Sajnos az 1-es lemezemet nem akarja olvasni a linux reader.
szerintetek, ha visszarakom a nasba és apdételem, ahogy az asus javasolta, megmaradnak rajta a cuccaim?

Nem tudom, még várok (és nem vagyok otthon).
A nagy Asustor fórumon valaki azt javasolta, hogy csak egy régi vinyót tegyél be, az összeset vedd ki, majd frissítsd le. Utána egyesével tedd be, mintha "hot swap" lenne. Elméletileg minden megmarad így.

Gratula,használd egészséggel és felelőséggel

.... .- --... -.- ..-. . -.- .-. .- ..-. - .-- . .-. -.- .-. .- -.. .. --- .- -.-. - .. ...- .. - -.--

Grat Ha kell segíteni bármiben szólj és ha tudok segítek.

"The quieter you become, the more you are able to hear..." ― Ram Dass

Toltam egy NAS resetet, most megy a R5 btrfs raid sync, közben átállítom a portokat, aztán/közben csinálom a lépésről lépésre útmutatót

elindult,
2. vinyón nem volt kódolás, az elsőn allig maradt ép fájl,
ellenben dereng egy kis fény talán az alagút végén:
[link]
Posted Today, 10:20 AM
Guess who is back with another recovery script

We are close to having a final solution on how to get some of your data back.
(If you do not know, we are the guys who created a recovery method for a previous QNAP ransomware attack.)

We need to do some final testing and we need to create a new tutorial for the new recovery script called "bolt-recover".
It will be very similar to our old tutorial, only the script has changed.

Until we release the new script and tutorial, you can do steps 1 - 14 from this tutorial, as it will be the same in the new one.
https://www.ikarussecurity.com/wp-content/downloads/qlocker/q-recover-manual-final.pdf

If you do this you can use the script immediately as it gets available.

This will work for both QNAP and ASUSTOR devices.

Make sure to NOT write any data to your devices, as it will lower any chances of recovery.

volna egy kérdésem:
két hdd volt a nasba és frissítés után a nas most a két hdd-vel működik

a kérdés az, hogy ha egy új hddvel telepítem a nast, akkor a későbbiekben a nasba visszateszem az 1. még részben kódolt adatos hdd-t akkor az elindul normálisan?

Magyarul két telepítés kezelhető-e külön, vagy a régi hdd-t már nem úgy kezeli? Illetve, kell-e neki a 2. hdd ebben az esetben?

PC-nél ugyan abban a gépben cserélgethetem ill. visszatehetem a régi hdd-t, ezért gondoltam, hogy talán itt is (ha az 1. hdd-n van a rendszer.)

Elvileg ez az egyik előnye, hogy simán át lehet tenni másik Asustor-ba és megy tovább, mintha semmi nem történt volna.
Az ADM és beállítások a lemezeken vannak.

Gyakorlatilag meg...volt kinek nem ment. De hát elvileg ransomware llen is védett az Asustor, aztán meg most látjuk, hogy nem.

[ Szerkesztve ]

Na a reset megvolt.
- nem admin user létrehozás System Admin jogkörrel és erős jelszóval
- R5 létrehozás és a 4ik lemezből Single Volume
- user-ek létrehozása, mind egyedi erős jelszóval
- Share-ek lértehozása, kamera rögzítéses titkosítva
- alap portok átállítása tök másra a NAS-on és a routerben is
- GeoLoc, ClamAV, DL Center, Plex fel és beállít
- Ez-Connect és EZ-router ellenőrzése, hogy ne legyen (nem is volt)
- Mobil app ellenőrzés, hogy azzal megy e a logon (csak helyi hálón megy, mert útközben nem tudni a WAN IP-t, bár elég fix)
- hosszú várás a raid sync-re (nálam üresen 6 óra, de mesék mennek már fel, az kevés)

Már megy fel pár mentett cucc és újra a gépek mentése.
Beparáztatott, mert nem látta 'Unsupported filesystem' üzenettel a külső, ntfs mentést.
De már volt ilyen, restart után jó szokott lenni, de nem indult újra, csak tekert. Második újraindításra jó lett.

Most azzal küzdök, hogy a Plex is menjen. Desktop kliens és mobilapp megy, de ADM-ből indítva nem jön be. Sztem port problémák, de akkor nem értem a többi miért megy.

Most azzal küzdök, hogy a Plex is menjen. Desktop kliens és mobilapp megy, de ADM-ből indítva nem jön be. Sztem port problémák, de akkor nem értem a többi miért megy.

Megvan a baj, hittem a leírásnak, miszerint:
Enable server support for IPv6
és Secure connections 'Required': When set to "Required", some unencrypted connections (originating from the Media Server computer) will still be allowed and apps that don't support secure connections will not be able to connect at all.
Hát nem Required, hanem Preferred.
Most jó.

RaidSync közben nem jó másolni, mert beesik a sync és a másolási sebesség.

Vicc! Már kezdem elhinni, hogy kis pénzt csinál magának az Asustor... Program, hogy tudjál fizetni!? Okádék ez az egész!

Ezen filóztam, hogy hogy csinálták.
Sajátot írtak/replikálták vagy felhasználták a támadókét.
Előbbi esetbenfelmerül a belsős gyanu - bennem - utóbbiban nagyon hozzáértők, hogy kiszedték a titkosítást és csak a feloldást meg tudták tartani. De mindenképp gyanus - nekem.

Szerintem felreertitek, annak a lehetőségét tartják fenn,hogy ha nem volt semmi backupod és emiatt ki szeretnéd fizetni a hackereknek a pénzt akkor így megteheted.

Az elég ciki lenne ha az update leturná az oldalt ahol látod hová kell utalni,mert akkor akinek tényleg nagyon fontos adatai vannak nem tudná visszaszerezni.

valóban, igazad van,
de ennek a lépésnek sajnos két üzenete van

Senki sem 'szeretné' kifizetni, rá vannak kényszerülve, páran. És még, hogy nem személyes ügy.

Az a bosszantó, hogy nem a problémát szüntetik meg, hanem hárítanak.

Most nekem reset után, port átállításokkal, erős, kb megjegyezhetetlen jelszóval nincs bizodalmam abban, hogy nem fordul elő újra.

érthető ha valaki ezek után elveszíti a bizalmát... viszont milyen alternatívád van? qnap beszívta, synology-n is volt már, de nem ekkora mértékben... építesz sajátot? és azt milyen alapokra helyezed? freebsd? unix? linux?
én szerencsésen megúsztam mivel net felől abszolút láthatatlan a nas-om, semmilyen net kapcsolat nincs neki engedélyezve router-ben és a nas-nak sincs semmilyen funkciója a net felé bekapcsolva...
pedig bevallom, hogy ennek ellenére szó szerint be voltam tojva amikor hallottam hogy qnap után asustor is elkapta ezt a nyavaját

Hát erre nincs megoldás, ilyen a kódolás, titkosítás.

Vpn-t kell használni vagy offline üzemeltetni.

Épített nas is torheto főleg ha nem értesz a hálózatokhoz akkor meg mindegy igazából mert akkor te mint adminisztrátor vagy a leggyengébb pont.

Jött asustor-tól egy mail-em, amiben egy weboldalra irányítanak. Gyakorlatilag úgy olvastam, ha csak egy köteted volt a NAS-ban, akkor vagy fizetsz vagy fújhatod az adataidat. Én lekapcsoltam kódolás közben, így megszakadt a folyamat, viszont nullás a NAS, tehát újra kéne inicializálni. RAID1-ben volt két vinyó, szóval csak egy aktív kötetem volt. Amit ugye megtámadott a vírus. Tehát akkor nekem (szerintem) semmi értelme várnom bármi megoldásra. Update aztán újrainicializálás... aztán buktam kb 300 filmet meg vagy 10 sorozatot. Nyilván nem pótolhatatlan, de hetekbe tellik mire meglesz újra a nagy része. Aztán fene tudja mikor lesz megint hasonló...Most azon filózom, hogy kéne egy kisebb lemezből (vagy kettőből) elsődlegesen egy egyes kötetet létrehoznom. Azon lenne a rendszer kb a két nagy HDD-n meg lenne az adat ugyanúgy RAID1-be. Bár más vírusnál meg lehet más lenne a támadási prioritás....

Ha már veszem a fáradtságot, és értékellek a kötött üzlet után, úgy te is tedd ezt meg!

a leírás szerinti frissítés után nem volt adatvesztés, ami még nem volt kódolva menthető
ne inicializáld

Akkor ha csak egy kötetem volt, és az inicializáló képernyőről ADM-et frissítek, elvileg ami nem lett titkosítva az megmarad?

Ha már veszem a fáradtságot, és értékellek a kötött üzlet után, úgy te is tedd ezt meg!

HA le van állítva a process és törölve a kártevő az indítótáblából, akor nem folytatja a tevékenységét és ami hátravan megmarad.
De még így is pár app áldozatul eshet, ami leszedés-újratelepítéssel helyrejön.

Mostanaban eleg sok ilyen "tamadast" erzekel a router.
Vajon kapcsolatban lehet a zsarolovirussal?

harley-davidson-nyiregyhaza.hu

Ezt értem. Viszont ha bekapcsolom a NAS-t, nem látom se applikációból, se PC-ről a fix beállított belső IP-n. ASUS control centerrel megtalálom, de ugye ott úgy néz ki, mintha most üzemeltem volna be először. Ezen is segít az update-es megoldás? Mert úgy vettem ki a dolgokból, hogy a támadás a volume 1-et fingatta ki. Nekem meg 2 vinyó volt benne csak RAID1-ben. Tudom azon belül is külön partíciók vannak az adatoknak és a rendszernek is. Akkor lehet, hogy az adatok egy részét, vagy egészét így vissza tudom nyerni?

Ha már veszem a fáradtságot, és értékellek a kötött üzlet után, úgy te is tedd ezt meg!

Az update nem sedi ki a kort a gepbok. Nem tudom megakadalyozza e a tovabbiakat is egyaltalan.
belepni a konzolos parancsokat vegrehajtva lehet.

két kötet volt, a 2.-on nem volt kódolt állomány, az elsőn fele kódolt csak. mindent látsz, csak a kódoltat nem tudod használni

új vinyóval telepítettem a nast, de most feltettem a transmission és nem enged belépni a transmission oldalra. Se userrel, se adminnal.
Mi lehet a gond?

Nos a tapasztalat: egy kötetben volt egy 4lemezes AS3304T-ben két db 8TB vinyó RAID1-be tükrözve. Megszakítottam a kódolási folyamatot ami miatt sérült a NAS fájlrendszere. Az ASUS által adott leírás szerint frissíttettem az ADM-et, ami így javította azt. A régi beállításaimmal be is tudtam lépni a NAS-ba. Jelenleg ami a lemez elején volt adat az megy a levesbe. Sorozatok és letöltött fájlok mind... viszont a kb 300-as filmgyűjteményemből csak alig lett lekódolva 30... Ami elég jó arány. VISZONT! Ahogy látom nem minden kiterjesztésű fájlt támadott meg. Pl nfo, img, apk fájlokat nem támadott meg... Ez azért kicsit fura... A megfelelő portokat módosítottam,illetve kikapcsoltam a szolgáltatásokat. Egyelőre úgy néz ki, nem lett akkora gáz... kopp-kopp...

[ Szerkesztve ]

Ha már veszem a fáradtságot, és értékellek a kötött üzlet után, úgy te is tedd ezt meg!

Most ahogy nézem a hétköznapokban a hétköznapi user által gyakran használt fájlkiterjesztések lettek megtámadva. Van a kínai androidos mediaplayerem firmwareje img fájl, azt nem bántotta. Filmek melletti NFO fájlok szintén...

Ha már veszem a fáradtságot, és értékellek a kötött üzlet után, úgy te is tedd ezt meg!

egy kis segítséget kérnék:
feltettem a transmission-t semilyen adminnal sem tudok rá belépni (de a leírásban szereplő belépéssel igen : trsmadmin/trsmpasswd6565
jó lenne megváltoztatni,
a portot hiába nyitom meg a routeren, a transmission zárva látja
a mentési könyvtárat sem tudom megváltoztatni
ssh-val beléptem, de nincs "mc" így nem érem el a config fájlt
esetleg ssh leírás is találni valahol? (MC telepítés stb...)

Én ebben nem tudok segítani, nem használom.
1x próbáltam, de túl komplex volt az igényeimhez.
A transmission weboldala mond rakat dolgot, gondolom parametrizálni kell. Meg Docker-re is utalgat. Aki érti annak hasznos lehet, nekem nem.

Most akkor ez egy egyszeri támadásból indult fertőzős, vagy valamilyen update mellett került a rendszerbe és időzítve indult?

Ha a kérdéses időszakban nem volt bekapcsolta 1 héttel előtte időttől, hogyan tudom kideríteni, hogy ha bekapcsolomm elkezd-e "dolgozni" a nyavajás, vagy védve vagyok? Nem votl semmi aktív nálam tudtommal, csak a helyi hálózaton használtam, smb-vel.

Erre még sehol sem kaptam választ.

[ Szerkesztve ]

Nagyon régen csináltam, de az a lényeg, hogy tftpd segítségével megkerestem és szerkesztettem a settings.json fájlt. A fájlon belül rákeresel a username vagy pass szóra és meg is találod. Portot fálon belül nem tudsz állítani, ott valami gikszer van a routernél. Ellenőrizd az EZ-Router appban az állapotát. Mentési könyvtárat esetemben az alábbi fotón láthatod:

"The quieter you become, the more you are able to hear..." ― Ram Dass

Elkezdtem visszaállítani a NAS-t. Nem volt gondom az új firmware installálással. Kb. 12 alkalmazás megsérült, számos gyári is. Újrainstalláltam őket. Mennek. Utána visszatöltöttem a múlt vasárnapi snapshotot, hogy eltűntessem a zárolt fájlokat. Elején még örültem, mert a Plex megtalált mindent, a Calibre-web tudott mindent (a Dockert, a Portainert és a Calibre-Webet is újra fel kellett tennem). Viszont a Roon szervert nem hajlandó feltenni. A végtelenségig pörög. Már kétszer újraindítottam, de semmi

Úgy gondoltam mc-vel egyszerű szerkeszteni, azt kellene telepítenem a nasra ssh-ban.
könyvtár megoldódott torrentfelvételnél,
jelszót lenne jó megváltoztatni
portot kellene nyitnom, nyitottam a routeren, de a transmission nem látja,
esetleg a nason valamit be kellene állítani?
Én úgy gondoltam jobb egy új telepítés, nem tudni mit cseszett el még a vírus.

Megoldottam: még korábbról maradt egy telepítési "maradvány" a web könyvtárban és most azon nem volt hajlandó továbblépni. Kitöröltem a fájlokat, így csak a backuptól tudom visszatölteni...

Persze, az mc is opció nyilván és egyszerűbb mint a tftpd meg a parancssor
Azt hittem újratelepítés után nem sikerült a csere, de most hogy írod, szerintem mindenképp csinálj egy full resetet és clean install-t ha benyelted. Utána ha nem sikerül, akkor jelezd majd.

[ Szerkesztve ]

"The quieter you become, the more you are able to hear..." ― Ram Dass

sajnos ez a portforwarding nem megy, de úgy látom a probléma az, hogy különböznek a router wan ip cime és az asustor wan ip címe. az asustor wan ip cime egyezik a https://whatismyipaddress.com/ oldalon mutatott ip cimmel. Nem értem, hogy a routeren miért más a cím?

Erre egyszerűen nem kapok választ, pedig baromi fontos kérdés.

Most akkor ez egy egyszeri támadásból indult fertőzős, vagy valamilyen update mellett került a rendszerbe és időzítve indult?

Ha a kérdéses időszakban nem volt bekapcsolta 1 héttel előtte időttől, hogyan tudom kideríteni, hogy ha bekapcsolomm elkezd-e "dolgozni" a nyavajás, vagy védve vagyok? Nem volt semmi aktív nálam tudtommal, csak a helyi hálózaton használtam, smb-vel.

Igazából nem tudjuk. Nem derült ki erről semmi. Szerintem mentsd le a fontos adatokat, beállításokat. Majd állítsd át a portokat (ld. Asustor ajánlás), EZ-xxxx szolgáltatások kikapcsolása. A Defenderben állítsd be új szabályokat (ha nem voltak még), hogy milyen IP címekről, országokból lehet belépni a NAS-ra. Utána indulhatsz, szerintem.

köszi,
felhívtam a digit, ők natoltak , azt ígérték kiveszik

A legtöbb helyen úgy olvastam, hogy EZ-Connectel kaptuk be. Asus is ezért javasolja kikapcsolni. A demójuk is valszeg ezért nyelte be. Mert ugyanarról a ddns szerverről ment. Szóval elvileg ha csak belső hálón használja smb-vel nem lehet gond. Bár én biztos ami biztos alapon inkább letiltottam a mac-címét is a router-ben, hogy ne engedje ki a netre amíg elül a dolog...

Ha már veszem a fáradtságot, és értékellek a kötött üzlet után, úgy te is tedd ezt meg!

Mivel lecsengőben van a riadalom, kérdés milyen összegoglalót szeretnétek?

én annak mindenképpen látnám hasznát, ha az alap hálózati beállítások szájbarágósan le vannak írva. Az aktuális tapasztalatok alapján az sokaknak nagy falat elsőre és jelentősen csökkenti a kockázatokat.

Egy fórumban írta valaki Közép-Nyugatról (USA), hogy neki minden aktív volt, amit be kell most zárni, stb., viszont nem engedett más kapcsolatot, mint Közép-Nyugat, így megúszta.
Volt olyan is, akinek nem volt aktív az EZ-Connect és mégis bekapta.
Egyébként gondolkodom más DDNS szolgáltatón, mert még most sem megy. Illetve a Let's Encrypt implementáció sem 100%-os, nálam néha nyökögött a Safari, hogy nem megbízható...

Érti ezt a fene...

Én hét Asustor routerrel vagyok kapcsolatban, ebből ötön ki volt kapcsolva, kettőn meg be az EZ Connect. Amelyeken ki volt kapcsolva, megúszták, amelyeken engedélyezve volt, bekapták a titkosítást.

MaCS

Fán nem lehet motorozni, motoron viszont lehet fázni!

Csináltam összefoglalót, deadbolt-ra koncentrálva.
A kért hálózatos útmutatót nem hiszem, hogy meg tudom csinálni, de még gondolkodom rajta

ha tudok benne segíteni, szívesen teszem.