V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
szqhades
V2EX  ›  问与答

公司威联通 nas 中了勒索病毒 eCh0raix

  •  
  •   szqhades · 215 天前 · 2442 次点击
    这是一个创建于 215 天前的主题,其中的信息可能已经有所发展或是发生改变。

    nas 组的是 raid 1 ,所有文件都加密了,后缀全都加了 encrypt ,用了 eCh0raix Decoder 工具也没啥用啊;请问各位大神有什么办法吗?

    27 条回复    2022-01-14 06:42:52 +08:00
    wanguorui123
        1
    wanguorui123  
       215 天前
    跑路
    HFX3389
        2
    HFX3389  
       215 天前
    怎么中的呢?

    想看看怎么中的然后更加保护好自己的 NAS
    mxT52CRuqR6o5
        3
    mxT52CRuqR6o5  
       215 天前
    没啥办法,只要正确应用现代密码学知识理论,是可以让不知道密码的人基本无法破解
    szqhades
        4
    szqhades  
    OP
       215 天前
    @HFX3389 #2 连了外网,开了很多端口。
    Acoffice
        5
    Acoffice  
       215 天前
    nas 本身就不是给公网用的.....
    murmur
        6
    murmur  
       215 天前
    跑路吧
    v2tudnew
        7
    v2tudnew  
       215 天前
    没办法凉凉了,而且即使你付钱了对方也不一定会解,平时多备份吧。
    phub2020
        8
    phub2020  
       215 天前
    nas 直接连外网?一般不都是用 nas 自带的外网链接服务嘛,群晖就有一个 qc 可以用呀。
    villivateur
        9
    villivateur  
       215 天前 via Android
    吸取教训吧,NAS 不要连外网,数据经常备份
    Mithril
        10
    Mithril  
       215 天前
    @phub2020
    @Acoffice
    没准是他们哪台电脑中了毒,然后映射了网络驱动器
    mosfet
        11
    mosfet  
       215 天前
    把各种服务的默认端口改一改就能规避大部分攻击了...
    大概率给赎金了也不给你解,看对方人品
    libook
        12
    libook  
       215 天前
    我们公司遇到过,是 PC 先中的毒,因为 PC 挂载了 NAS ,所以捎带着把 NAS 也加密了。

    联系一下 360 吧,我们是联系他们,运气比较好解密了了绝大多数数据。
    szqhades
        13
    szqhades  
    OP
       215 天前
    @libook #12 我们没有用 360 的产品,请问大概是什么费用呢?
    Maskeney
        14
    Maskeney  
       215 天前 via Android
    你确定是 NAS 中招而不是某台有 SMB/NFS 等读写权限的机器中招么…另外没看懂为什么要提一嘴 RAID1
    gscsnm
        15
    gscsnm  
       215 天前
    。。。。我刚刚下单了一台威联通,我要不要退货。。
    libook
        16
    libook  
       215 天前
    @szqhades #12 我们也没用,我们有同事在 360 有认识的人,所以他们低价帮忙的……你们直接派商务去咨询就好了,可能也不会很贵吧。
    bt7vip
        17
    bt7vip  
       215 天前 via Android
    这是安全问题,nas 不 nas 不是重点,前两天还看见俩哥们在哪吵 raid 是不是备份,这下不用吵了,遇到的企业会吃一堑长一智,没遇到过的企业依旧万年不打补丁的在狂奔
    felixcode
        18
    felixcode  
       215 天前
    所以 RAID 不是用来做备份的,而是为了提高可用性的。
    RAID1 也不行。
    JellyBeanX
        19
    JellyBeanX  
       215 天前
    吓得我赶紧把家里的群晖 DDNS 关了
    wanguorui123
        20
    wanguorui123  
       215 天前
    NAS 上安装了一堆漏洞百出的软件不黑就怪了
    delectate
        21
    delectate  
       215 天前
    2021-12-28 14:52:10 威联通 NAS 设备在圣诞期间遭到了勒索攻击 https://www.freebuf.com/news/317647.html
    2022-01-10 16:03:57 威联通(QNAP)监测到大量来历不明的攻击 请用户不要将 NAS 暴露在公网 https://www.landian.vip/archives/92141.html

    因为自己在用 qnap ,所以立即就关掉了所有外网的服务。
    最可怕的是不知道漏洞来自哪里,唯一的办法是先断网保证安全。
    楼上提到的,切换到冷门端口什么的,基本没效果,不建议使用。
    如果真的没办法停服断网,那么先把没用的 media statio 什么的都关掉,能关闭的都关掉。停用 admin 账号,严格限制其他账号权限。
    Chihaya0824
        22
    Chihaya0824  
       215 天前
    吓得我赶紧看了一眼群晖有没有更新,并更新了最新的系统(
    root01
        23
    root01  
       215 天前
    以前给上家狗逼公司搞了 2 台 nas 来做版本备份,美滋滋 一中毒就恢复版本
    bbis
        24
    bbis  
       215 天前 via iPhone
    听说中了勒索病毒后,不要重启 NAS ,联系威联通官方,有个解密工具
    ericFork
        25
    ericFork  
       214 天前
    会不会是和最近的 log4j 漏洞有关
    serafin
        26
    serafin  
       212 天前
    本来还想说看看有没有拍快照,看了新闻才知道病毒在系统管理员组中创建了一个账号, 就算拍照快手也会被删掉。 是一个 针对威联通的病毒, 联系一下威联通看看他们怎么说。
    serafin
        27
    serafin  
       212 天前
    像我做了远程备份, 要是病毒在系统管理员组中创建了一个账号,大概率你能把你的远程备份给删了。
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1839 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 16:41 · PVG 00:41 · LAX 09:41 · JFK 12:41
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.