tudom hülyeség volt nyitva tartani a DMZ-t, de 12 karakteres jelszó, kis nagybetű, + számok azthittem jó valamire...
ebből tanultam, viszont a kérdés adott, mi tévő legyek a le nem titkosított file-okkal, illetve hogy a NAS-ból ki lehet-e pucolni valahogy

M5A99X-EVO R2.0 , 1050Ti, 4x8GB 1960MHz , FX 8350@4,4GHz, 1x3TB+2x1TB HDD, 120GB+480GB+1TB SSD || HP Pavilion 15-CX0000NH

A Zyxelnek sebezhető a rendszere? Vagy hogyan tudott futni a vírus?

Rock and stone, to the bone! Leave no dwarf behind!

A cucc valószínű a lemez minden részén ott van, ha több lemez van, valószínű mindegyiken. Az biztos, hogy nem raknám át máshová. Ha jól olvastam, egy direkt Samba szervereket megfertőző cuccot kaptál.

Hirtelen keresve nem találtam dekriptert ehhez, de lehet, hogy a pát létező közül egy működik vele.

Eső után köpönyeg, de szakdolgozatot Google Dokumentumokban írnám, az atomtámadás ellen is védett...

[ Szerkesztve ]

'' Az élet egyszerű. Döntéseket hozol és nem nézel vissza.'' // Tomorrow's just your future yesterday!

szakdolgozat írással kapcsolatosak azon vannak

igen, 2 lemez van viszonylag sok adattal már

M5A99X-EVO R2.0 , 1050Ti, 4x8GB 1960MHz , FX 8350@4,4GHz, 1x3TB+2x1TB HDD, 120GB+480GB+1TB SSD || HP Pavilion 15-CX0000NH

Hű, jó lesz vigyázni. Nálam a router és a NAS is külön jelszóval védett, viszont külső elérés/domain nincs hozzárendelve, így is bejöhet ilyen alattomos féreg ?

nekem is külön jelszó.

Transmission torrent app és zyxel drive mobil appok kívülről hozzáférhettek nálam

M5A99X-EVO R2.0 , 1050Ti, 4x8GB 1960MHz , FX 8350@4,4GHz, 1x3TB+2x1TB HDD, 120GB+480GB+1TB SSD || HP Pavilion 15-CX0000NH

Akkor talán valamelyik kódja/sebezhetősége a gond. Valamelyik kliens eszközödön vagy a NAS oprendszerén el kell hogy induljon a fertőzéshez.

Az lehet, hogy egy írási joggal rendelkező winfosch kliensen futott a féreg? Nem vmi biztonságosabb féle linux megy ezeken a nas-okon?

Mielőtt a fájlok mentésének nekikezdenél, egy kaspersky/egyéb liveUSB-s féregirtást javaslok a NAS-on és az összes kliensen. Utána egyrészt nem kéne, hogy bármi egye a fájljaidat, másrészt biztonságosan kezelheted/másolhatod a tartalmát.

[ Szerkesztve ]

Mindig meglep milyen sokan hiszik el, hogy van ingyen ebéd.

mobilom, asztali gép és a laptopom volt csak kliens.

NAS-nál nem tudom milyen mélyen ette bele magát a rendszerbe ilyenkor, hogy egy factory reset elég vagy firmware újrahúzás

M5A99X-EVO R2.0 , 1050Ti, 4x8GB 1960MHz , FX 8350@4,4GHz, 1x3TB+2x1TB HDD, 120GB+480GB+1TB SSD || HP Pavilion 15-CX0000NH

Én "kívülről" húznám újra a FW-t, nem a beépített factory resettel.

Mindig meglep milyen sokan hiszik el, hogy van ingyen ebéd.

mivel nem tudok belépni a NAS-ba , mert az admin jelszó is módosítva lett, így a beépítettel nem is igazán tudok mit kezdeni első körben

M5A99X-EVO R2.0 , 1050Ti, 4x8GB 1960MHz , FX 8350@4,4GHz, 1x3TB+2x1TB HDD, 120GB+480GB+1TB SSD || HP Pavilion 15-CX0000NH

Jogos, ennyi.

Mindig meglep milyen sokan hiszik el, hogy van ingyen ebéd.

Resetelni nem tudod, mert általában ezeket az eszközöket simán lehet resetelni. Próbáld meg ezt.

Én is a "szerencsések" között voltam akik megkapták kb 2 hete. Azóta a Zyxel fórumban már többen is jelezték.
Nekem a 2 HDD közül csak az egyiket érintette a titkosítás. A fertőzött HDD-ről ami még menthető volt azt mentettem egy külső HDD-re, aztán teljesen leformatáltam a teljes HDD-t.
Nekem windows sem volt a rendszerben és semmilyen külső elérés vagy portnyitás sem volt. DMZ és UPNP sem volt.
Amiben talán hibáztam, hogy a vendég (jelszó nélküli) felhasználónak is adtam írási jogot korábban SMB-n.. Illetve az SSH folyamatosan engedélyezve volt a NAS-on.
Azóta elvettem az írási jogot a jelszó nélküli felhasználótól, kikapcsoltam az SSH-t. Illetve kikapcsoltam az FTP-t is. A NAS logja alapján szinte folyamatosan FTP-n keresztül próbáltak bejutni kívülről.
Amióta ezeket megtettem a log alapján nyugalom van, nincsenek próbálkozások.

[ Szerkesztve ]

Itt [link] egyébként írnak bővebben a vírusról.

A másik ami lényeges infó lehet, hogy tulajdonképpen nincsen vírus magán a nas-on, hanem kívülről sambán keresztül történik a titkosítás. Magyarán a le nem titkosított fájlokat elvileg nyugodtan le lehet menteni és visszaállítani, mert nem fertőzöttek.

Igen?

Ez részben jó hír, de részben elég ijesztő is.

M5A99X-EVO R2.0 , 1050Ti, 4x8GB 1960MHz , FX 8350@4,4GHz, 1x3TB+2x1TB HDD, 120GB+480GB+1TB SSD || HP Pavilion 15-CX0000NH

WoW!

Ez alapján jó, hogy én eleve csak lokális elérést engedtem eddig is.

A bejegyzéshez: ez alapján nincs még decryptor. Sajnos a legjobb, amit tenni tudsz, hogy kiveszed a lemezt (lemezeket), és megvárod, amíg lesz egy NamPoHyu decryptor. Gondolom 250$-t nem szeretnél fizetni...

Légvédelmisek mottója: Lődd le mind! Majd a földön szétválogatjuk.

Pár napja írtál ubisoftos belépésekről. Nem függ össze valahogy a kettő?

90%-ban a rajta lévő dolgokról volt mentésem máshol is. A filmek amik elvesztek meg letöltöttem újra. Kb 20-30 olyan képem lett ami elveszett.
Én a le nem kódolt adatokat lementettem egy külső HDD-re. A fertőzött HDD-t leformatáltam, majd a mentést innen-onnan visszamásoltam.

Nem tudom a lokálist mire érted pontosan, de nálam sem volt külső elérés engedélyezve. Nem voltak portok sem nyitva.

[ Szerkesztve ]

Nálam a Samba egy linux alatt fut, szóval ez más tészta.

A lokális elérés engedélyezése annyi, hogy be van állítva a Samba.conf fájlban az, hogy csak adott IP-kről fogadjon el meghívást.

Gondolom a Zyxel esetében ez egy kapcsoló lehet(ett).

Légvédelmisek mottója: Lődd le mind! Majd a földön szétválogatjuk.

A NAS-on is linux fut nem?
Egyébként én meg OSX-et használok.

Yepp, de élek a gyanúval, hogy ő nem egy Samba.conf fájlt szerkesztget, hanem különféle kapcsolókkal teli GUI-n állítgatja a dolgokat.

Jó ideje nem volt dolgom Zyxel cuccokkal, de amennyire rémlik, anno nem lehetett korlátozni a fogadott IP-k alapján a HOSTS-okat, csak user és group alapján lehetett meghatározni, hogy mit engedélyezel nekik.

Légvédelmisek mottója: Lődd le mind! Majd a földön szétválogatjuk.

Ez így van. Amiben én nagyot hibáztam az az volt, hogy a vendég, jelszó nélküli usernek is adtam irási jogot.
Bár a gyanúm szerint én FTP-n keresztül kaptam be. Napokig látható volt a logban még utána is, különféle ip-ről be akarnak lépni. Aztán mióta kikapcsoltam az FTP-t nem látok semmi rendellenességet.

Sokan térképeznek fel portokat, Shodan is ezt csinálja, mindig fel is hívja rá a figyelmet.
Apropó, az én avatarom is Shodan.

Rock and stone, to the bone! Leave no dwarf behind!

[link]

Nem tudom, hogy működik-e. Nekem már nincsen egyetlen lekódolt fájl sem meg, így nem tudtam kipróbálni.