V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
freeskysssss
V2EX  ›  问与答

公司威联通 nas 中了勒索病毒 eCh0raix

  •  
  •   freeskysssss · 2022-01-11 11:21:39 +08:00 · 3123 次点击
    这是一个创建于 807 天前的主题,其中的信息可能已经有所发展或是发生改变。

    nas 组的是 raid 1 ,所有文件都加密了,后缀全都加了 encrypt ,用了 eCh0raix Decoder 工具也没啥用啊;请问各位大神有什么办法吗?

    27 条回复    2022-01-14 06:42:52 +08:00
    wanguorui123
        1
    wanguorui123  
       2022-01-11 11:33:06 +08:00
    跑路
    HFX3389
        2
    HFX3389  
       2022-01-11 11:38:25 +08:00
    怎么中的呢?

    想看看怎么中的然后更加保护好自己的 NAS
    mxT52CRuqR6o5
        3
    mxT52CRuqR6o5  
       2022-01-11 11:39:52 +08:00
    没啥办法,只要正确应用现代密码学知识理论,是可以让不知道密码的人基本无法破解
    freeskysssss
        4
    freeskysssss  
    OP
       2022-01-11 11:41:49 +08:00
    @HFX3389 #2 连了外网,开了很多端口。
    Acoffice
        5
    Acoffice  
       2022-01-11 11:48:16 +08:00
    nas 本身就不是给公网用的.....
    murmur
        6
    murmur  
       2022-01-11 11:49:17 +08:00
    跑路吧
    v2tudnew
        7
    v2tudnew  
       2022-01-11 11:50:19 +08:00
    没办法凉凉了,而且即使你付钱了对方也不一定会解,平时多备份吧。
    phub2020
        8
    phub2020  
       2022-01-11 11:59:38 +08:00
    nas 直接连外网?一般不都是用 nas 自带的外网链接服务嘛,群晖就有一个 qc 可以用呀。
    villivateur
        9
    villivateur  
       2022-01-11 12:02:26 +08:00 via Android
    吸取教训吧,NAS 不要连外网,数据经常备份
    Mithril
        10
    Mithril  
       2022-01-11 12:02:45 +08:00
    @phub2020
    @Acoffice
    没准是他们哪台电脑中了毒,然后映射了网络驱动器
    mosfet
        11
    mosfet  
       2022-01-11 12:03:32 +08:00
    把各种服务的默认端口改一改就能规避大部分攻击了...
    大概率给赎金了也不给你解,看对方人品
    libook
        12
    libook  
       2022-01-11 12:08:04 +08:00
    我们公司遇到过,是 PC 先中的毒,因为 PC 挂载了 NAS ,所以捎带着把 NAS 也加密了。

    联系一下 360 吧,我们是联系他们,运气比较好解密了了绝大多数数据。
    freeskysssss
        13
    freeskysssss  
    OP
       2022-01-11 12:11:51 +08:00
    @libook #12 我们没有用 360 的产品,请问大概是什么费用呢?
    Maskeney
        14
    Maskeney  
       2022-01-11 12:13:51 +08:00 via Android
    你确定是 NAS 中招而不是某台有 SMB/NFS 等读写权限的机器中招么…另外没看懂为什么要提一嘴 RAID1
    gscsnm
        15
    gscsnm  
       2022-01-11 12:18:39 +08:00
    。。。。我刚刚下单了一台威联通,我要不要退货。。
    libook
        16
    libook  
       2022-01-11 12:25:52 +08:00
    @szqhades #12 我们也没用,我们有同事在 360 有认识的人,所以他们低价帮忙的……你们直接派商务去咨询就好了,可能也不会很贵吧。
    bt7vip
        17
    bt7vip  
       2022-01-11 12:26:31 +08:00 via Android
    这是安全问题,nas 不 nas 不是重点,前两天还看见俩哥们在哪吵 raid 是不是备份,这下不用吵了,遇到的企业会吃一堑长一智,没遇到过的企业依旧万年不打补丁的在狂奔
    felixcode
        18
    felixcode  
       2022-01-11 12:27:07 +08:00
    所以 RAID 不是用来做备份的,而是为了提高可用性的。
    RAID1 也不行。
    JellyBeanX
        19
    JellyBeanX  
       2022-01-11 12:30:06 +08:00
    吓得我赶紧把家里的群晖 DDNS 关了
    wanguorui123
        20
    wanguorui123  
       2022-01-11 12:32:26 +08:00
    NAS 上安装了一堆漏洞百出的软件不黑就怪了
    delectate
        21
    delectate  
       2022-01-11 15:17:34 +08:00
    2021-12-28 14:52:10 威联通 NAS 设备在圣诞期间遭到了勒索攻击 https://www.freebuf.com/news/317647.html
    2022-01-10 16:03:57 威联通(QNAP)监测到大量来历不明的攻击 请用户不要将 NAS 暴露在公网 https://www.landian.vip/archives/92141.html

    因为自己在用 qnap ,所以立即就关掉了所有外网的服务。
    最可怕的是不知道漏洞来自哪里,唯一的办法是先断网保证安全。
    楼上提到的,切换到冷门端口什么的,基本没效果,不建议使用。
    如果真的没办法停服断网,那么先把没用的 media statio 什么的都关掉,能关闭的都关掉。停用 admin 账号,严格限制其他账号权限。
    Chihaya0824
        22
    Chihaya0824  
       2022-01-11 16:35:11 +08:00
    吓得我赶紧看了一眼群晖有没有更新,并更新了最新的系统(
    root01
        23
    root01  
       2022-01-11 17:38:43 +08:00
    以前给上家狗逼公司搞了 2 台 nas 来做版本备份,美滋滋 一中毒就恢复版本
    bbis
        24
    bbis  
       2022-01-11 23:16:50 +08:00 via iPhone
    听说中了勒索病毒后,不要重启 NAS ,联系威联通官方,有个解密工具
    ericFork
        25
    ericFork  
       2022-01-12 03:36:35 +08:00
    会不会是和最近的 log4j 漏洞有关
    serafin
        26
    serafin  
       2022-01-14 06:38:12 +08:00
    本来还想说看看有没有拍快照,看了新闻才知道病毒在系统管理员组中创建了一个账号, 就算拍照快手也会被删掉。 是一个 针对威联通的病毒, 联系一下威联通看看他们怎么说。
    serafin
        27
    serafin  
       2022-01-14 06:42:52 +08:00
    像我做了远程备份, 要是病毒在系统管理员组中创建了一个账号,大概率你能把你的远程备份给删了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   1181 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 18:27 · PVG 02:27 · LAX 11:27 · JFK 14:27
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.