Virus en ts-228A
#1
Hoa

El viernes a las 23:30 parece que ha entrado un ramsonware y me ha encryptado parte del HdD 1.

Como es posible?

me he encontrado un fichero llamado README_FOR_DECRYPT.txt que esta con este texto:

All your data has been locked(crypted).
How to unclock(decrypt) instruction located in this TOR website: http://sg3dwqfpnr4sl5hh.onion/order/15FK...aE2AXH1YF6
Use TOR browser for access .onion websites.
https://duckduckgo.com/html?q=tor+browser+how+to


Do NOT remove this file and NOT remove last line in this file!


Ideas???
  Responder
#2
Hola
Lo primero aislar ese equipo de internet y de la red.
¿Es posible que te lo hayan cifrado desde otro equipo de la redacción compartir carpetas?
¿Tienes la nas accesible internet?
¿La tienes en un DMZ?

Has de asegurarte que NO lo tienes activo en ningún equipo.

Lo ideal para sería restaurar desde una instantánea.
Si no lo tienes, lo siguiente es restaurar desde copia de seguridad.



Un saludo

Agur eta ondo ibilli

Mon (TS-469Pro, TVS-673, QBoat Sunny y TS-453Be)
Un saludo

Agur eta ondo ibili

Ganekogorta (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be, TR-002 y QHora-301w) Ʀɐɯ0η
  Responder
#3
Lo primero aislar ese equipo de internet y de la red.
Hecho mas o menos, he necesitado internet para hacer la actualizacion que acaba de salir
¿Es posible que te lo hayan cifrado desde otro equipo de la redacción compartir carpetas?
Solo estaba un equipo en marcha y esta limpio, con kaspersky internet security y malwarebytes
¿Tienes la nas accesible internet?
si
¿La tienes en un DMZ?
no
Has de asegurarte que NO lo tienes activo en ningún equipo.
Limpios

Lo ideal para sería restaurar desde una instantánea.
no hay
Si no lo tienes, lo siguiente es restaurar desde copia de seguridad.
Es lo que hare.

Eskerrik asko por la pronta respuesta

El problema es como ha entrado? tenia el modulo de antivirus y ramsonware activados en el nas. La ccesibilidad es a traves de su id en su pagina
  Responder
#4
Hola
Ahora has de ver qué servicios tienes abiertos y accesibles desde internet.

Revisa que no tengas claves por defecto en NINGÚN servicio activo y abre sólo lo mínimo y necesario en tu router.

Se me hace raro que sólo te haya cifrado parte de la nas y no todas las carpetas. Lo cual quiere decir que no tenía acceso a todo o bien que no le dio tiempo a hacerlo ya que te diste cuenta de ello.

Si puedes activa para el usuario admin el segundo factor de autenticación.

Evita usar el usuario admin y usa usuarios para servicios concretos para que en caso de que te saquen una clave, sólo hagan la faena en esa sección.

Activa la seguridad y haz bloqueos permanentes a ssh, telnet. Para los otro pon periodos de tiempo razonables, no vaya a ser que te bloquees tú mismo para siempre [emoji6]

Si tu otro equipo está limpio ¿Tienes el wifi asegurado o medianamente protegido? [emoji848]

Aquí el servicio de instantáneas habría sido tu salvación. Aunque consuma espacio, es una buena inversión.


Un saludo

Agur eta ondo ibilli

Mon (TS-469Pro, TVS-673, QBoat Sunny y TS-453Be)
Un saludo

Agur eta ondo ibili

Ganekogorta (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be, TR-002 y QHora-301w) Ʀɐɯ0η
  Responder




Usuarios navegando en este tema: 1 invitado(s)