Volgens mij is mijn Nas gehacked

DannySan73 schreef op zondag 22 oktober 2023 @ 00:52:
Hoi allemaal,

sinds een paar dagen ondervindt ik problemen met mijn Qnap 212P NAS.
Ik kreeg een error in mijn backup-programma (Acronis) terwijl ik zeker weten nog ruim voldoende vrije ruimte heb. Bij het checken van de raid-setup zag ik dat er allemaal nieuwe bestanden bijgeplaatst waren.

Bestanden met exacte dezelfde naam als een origineel bestand maar dan met de extentie ".encrypt".

Tevens had ik in alle folder een bestand staan met de naam:
README_FOR_DECRYPT met de extensie .TXTT

In het bestand staat dan de volgende info:
All your data has been locked(crypted).
How to unlock(decrypt) instruction located in this TOR website: http://ydxlseysl5o7vsa52n...9DJv38uPrvenHJfckMZuPyGo1
Use TOR browser for access .onion websites.
https://duckduckgo.com/html?q=tor+browser+how+to

Vanzelfsprekend doe ik hier niets mee, geen idee hoe ze op mijn nas terecht zijn gekomen (heeft gewoon inlog en password); maar beveiligingstechnisch ben ik geen 'held' dus wellicht is zo'n NAS makkelijk te benaderen?

Het vreemde is, ik kan mijn bestanden wel gewoon zien via de pc, en ook openen.
Maar ik durf het niet aan zo'n bestand naar mijn pc over te zetten; dus nu een dilemma: wat te doen?

Hebben jullie tips of ervaringen?
Ik heb in ieder geval nogmaals het wachtwoord van de NAS veranderd, en probeer nu die .encrypt files weg te gooien maar dat werkt maar deels. Na een aantal malen proberen blijven er bestanden over met de melding dat ze niet kunnen worden verwijderd omdat ze niet meer aanwezig zijn; terwijl ik ze wel ZIE staan.

Dat lijkt alsof er nog iets actief is óp die NAS? Of zie ik spoken?

Feedback, tips en dergelijke zijn welkom; dankjullie wel!

• Alle portforwards op je modem/router uitschakelen
• Externe USB hdd aankoppelen en zoveel mogelijk bestanden daarheen kopiëren
• Volledige herinstallatie van de NAS

ouweklimgeit schreef op zondag 22 oktober 2023 @ 09:37:
Wat ik zou doen;

• Alle portforwards op je modem/router uitschakelen
• Externe USB hdd aankoppelen en zoveel mogelijk bestanden daarheen kopiëren
• Volledige herinstallatie van de NAS

Die externe harddisk is na het afkoppelen geen gevaar meer voor andere computers. Als je NAS de infectiebron is, dan zal dit niet zomaar 'overspringen' op andere computers.

En voor in de toekomst, er zijn exact 0 redenen te bedenken om een NAS rechtstreeks aan internet te hangen.

onno oliver schreef op zondag 22 oktober 2023 @ 13:01:

Heb je dat niet zou ik een Pi configureren met bv RITA om het netwerk te monitoren op een eventuele C2 verbinding.

ouweklimgeit schreef op zondag 22 oktober 2023 @ 09:37:
En voor in de toekomst, er zijn exact 0 redenen te bedenken om een NAS rechtstreeks aan internet te hangen.

AW_Bos schreef op zondag 22 oktober 2023 @ 01:45:
Was jouw NAS via het internet te bereiken?

DannySan73 schreef op zondag 22 oktober 2023 @ 00:52:
Hoi allemaal,

sinds een paar dagen ondervindt ik problemen met mijn Qnap 212P NAS.
Ik kreeg een error in mijn backup-programma (Acronis) terwijl ik zeker weten nog ruim voldoende vrije ruimte heb. Bij het checken van de raid-setup zag ik dat er allemaal nieuwe bestanden bijgeplaatst waren.

Bestanden met exacte dezelfde naam als een origineel bestand maar dan met de extentie ".encrypt".

Tevens had ik in alle folder een bestand staan met de naam:
README_FOR_DECRYPT met de extensie .TXTT

In het bestand staat dan de volgende info:
All your data has been locked(crypted).
How to unlock(decrypt) instruction located in this TOR website: http://ydxlseysl5o7vsa52n...9DJv38uPrvenHJfckMZuPyGo1
Use TOR browser for access .onion websites.
https://duckduckgo.com/html?q=tor+browser+how+to

Vanzelfsprekend doe ik hier niets mee, geen idee hoe ze op mijn nas terecht zijn gekomen (heeft gewoon inlog en password); maar beveiligingstechnisch ben ik geen 'held' dus wellicht is zo'n NAS makkelijk te benaderen?

Het vreemde is, ik kan mijn bestanden wel gewoon zien via de pc, en ook openen.
Maar ik durf het niet aan zo'n bestand naar mijn pc over te zetten; dus nu een dilemma: wat te doen?

Hebben jullie tips of ervaringen?
Ik heb in ieder geval nogmaals het wachtwoord van de NAS veranderd, en probeer nu die .encrypt files weg te gooien maar dat werkt maar deels. Na een aantal malen proberen blijven er bestanden over met de melding dat ze niet kunnen worden verwijderd omdat ze niet meer aanwezig zijn; terwijl ik ze wel ZIE staan.

Dat lijkt alsof er nog iets actief is óp die NAS? Of zie ik spoken?

Feedback, tips en dergelijke zijn welkom; dankjullie wel!

Travelan schreef op zondag 22 oktober 2023 @ 17:13:
[...]

Geen reden om met het belerende vingertje te wijzen. Er zijn genoeg redenen om een NAS remote toegankelijk te willen hebben. Dropbox vervanging bijvoorbeeld. Dit wordt ook aangemoedigd door de NAS zelf.

[ Voor 17% gewijzigd door AW_Bos op 23-10-2023 09:41 ]

Travelan schreef op zondag 22 oktober 2023 @ 17:13:
[...]

Geen reden om met het belerende vingertje te wijzen. Er zijn genoeg redenen om een NAS remote toegankelijk te willen hebben. Dropbox vervanging bijvoorbeeld. Dit wordt ook aangemoedigd door de NAS zelf.

DannySan73 schreef op woensdag 25 oktober 2023 @ 23:20:
Hoi allemaal, een paar dagen verder en weer wat dingen gebeurt.
Allereerst iedereen bedankt voor jullie reacties! Ik zal hieronder even reageren en dan komt meteen nog wat tekst en uitleg erbij

@vso en @MoiZie bedankt voor jullie linkjes; deze hadden echter beide geen betrekking op mijn specifieke geval. Het lijkt (voor zover ik dat kan beoordelen) alsof men wel aan het voorbereiden was om mijn files te locken maar dat dit (nog?) niet gedaan was.

Ik had vele, vele bestanden die een duplicaat bestand eronder hadden staan met als extra extensie .encrypt maar als ik het originele bestand opende kon ik deze gewoon zien/afspelen.

@heggico ik heb de pc natuurlijk direct gecontroleerd; hier was alles okay en ook geen problemen.
Ik heb nooit echt goed nagedacht over die NAS en de veiligheid (ik weet het, nu zeg ik 'stom' maar echt dat dingetje staat er al een jaar of 6/7 of nog langer dat weet ik niet meer eens exact.
Hoefde er nooit naar om te kijken, soms even een herstart vanwege update van de software en that's it.

Nu kwam ik dus pas achter dat dit model al langer 'end of life' is en geen nieuwste features krijgt (alleen nog wat basic veiligheidspatches). 1 van de nieuwe features is een 'security center' (of hoe het precies heet) en dan verteld je dan weer risico's op de loer liggen en helpt je daarbij... maar ja: niet op mijn oude systeem.

@AW_Bos yes was via internet te bereiken (vond ik handig ooit in het begin, daarna nooit meer gebruikt maar ook nooit uitgezet)

Ik lees ook jullie verdere reacties over 'niet zomaar aan het internet hangen' en belerende vingertjes (en reacties daarop). Ik kan mezelf ook wel voor m'n kop slaan hoor; op de pc is alles prima in orde en dat nasje op zolder in dat hoekje heb ik gewoon verder niet bij stil gestaan.
Ik vind mijzelf zeker hier debet aan, maar Qnap had hier best wel wat ruchtbaarheid aan kunnen geven ook in mijn ogen, vooral omdat deze gewoon geregistreerd was en dat het product dus al lang end of life was.

Daarom heb ik dit weekend een nieuwe NAS gekocht (Synology DS423) en die ga ik - en nu goed - komend weekend opzetten; wel met verbinding naar het internet maar afgeschermd van de opties om (forced) er in te komen.

Ik heb ook de tip meegenomen en de bestanden die ik wilde bewaren via een USB disk van de NAS gehaald en die hou ik dan ook apart; alle bestanden zijn er nog en alles werkt ook gewoon nadat ik alle duplicaten met die éxtra extensie heb verwijderd.

Les geleerd, bedankt allemaal!
(tips over een nieuwe Synology zijn welkom; al is Youtube ook gewillig natuurlijk).

yes was via internet te bereiken (vond ik handig ooit in het begin, daarna nooit meer gebruikt maar ook nooit uitgezet)

en die ga ik - en nu goed - komend weekend opzetten; wel met verbinding naar het internet