iT邦幫忙

0

想請問中了勒索病毒後續處理

各位版大,我們是間小工作室,很不幸地我們的 NAS 中了勒索病毒,每個資料夾底下都有個 readme.txt 的勒索文件,加密後的檔案都是 .7z,還好所有的 AI、PSD 重要檔案都可以透過修改副檔案名就可以使用了,僅失去了 jpg、pdf 這種可以再輸出的檔案。

我是使用 QNAP 的 兩槽 NAS,中毒的原因如同爬文所得到的,使用了預設的 Admin,使用了外連網路進入 Nas 等等...,工作室全部是使用 Mac 電腦,沒有人在本機有其他加密問題,只有 Nas 的檔案有問題。

我一開始就先拔掉網路,然後用手機上網搜尋了一整個下午找後續應對方式,刪除了所有 User,停用了 admin 等等...,目前災情似乎是暫時止住了。

我擔心以下

  1. 只是暫時止住,如果沒有格式化全部硬碟,是不是病毒可能還存在於 Nas 之中?未來同樣會是不定時炸彈?
  2. 如果以上是,那我是不是只能把所有資料放棄掉,重新開始?以防病毒會在檔案之中?

會有這些疑問是因為,被加密過的部分檔案我改副檔名就可以直接使用,那該檔案是不是還是有毒?

我目前接下來的打算是隔天趕快衝去光華商場買四槽的 NAS 能做鏡像也能快照...,但我很怕舊的兩槽 NAS 檔案不可以傳過去,不然連新的 NAS 也中毒...

盼版上大神解救謎題!!!

看更多先前的討論...收起先前的討論...
好問題,追蹤等好答案
我猜是有些MAC 有跑 WIN 之類的OS,然後在WIN 上面中標,現在當然沒人承認啊
甚至直接把有問題的WIN OS 砍掉了,你沒有足夠的設備根本無法追蹤,只能說等樓主後續報導了
牛哥 iT邦好手 1 級 ‧ 2021-04-23 11:06:17 檢舉
改完副檔名還可以用?
應該是還來不及加密吧~
還是這個變種的作者偷懶?
我看檔案變更時間是清晨六點,我們早上開完會才發現檔案被加密然後緊急斷網,應該總共四個多小時,可能還來不及加密。
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
5
㊣浩瀚星空㊣
iT邦大神 1 級 ‧ 2021-04-22 09:13:14
最佳解答

只是暫時止住,如果沒有格式化全部硬碟,是不是病毒可能還存在於 Nas 之中?未來同樣會是不定時炸彈?

一般來說,確實有可能病毒還在裏面。安全建議下當然還是最好將系統全部重做。

如果以上是,那我是不是只能把所有資料放棄掉,重新開始?以防病毒會在檔案之中?

一般來說,如果是圖案或文件類(WORD、EXCEL)的檔案。倒還不用太過擔心有病毒在裏面。
應用程式捨棄掉就好。
當然了,已經被加密的檔案。你留著因該也沒意義了。

最後,認真來說。勒索病毒大多數的運做,並非是預存式的。(雖然有少部份的確是)
有些是等待命令式,有些是侵入式。

如早期我在我自已的測試機。裝了smb還沒做好基本防護。
還在試一些操作時。我就發現有人用了smb的通路進來了。並開始加密一些檔案。
當下我就先將smb給關了。加密動作也就停了。

所以一般來說。勒索病毒會藏在機器內的情況並不大。但也不是絕對性。
你第一優先的因該先確保一下你的網路安全性。

當然了,在你不敢賭的情況下。最安全的方式當然還是全清了。

感謝大大的回覆!我在今早清晨突然跳起來想到,之前有一顆鏡像備份的硬碟因為有些許壞磁,我就把它換下來了,被我塵封到了櫃子裡面,它現在莫名的變成了我的備份!有種謝天謝地至少舊回多年前的其他東西。

目前想照您說的全清了,有疑慮又還是需要使用的檔案,我另外放到的一個外接硬碟,有必要時再去取檔案。感覺還是安心一些。

NAS基本上都會做RAID,那顆壞軌的硬碟是讀不到資料的吧
被感染的檔案不會具有傳染性,以前都會建議把那些被感染的檔案另外留存,看哪天金鑰或是破解工具釋出(雖然機率極低)就被贖回了,所以建議是資料可以繼續用系統還是要重做,對外連線方式更改一下 例如轉port

CalvinKuo iT邦大師 7 級 ‧ 2021-04-23 09:35:05 檢舉
0
hsiang11
iT邦好手 1 級 ‧ 2021-04-22 09:56:58

當然把有用的資料全部移出,刪除整個pool,另外也使用原廠的系統重置重新安裝系統
新買NAS更新到最新版,QNAP一開始就要規劃快照空間
使用NAS最好能簡化需要的服務,也就是沒必要的APP少裝,例如photo station
原因出在沒人知道後面那些APP會不會被駭
裝了又不注意原廠的資安通報 風險就高了

5
japhenchen
iT邦超人 1 級 ‧ 2021-04-22 10:40:55

買爆米花等著看後續

廣達跟宏碁都放棄付14億贖金不想跟歹徒周旋,你覺得你們能做到嗎?

備份是王道,SMB V1千萬別再用了!

看更多先前的回應...收起先前的回應...
badboy01 iT邦新手 2 級 ‧ 2021-04-23 09:23:49 檢舉

請教一下SMB V1關掉,網路芳鄰共享就無法使用,有其他替代方法嗎?

網路芳鄰本來就是個危險的東西,你看的到,駭客寫的木馬、病毒、蠕蟲也都看的到...你跟他對賭?投降輸一半?NO,是直接完蛋

不要再有【以前可以,現在為什麼不行?】這個想法來看待網路安全的問題,以前騎機車不用戴安全帽,但現在不行啊!因為罰款?不!是因出事時,有戴的10台死3人,沒戴的10台死8人,機率問題,你想要不要成為活下來的那5人?

我知道要求大家戒掉網路上的芳鄰很累,但,非做不可

取代的方法很多啊,Google/Dropbox/OneDrive的公開雲,或是用nextCloud/ownCloud架設私有雲,或是買QNAP/Synology/WD...這些NAS內建的私有雲(可用帳號連接在外網連入使用).....

關鍵就是,你們願不願意改變習慣來解決安全問題?還是等出事了再來上網求救?

badboy01 iT邦新手 2 級 ‧ 2021-04-23 11:31:32 檢舉

目前就是做好備份,隨時觀察檔案異常變化@@!

我朋友也是建議我乾脆放棄私有雲,去買其他的線上雲端。目前確實是重新做好備份~!

不建議放在網路上的芳鄰的NAS兼做雲,那真的很危險

電腦中毒,近端有人開分享資料夾或SAMBA的NAS(沒設權限隨便你寫檔進去的),都會連帶中獎

你可以試試那些人的電腦有沒有開C$,如
\192.168.X.Y\C$

如果你進的去且可以任意寫檔進去,求他快點關掉!

2
ckp6250
iT邦好手 1 級 ‧ 2021-04-22 11:39:43

我近日一台只做mysql同步備份的機器也被勒索病毒入侵了,那是早期安裝系統,彼時學藝不精(此刻依然),平時也沒在使用,沒想到多做防護,因此也中標了。

症狀是有若干個db中的舊table全被刪光了,新增了一個table,裡頭只有一筆record,寫著文情並茂的問候信,叫我付錢。

我的備份做得可多了,到處都有,不鳥他。

防不勝防,如同japhenchen大大所說的,備份是王道。

0
牛哥
iT邦好手 1 級 ‧ 2021-04-23 11:02:32

若是買了新NAS來放,NAS應該會附掃毒引擎,但勒索病毒最麻煩的是會有變種。
很可能掃毒也掃不出結果!#$%...

多備一份吧,多建一台NAS備份後不要放它連外網~
最好備完就關閉,你會更心安!
只是長期下來,很少有人會堅持繁瑣的備份作業。

0

前就是做好備份,隨時觀察檔案異常變化@@!

我要發表回答

立即登入回答