Me infecté con Deadbolt...

Kontakatilu

Hola, ayer me dí cuenta que estoy infectado por el ransomware Deadbolt... Tengo un nas Qnap TVS-472XT. Recuerdo tener activo la actualización automática de firmware, con lo cual no sé porqué me infecté, aunq creo recordar que desactivé el Malware Remover del nas...
Actualmente he apagado el Nas hasta que sepa realmente como actuar, para no seguir perdiendo archivos.
Necesitaría saber que debo hacer a partir de aquí, si esperar a que den la posible solucion para liberar los archivos o quedarme con lo que esté sin encriptar y tomar medidas.
En ambos casos agradecería que alguien me guiara para no perder todo lo que esté bien en mis discos.
Tenia 3 discos de 10TB , no tengo raids ni nada similar y me queda una bahia en el nas libre y un disco de 10TB por estrenar.

Muchas Gracias.

**Ganekogorta** · 19-03-2022, 11:24 AM

Hola
Respecto a lo infectado…poco puedes hacer excepto recuperar de las obligadas copias de seguridad.
Lo mejor es reset de fábrica y empezar de cero.
Y activar únicamente una vpn para accesos desde el exterior.

Un saludo

Agur eta ondo ibilli

Mon (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be y QHora-301w)

Kontakatilu · 19-03-2022, 11:58 AM

Si hago un reset los discos quedan intactos o le tocará formatear de nuevo????

**Ganekogorta** · 19-03-2022, 12:16 PM

Hola
Yo haría un reset de fábrica, pulsando más de 10 segundos. Te borra todo, es como empezar de cero.

Un saludo

Agur eta ondo ibilli

Mon (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be y QHora-301w)

Kontakatilu · 19-03-2022, 01:49 PM

Pero m respetara las particiones y datos de los discos???

**Ganekogorta** · 19-03-2022, 04:40 PM

(19-03-2022, 01:49 PM)Kontakatilu escribió: Pero m respetara las particiones y datos de los discos???

No respeta nada [emoji2371]
Con este tipo de encriptadores no hay una buena solución. Es mejor tirar abajo todo y empezar de cero.

Un saludo

Agur eta ondo ibilli

Mon (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be y QHora-301w)

Kontakatilu · 19-03-2022, 08:02 PM

Y alguna solucion para conservar los archivos que estan sin encriptar y resetear lo demas no hay?

**Ganekogorta** · 20-03-2022, 02:46 AM

Hola
Prueba a montar los discos en un equipo con Linux.
Echa una ojeada a https://portswigger.net/daily-swig/decry...s-infected

Un saludo

Agur eta ondo ibilli

Mon (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be y QHora-301w)

Kontakatilu · 20-03-2022, 08:19 PM

Hola, he vuelto a encender el nas, como decía en el primer post tenia la ultima version del firmware instalada pero no se porqué tenia deshabilitado el Malware Remover, ahora lo he activado y parece ser que ha detectado el malware y lo ha eliminado...
Tengo muchos datos todavia intactos, casi todo lo que me ha encriptado han sido peliculas.
Mi pregunta es, como puedo saber si el malware sigue en el nas encriptando datos? encontré un tutorial para matar el proceso, pero necesito saber el numero de proceso y por mucho que he buscado no logro dar con el...
Igual no está... pero y si?....
Mi idea sería borrar lo encriptado y dejar lo que está bien para no tener que copiarlo todo de nuevo...
Pero, quiero asegurarme de que todo esté bien.
No hay posibilidad de hacer un reset de la configuración y que respete los datos en el disco?

**Ganekogorta** · 20-03-2022, 08:55 PM

Hola

Has tenido suerte, generalmente cuando uno se da cuenta, ya es tarde y todo está cifrado.

Si Malware remover lo ha eliminado, ya no está funcionando. Generalmente dejan de estar activos al apagar la nas.

Se me hace raro que sólo haya cifrado películas, su algoritmo suele ignorarlas por su gran tamaño y se centra en documentos y archivos más pequeños y fáciles de encriptar.

Te paso un enlace de las diferentes formas de reiniciar la nas https://docs.qnap.com/operating-system/q...C7FA1.html

Un saludo

Agur eta ondo ibilli

Mon (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be y QHora-301w)

Iniciar sesión




Recordarme ¿Perdiste tu contraseña?