NAS-on bekaptam egy ransomware-t

Zyxel NAS326-ról van szó. A vicc az, hogy a legutolsó FW frissítés azért történt, mert volt egy súlyos sebezhetőség, aminek a CVSS score-ja 9.8. A fájlok egy része .0XXX kiterjesztésre "váltott".

Simán elképzelhető, hogy már a frissítés előtt ott volt a kártevő csak nem vettem észre, mert mostanában nem nagyon nyitogattam max. filmet néztem róla a TV-n. Esetleg megnézem majd a txt fájlt, hogy mikor lett létrehozva, amit találtam a gyökérben. Egyelőre kikapcsoltam a cuccot, mert folyamatosan zabálja a CPU-t. Valami. Merthogy root-ként sem látom top-al, hogy mi eszi a procit. Gonolom megy a titkosítás folyamatosan. Egyelőre úgy láttam, hogy a kisebb fájlokat támadta meg. pdf-ek, docok, képfájlok (de nem mindegyik). Nagyobb cuccok, mint iso-k, videók nem bántódtak. Pont ami nem hiányozna. Ezért nem vettem észre egyébként, mert a filmek ugyanúgy mentek.

Leszedtem pár toolt amivel lehet, hogy lehetne dekódolni a fájlokat, de nem tudom kipróbálni őket mert nincs mibe beletegyem a vinyót. Ha jól emlékszem JBOD-ban voltak a vinyók RAID1-ben. Van egy dokkolóm, de mivel 2 TB-nál nagyobb a HDD, baromságokat mutat a gép. Másik dokkolóval látszik a lemez, de nem látszanak rajta semmilyen adatok (partícionálás, raid, stb..). Utánaolvasva ez is a mérete miatt van, USB-n keresztül ez nem fog menni. Laptopba nem tudom belerakni, asztali gépem nincs.

A terv az lett volna, hogy linux alá becsatolom az egyik HDD-t, indítok egy virtualboxot és megnézek pár fájlt a toolokkal (mert linuxos verziót nem találtam). Egyet ki tudtam próbálni úgy, hogy feltöltsek egy titkosított fájlt, de azt írta rá, hogy nem támogatott. Viszont ott a többi tool is. Na mindegy ezt a részt lehet elengedem.

Most a NAS-t kéne helyrerázni. Nem volt nehéz ügy szerintem bejutni. Természetesen senki ne tegye ki a nyílt internetre a NAS-át, mert ugyanígy fog járni, csak idő kérdése. Tanuljatok a hibámból. Annyi volt a nagy védelmem, hogy egy nem alapértelmezett, viszonylag magas számú portra tettem. Gondoltam rá, hogy egy szigorúbb tűzfalszabály és mondjuk csak SSH hozzáférés jobb lenne, de szerintem nem fogok kirakni a netre ezekután biztosan. Utólag szerintem gyorsan megtaláltam mi lehetett a gond. Van a mijzelf-féle repo, ahonnan lehet telepíteni nagyon sokféle szoftvert. Innen dobtam fel pár dolgot, köztük egy synchthing-et. Valszeg ez volt a gyenge pont, nem pedig a Zyxel által foltozott sebezhetőség.

Szóval azonkívül, hogy nem tesszük ki a netre, nem is telepítgetünk mindenféle non-official szoftvereket. Több gyártónál ahol nagyobb a gyári repo, hasonló problémák vannak, csak ott hivatalosan is telepíthetünk többféle "gyengeséget" magunknak. Lényeg a lényeg, hogy ezek a cuccok soha nem a biztonságukról voltak híresek, de valahogy én abban a hitben voltam, hogy az én fájljaim senkit nem érdekelnek. Illetve tudtam, hogy mit kellene tennem csak halogattam mert nem volt kedvem időt szánni rá.

Valahogy új ramegbízhatóvá kellene tennem a NAS-t. Úgy tudom, hogy ha csinálok egy "nagy reset"-et, akkor a fizikai flash-ről úra kiírja a rendszer a vinyókra magát és a konfigok is újra létrejönnek. Tehát ha meg is marad a kártevő az eszközön, az elméletileg nem fog futni többé. De ebben nem vagyok biztos. Egyáltalán abban sem, hogy bármit is teszek, lesz vagy létezik-e jó megoldás.

Minél többet megy, annál több fájlom fog elveszni ebben az állapotában (asztali gép híján) így most ki van kapcsolva. Lehet megpróbálom a jelenlegi firmware-t is újraflashelni.

Ha valakinek van egyéb ötlete, ne tartsa magában :)

A figyelmeztető üzenet:

All your files have been encrypted with 0XXX Virus.
Your unique id: 335E26B7EE2048A790A55B90500D0136
You can buy decryption for 1200$USD in Bitcoins.

To do this:
1) Send your unique id 335E26B7EE2048A790A55B90500D0136 and max 3 files for test decryption to sergev_petrov1983@mail.ru
2) After decryption, we will send you the decrypted files and a unique bitcoin wallet for payment.
3) After payment ransom for Bitcoin, we will send you a decryption program and instructions. If we can decrypt your files, we have no reason to deceive you after payment. 

Also after payment we will give you some tips to protect yourself from this in the future.

FAQ:
Can I get a discount?
  No. The ransom amount is calculated based on the number of encrypted office files and discounts are not provided. All such messages will be automatically ignored.
What is Bitcoin?
  read bitcoin.org
Where to buy bitcoins?
  https://bitcoin.org/en/buy
  https://buy.moonpay.io
  or use google.com
Where is the guarantee that I will receive my files back?
  The very fact that we can decrypt your random files is a guarantee. It makes no sense for us to deceive you. Moreover, it would hurt our business.
How quickly will I receive the key and decryption program after payment?
  As a rule, within a few minutes or hours, but very rarely there may be a delay of 1-2 days.
How does the decryption program work?
  It's simple. You need to copy the key and select a folder to decrypt. The program will automatically decrypt all encrypted files in this folder and its subfolders.