Hoe kan ik een Zyxel NAS540 wipen besmet ransomware?

Je kunt de disks een een andere PC (liefst in een USB Live OS, zonder je eigen disks aangesloten) wissen en een factory reset van je NAS. Eventueel kun je de firmware opnieuw flashen.

Welke cryptolocker had je? Weet je zeker dat dit op de NAS draaide en niet op een aangesloten PC?

Oef, jeetje! Nou zie dan mijn eerste punt

[ Voor 4% gewijzigd door Room42 op 18-03-2018 00:06 ]

Tja, windows- en linux machines zijn ondertussen wel voor het grootste gedeelte gepatched. Maar al die plastic doosjes die als NAS verkocht werden; daar komen geen updates meer voor. Goudmijntje

'k Heb het even nagekeken voor die NAS540: de laatste update is van juni 2017 en daar zitten geen samba fixes in. Dus je kunt je nas misschien wel schoon krijgen, maar hij blijft kwetsbaar voor dit soort aanvallen

Verwijderd schreef op zaterdag 17 maart 2018 @ 22:15:
this one hit me => SambaCry / StorageCrypt Ransomware Support (.locked, _READ_ME_FOR_DECRYPT.txt)
https://www.bleepingcompu...d-read-me-for-decrypttxt/

Als dat hem inderdaad is zit je volgens mij goed als je de NAS reboot. De geinjecteerde code wordt niet opnieuw uitgevoerd na een reboot.
Hoewel het in theorie mogelijk is om te zorgen dat de code opnieuw start na een reboot, is dat een lastige klus op een NAS540 (en op elke ZyXEL NAS), en ik verwacht dus dat generieke malware dat niet voor elkaar krijgt.

Als je desondanks de schijven wilt wipen, kun je dat vanuit een shell doen. Enable de ssh server (in Control Panel->Terminal) en login over ssh als root.
Vervolgens execute jeHerhaal het laatste commando voor iedere schijf (de eerste is sda, de tweede sdb, ... USB schijven en SD kaarten nummeren ook mee, dus zorg dat die er on boot niet inzitten))
Dit gaat even duren. (Iets van 100MB/sec, denk ik). Als de schijven tot rust zijn gekomen reboot je (stekker eruit en er weer in, je hoeft niet te verwachten dat de firmware nog iets doet/kan), en voer je een factory reset uit. (Reset knop ingedrukt houden tot de 3e piep)