Ransomware su 214play
Inviato: giovedì 18 aprile 2024, 23:38
Ciao a tutti.
Come anticipato nella presentazione, ieri accedendo al mio 214play ho trovato il volume con solo 3 file !!!Read Me!!!.txt e lo spazio occupato ridotto a circa 500 Gb contro i circa 2.5 Tb abituali.
Nel file sostanzialmente si chiede di pagare un riscatto per la restituzione dei dati, cosa che non ho intenzione di fare. Da una breve ricerca in rete ho scoperto che si tratta di un ransomware chiamato DiskStation Security e che non c'è nessun modo per recuperare i dati, per cui li dò per persi.
Ho spento il NAS, per ora, e cambiato una marea di password per sicurezza, anche se dubito che vadano a spulciare file per file per trovarle.
Non ho problemi a recuperare i dati persi perchè comunque ho altri backup sia su un altro vecchio nas che su diversi HD completamente staccati dalla rete; è solo una scocciatura e un grande spreco di tempo.
Ora però il mio problema è evitare che questa cosa si ripeta.
Usavo (e vorrei continuare a farlo) il NAS per salvare foto e documenti con Photos e Drive accedendo con quickconnect dall'esterno della mia rete; inoltre accedevo, con lo stesso sistema, alle cam di sorveglianza con Surveillance. Oltre a salvare periodicamente file in LAN con un programma automatico di backup (FreeFileSync).
Ho sempre aggiornato il DSM, era al fw 7.0 o 7.1, sinceramente non ricordo, ma era l'ultimo disponibile.
Avevo disabilitato l'admin e creato un utente amministratore con un altro nome e 2fa; e proprio con questo l'hacker è entrato, senza che mi arrivasse nessuna notifica, qualche giorno fa. Nel log c'è un accesso dalla Germania con quell'account l'11/4 (con tanto di IP) e poi il mio ultimo.
Non frequento siti strani, non ho rilevato malware nel mio computer e l'unica cosa cambiata in questi ultimi tempi è stato solo il passaggio a Iliad, per cui sembra che debba usare per forza IPV6, mentre in precedenza col vecchio router l'avevo disabilitato. Inoltre con questo router ho usato unpn, cosa che non facevo con quello precedente di fastweb.
Ora, cosa faccio? Basta formattare i dischi e installare DSM da capo per liberarmi dal ransomware?
Soprattutto, posso farlo collegandolo in LAN o al PC o c'è il rischio che il virus si diffonda?
E poi, quali procedure di sicurezza devo seguire, oltre a quelle consigliate dal Nas stesso che avevo già applicato, ma che evidentemente non sono state sufficienti?
Potrei anche bloccare gli accessi da fuori Italia, ma ho il sospetto che per un hacker sarebbe facile cambiare IP.
Scusate la lunghezza e le domande complesse e grazie se potrete aiutarmi.
Come anticipato nella presentazione, ieri accedendo al mio 214play ho trovato il volume con solo 3 file !!!Read Me!!!.txt e lo spazio occupato ridotto a circa 500 Gb contro i circa 2.5 Tb abituali.
Nel file sostanzialmente si chiede di pagare un riscatto per la restituzione dei dati, cosa che non ho intenzione di fare. Da una breve ricerca in rete ho scoperto che si tratta di un ransomware chiamato DiskStation Security e che non c'è nessun modo per recuperare i dati, per cui li dò per persi.
Ho spento il NAS, per ora, e cambiato una marea di password per sicurezza, anche se dubito che vadano a spulciare file per file per trovarle.
Non ho problemi a recuperare i dati persi perchè comunque ho altri backup sia su un altro vecchio nas che su diversi HD completamente staccati dalla rete; è solo una scocciatura e un grande spreco di tempo.
Ora però il mio problema è evitare che questa cosa si ripeta.
Usavo (e vorrei continuare a farlo) il NAS per salvare foto e documenti con Photos e Drive accedendo con quickconnect dall'esterno della mia rete; inoltre accedevo, con lo stesso sistema, alle cam di sorveglianza con Surveillance. Oltre a salvare periodicamente file in LAN con un programma automatico di backup (FreeFileSync).
Ho sempre aggiornato il DSM, era al fw 7.0 o 7.1, sinceramente non ricordo, ma era l'ultimo disponibile.
Avevo disabilitato l'admin e creato un utente amministratore con un altro nome e 2fa; e proprio con questo l'hacker è entrato, senza che mi arrivasse nessuna notifica, qualche giorno fa. Nel log c'è un accesso dalla Germania con quell'account l'11/4 (con tanto di IP) e poi il mio ultimo.
Non frequento siti strani, non ho rilevato malware nel mio computer e l'unica cosa cambiata in questi ultimi tempi è stato solo il passaggio a Iliad, per cui sembra che debba usare per forza IPV6, mentre in precedenza col vecchio router l'avevo disabilitato. Inoltre con questo router ho usato unpn, cosa che non facevo con quello precedente di fastweb.
Ora, cosa faccio? Basta formattare i dischi e installare DSM da capo per liberarmi dal ransomware?
Soprattutto, posso farlo collegandolo in LAN o al PC o c'è il rischio che il virus si diffonda?
E poi, quali procedure di sicurezza devo seguire, oltre a quelle consigliate dal Nas stesso che avevo già applicato, ma che evidentemente non sono state sufficienti?
Potrei anche bloccare gli accessi da fuori Italia, ma ho il sospetto che per un hacker sarebbe facile cambiare IP.
Scusate la lunghezza e le domande complesse e grazie se potrete aiutarmi.