrato in materia.
Devo staccare il nas da rete internet?

P.S. credete possa esserci la remota possibilità di decriptare i file senza pagare il riscatto?

[alexflibero]

Buonasera a tutti,
purtroppo ho appena scoperto che anche il mio QNAP TS-453 è stato infettato con deadbolt e i file sono già stati criptati. La versione del firmware installata è la 5.0.0.2131 build 20220815.
Potete indicarmi come procedere? Sono poco ferrato in materia.
Devo staccare il nas da rete internet?

P.S. credete possa esserci la remota possibilità di decriptare i file senza pagare il riscatto?

Leggi i post precedenti. Devi spegnere subito il NAS e installare l'ultima build anche se in beta. Facendo cosi non ci siamo reinfettati.
Ma bisogna attendere che QNap pubblichi ima versione ufficiale immune o comunque con strumenti antimalware che funzionano. Siamo tutti molto delusi dal comportamento di QNap.

Inviato dal mio SM-A715F utilizzando Tapatalk

[newcris81]

Leggi i post precedenti. Devi spegnere subito il NAS e installare l'ultima build anche se in beta. Facendo cosi non ci siamo reinfettati.
Ma bisogna attendere che QNap pubblichi ima versione ufficiale immune o comunque con strumenti antimalware che funzionano. Siamo tutti molto delusi dal comportamento di QNap.

Inviato dal mio SM-A715F utilizzando Tapatalk

Grazie mille Alex. Puoi indicarmi la procedura per installlare la beta; non l'ho mai fatto prima.
Al momento non so neanche come accedere al nas; se mi collego tramite indirizzo ip mi appare la schermata del riscatto.
Credi che il ransomware possa trasferirsi dal nas al PC (sono sotto la stessa rete e avevo impostato una cartella condivisa)?

Grazie mille per il supporto.

[pastoso]

Se aspettate un aiuto da Qnap questa è la loro risposta al mio ticket:
Luke Liu
2022-09-06 07:43:36
Dear Customer
Sorry to hear your nas was encrypted, we understood your disappointment as the incident cause your data loss and inconvenient. After investigation, we found the malware use zombie network attacked nas which expose on internet and focused old firmware/applications to encrypt files and ask form ransom. For your safety QNAP suggest keeps nas in latest firmware/applications

Please understand there is no decrypted tools for public so far, the only way is paying ransoms to the hacker to gain the password (which QNAP do not recommend as there is no guarantee you will receive correct password), QNAP support can help you restore files from good backup or snapshot and re-initial nas.

QNAP Suggest steps bellow to enhancement nas security

Disable router uPnP function on nas

Disable port forwarding (virtual server) function from your router

Update latest firmware and applications

Strong password

Install Qufirewall and Malware Remover

Using snapshot/HBS to backup your data

For other detail please refer What is the best practice for enhancing NAS security? | QNAP

CREDO CHE CAMBIERO PRODOTTO