Domanda Aiuto per NAS infetto

[riccardog]

Salve,

fresco fresco di adesione al forum pongo questa domanda.

Anni fa utilizzavo un NAS Synology con 2 dischi WD Red da 3 tera l'uno come server aziendale con 4 pc connessi.

Purtroppo un giorno becco un malware che mi cripta la maggior parte dei dati chiedendo un riscatto a cui non ho aderito (l'ho mandato a.....).

Ho sconnesso il Nas ma purtroppo i dati nel Nas e in 3 pc erano in buona parte inutilizzabili.

Fortunatamente in un pc della rete che non avevo acceso da qualche giorno i dati non erano stati criptati: pur non aggiornati i files erano salvi.

Ora i pc che erano in rete li ho continuati ad usare senza avere più problemi di criptazione ma il NAS ormai spento da 2 anni è sempre lì, inutilizzato.

Domanda: esiste un modo sicuro per vedere se il malware è sempre presente nel Nas, ammesso che lo sia, ed eliminarlo senza mettere a repentaglio i dati di altri pc?

Grazie in anticipo per ogni consiglio.

 

[riccardog]

Scusatemi, forse mi sono presentato male io ma non c'è proprio nessuno che sa rispondermi?
Grazie

 

[JunkCoder]

Sai che era infetto, sai che i dati su quel dispositivo sono stati cifrati. A questo punto se quello che ti preme è recuperare il NAS formatta e resettalo, rarissimo che un malware resista a questo.

 

[ElectricDreamer]

Scusatemi, forse mi sono presentato male io ma non c'è proprio nessuno che sa rispondermi?
Grazie

Penso che l'unico modo per evitare qualsiasi rischio di infezione sia di collegare e formattare i singoli hard disk all'interno di una VM

 

[Netcat]

Ciao, rimuovere un ransomware dipende dalle abilità del tizio che ti ha attaccato. Un ransomware può essere pernicioso al punto da doverti costringere ad una formattazione. Non è facile rimuoverlo, ma è possibile prevenirlo mettendo in atto la seguente condotta:

- Non scaricare file da fonti sconosciute, o da attachments di mittenti non noti;
- Testare ogni file che scarichi, qualora tu sia costretto a scaricarlo da una fonte non nota (es. il caso di una cracking utility) su una macchina virtuale.

Inoltre, qualora tu abbia già un AV installato sul tuo PC, ti raccomando di non fidarti ciecamente di lui, specialmente se è Microsoft Defender. Il primo a gestire la sicurezza dei tuoi dispositivi, sei tu, non un programma.

 

[riccardog]

Sai che era infetto, sai che i dati su quel dispositivo sono stati cifrati. A questo punto se quello che ti preme è recuperare il NAS formatta e resettalo, rarissimo che un malware resista a questo.

Grazie per la risposta: allora non tutti i dati sono stati criptati, io vorrei recuperare quei dati e poi riformattare/resettare il Nas senza correre il rischio che il malware infetti un altro pc utilizzato per l'operazione. Come si fa?

Messaggio unito automaticamente: 18 Maggio 2022

Ciao, rimuovere un ransomware dipende dalle abilità del tizio che ti ha attaccato. Un ransomware può essere pernicioso al punto da doverti costringere ad una formattazione. Non è facile rimuoverlo, ma è possibile prevenirlo mettendo in atto la seguente condotta:

- Non scaricare file da fonti sconosciute, o da attachments di mittenti non noti;
- Testare ogni file che scarichi, qualora tu sia costretto a scaricarlo da una fonte non nota (es. il caso di una cracking utility) su una macchina virtuale.

Inoltre, qualora tu abbia già un AV installato sul tuo PC, ti raccomando di non fidarti ciecamente di lui, specialmente se è Microsoft Defender. Il primo a gestire la sicurezza dei tuoi dispositivi, sei tu, non un programma.

Grazie per le informazioni ma ormai il danno è fatto, vorrei uscirne fuori salvando il salvabile (dati non corrotti) ma non so come fare.

Messaggio unito automaticamente: 18 Maggio 2022

Penso che l'unico modo per evitare qualsiasi rischio di infezione sia di collegare e formattare i singoli hard disk all'interno di una VM

ma con una VM è possibile recuperare in modo SICURO anche i dati non criptati? Grazie

 

[waido]

No! La VM, opportunamente configurata, ti serve solo per operare in un ambiente protetto (*)
Per quanto riguarda il NAS (IMHO) le uniche cose da fare sono:
- aggiornare il firmware
- estrazione dei dati ancora utilizzabili
- formattazione (**)

(*) scusa. Forse ho letto di fretta. Forse hai modificato il tuo post mentre rispondevo.

(**) con riferimento a quanto scritto da @ElectricDreamer.
Se vuoi puoi fare un prima formattazione distruttiva dei dischi presi singolarmente, magari utilizzando l'utility del costruttore degli hard disk. La formattazione definitiva tuttavia va effettuata dal pannello di controllo del NAS.

 

[riccardog]

- estrazione dei dati ancora utilizzabili

Come farlo senza rischiare di infettare un altro pc? Grazie

 

[waido]

Appunto, agisci sul NAS operando dalla VM.

 

[riccardog]

Appunto, agisci sul NAS operando dalla VM.

Si certo, ma esiste una procedura o è sufficiente spostare i dati non criptati su un hard disk esterno? Voglio dire, i dati non criptati sono sicuri?

 

[waido]

Se parliamo di dati "puri" non dovresti correre alcun pericolo, tuttavia certezze non ce n'è. Scansionali con un antimalware.

Ammesso che si possa fare, ho i miei dubbi che un malware vada ad infettare un file CAD per iniettare una qualche forma di codice eseguibile che viene avviato non appena il file CAD viene aperto con l'opportuna applicazione (buggata).
Se fosse un foglio di calcolo che contiene delle macro ... più probabile ...
In breve: dipende dai dati ...

 

[riccardog]

Scansionali con un antimalware

Grazie proverò. Malwarebytes andrebbe bene?

 

[waido]

Si, va benissimo.

 

[riccardog]

Si, va benissimo.

Ti ringrazio