03-09-2022, 06:08 PM
(Este mensaje fue modificado por última vez en: 03-09-2022, 06:09 PM por javi_frances.)
Buenas tardes a todos,
Publico este tema para comentar mi reciente experiencia (hoy, 3 de septiembre de 2022) con este bicho de deadbolt... y pedir ayuda sobre todo para evitar este problema en el futuro (que es lo que más me interesa ahora mismo).
Datos del NAS afectado:
QNAP TS 228
QTS 4.3.6.2050 Build 20220526
Accedo al NAS vía web y me encuentro con la nota de secuestro en la página de login ya secuestrada (adelanto que añadiendo :8080/cgi-bin/index.cgi después de la IP conseguí acceder) a la cual, por supuesto, no hago caso (piden 0.03 BTC que ahora mismo al cambio son casi 1000€, además que no me fio un pelo y tengo varios backups, por lo que mis datos están al día y a salvo...).
Una vez dentro, empiezo a investigar archivos y demás, para mi sorpresa no hay "demasiados" archivos infectados (aprox. un 20% del total) y ejecuto el Malware Remover que al terminar me deja este mensaje en el registro: "Removed high-risk malware. Repaired official app list in App Center". Ni idea, ya que no observo cambios ni de apps ni de este bicho... (al iniciar sesión). Los archivos infectados (encriptados) han cambiado a la extensión .deadbolt y por supuesto, son inservibles. Me da la sensación que los archivos se han ido infectando en orden alfabético siguiendo la estructura de carpetas (que también, por defecto, se encuentran en orden alfabético) y hay archivos encriptados de imagen, word, excel y vídeo, también archivos grandes de vídeo (películas).
Al entrar en el monitor de recursos no veo ningún proceso que me extrañe ni que esté consumiendo muchos recursos pero, como comenté antes, si salgo (y vuelvo a entrar) al NAS, sigue apareciendo la "fantástica" nota de rescate de estos cabritos... por lo que, como también dije antes, no me fio y me preparo para un "Hard Reset". Mi intención es dejarlo de fábrica y empezar de 0, ya que tengo mis datos a salvo solo me toca echarle horas a la configuración del NAS y los distintos servicios, además de volcar de nuevo mis archivos. Algo rollo y engorroso, pero mejor eso que otra cosa...
Mi cuestión ahora es, si tenía el firmware del NAS al día, ¿Cómo me he infectado? Es mi máxima preocupación ahora porque quiero evitar toparme con esto de nuevo en el futuro...
Muchas gracias a todos por leer.
Si alguien tiene alguna idea, me encantará leerla :)
Publico este tema para comentar mi reciente experiencia (hoy, 3 de septiembre de 2022) con este bicho de deadbolt... y pedir ayuda sobre todo para evitar este problema en el futuro (que es lo que más me interesa ahora mismo).
Datos del NAS afectado:
QNAP TS 228
QTS 4.3.6.2050 Build 20220526
Accedo al NAS vía web y me encuentro con la nota de secuestro en la página de login ya secuestrada (adelanto que añadiendo :8080/cgi-bin/index.cgi después de la IP conseguí acceder) a la cual, por supuesto, no hago caso (piden 0.03 BTC que ahora mismo al cambio son casi 1000€, además que no me fio un pelo y tengo varios backups, por lo que mis datos están al día y a salvo...).
Una vez dentro, empiezo a investigar archivos y demás, para mi sorpresa no hay "demasiados" archivos infectados (aprox. un 20% del total) y ejecuto el Malware Remover que al terminar me deja este mensaje en el registro: "Removed high-risk malware. Repaired official app list in App Center". Ni idea, ya que no observo cambios ni de apps ni de este bicho... (al iniciar sesión). Los archivos infectados (encriptados) han cambiado a la extensión .deadbolt y por supuesto, son inservibles. Me da la sensación que los archivos se han ido infectando en orden alfabético siguiendo la estructura de carpetas (que también, por defecto, se encuentran en orden alfabético) y hay archivos encriptados de imagen, word, excel y vídeo, también archivos grandes de vídeo (películas).
Al entrar en el monitor de recursos no veo ningún proceso que me extrañe ni que esté consumiendo muchos recursos pero, como comenté antes, si salgo (y vuelvo a entrar) al NAS, sigue apareciendo la "fantástica" nota de rescate de estos cabritos... por lo que, como también dije antes, no me fio y me preparo para un "Hard Reset". Mi intención es dejarlo de fábrica y empezar de 0, ya que tengo mis datos a salvo solo me toca echarle horas a la configuración del NAS y los distintos servicios, además de volcar de nuevo mis archivos. Algo rollo y engorroso, pero mejor eso que otra cosa...
Mi cuestión ahora es, si tenía el firmware del NAS al día, ¿Cómo me he infectado? Es mi máxima preocupación ahora porque quiero evitar toparme con esto de nuevo en el futuro...
Muchas gracias a todos por leer.
Si alguien tiene alguna idea, me encantará leerla :)