Instruktaż/Tutorial Muhstik botnet?

Działa..., Dzięki WIELKIE. Trwa przywracanie danych..., a później włączam z powrotem Plexa.

około 30 dużych plików mam zaszyfrowanych do deszyfracji, która już trwa...
 
  • Lubię to
Reakcje: Silas Mariusz
Też mogę potwierdzić, że działa. Ale pewnie ze 2 dni zejdzie w moim przypadku zanim wszystko się odszyfruje (ok. 2,5TB)
 
  • Lubię to
Reakcje: Silas Mariusz
Witam Wszystkich.
To mój pierwszy post na forum, na którym znalazłem się z powodu ransomware .muhstik.
Bardzo dziękuję @Silas Mariusz za decryptor, który u mnie zadział. Już byłem w trakcie instalacji Linuxa aby spróbować sposobu, o którym pisał @battleck.
Podobnie jak przedmówcy od ponad 2,5 roku firma, w której pracuje korzysta z Qnap TS-451U. Jako osoba dbająca o IT w firmie (nie jestem z zawodu ani informatykiem ani programistą) aktualizowałem na bieżąco firmware i QTS, blokowałem IP, miałem wszystkie komputery w firmie zabezpieczone Eset Endpoint Antivirus. Jak widać - nie pomogło.
30 września o 18:00 wpadłem na chwilę do firmy i zobaczyłem co się dzieje na serwerze. Natychmiast został on wyłączony bo nawet nie miałem dostępu do QTS przez przeglądarkę. Połączenie przez HDMI również nie działało. Dopiero odpięcie dysków z serwera podłączenie dysku do komputera z Windowsem 10 i odczyt danych poprzez DiskInternals Linux Reader ukazało rozmiar strat. Ransomware nie zdążył zaszyfrować wszystkiego. Nie tknął również niektórych rodzajów plików np. .docm, .dwg, .ath, .kst (program kosztorysowy NormaPro). Wszystkie .pdf, .doc, .docx, .jpg itp. padły ofiarą ataku.
Od ponad tygodnia działam nad tym problemem i teraz - po skorzystaniu z dekryptora będę mógł z podniesionym czołem wchodzić do firmy :)

U mnie ransomware najprawdopodobniej wlazł przez PHPadmin, którego notabene niedawno usunąłem (miałem testowego WordPressa).

Sorki za mały offtop ale napiszcie proszę z własnego doświadczenia jak można jeszcze zabezpieczyć się przed tego rodzaju atakami?

Sprawy, które wdrażam po ataku.

- zmiana na długie i złożone hasło admina,
- wprowadzenie polityki zmiany haseł,
- niemapowanie dysków tylko ustawienie lokalizacji sieciowej w Windowsie.
- stworzenie zaszyfrowanego folderu współdzielonego z codziennymi kopiami migawkowymi na dwóch parach dysków z RAID 1,
- zablokowanie udostępniania linków przez SmartShare,
- zablokowanie korzystania z zasobów na aplikacjach mobilnych,
- cotygodniowa kopia danych na dysk zewnętrzny (Wiem wiem. Ludzie dzielą się na...).

Z góry dziękuje za informację i jeszcze raz bardzo dziękuje za pomoc. Uratowaliście mi głowę!

Pozdrawiam!
 
Słowem komentarza:

Uruchamiaj tylko te usługi, z których korzystasz - święta prawda , każda usługa dodaje kolejną powierzchnię do ataku .. nie używasz - to najlepiej odinstaluj , ewentualnie wyłącz

Automatyczna aktualizacja oprogramowanie QTS - nigdy nie należy automatycznie aktualizować systemu , kupa kłopotów zwłaszcza zdalnie

Antywirus - trzeba pamiętać ze to skaner offline , nie skanuje plików obecenie otwartych w pamięci - no i trzeba ustawić powiadomienia oraz opcje skanowania (zwłaszcza archiwów > 1GB)

Szyfruj ważne dane - okej , ale nie oprogramowaniem qnapa, bo potem jest "wesoło" jak trzeba odzyskać dane z padniętego nasa ...

Backup - z metodą 3-2-1

Zmień domyślne porty do QTS - na takie mocno nie-standardowe , polecam sprawdzić swojego ipka za pomocą https://censys.io/ipv4/ czy podobnych narzędzi.

Staraj się nie korzystać z konta z loginem admin - marzenie , większość programów na qnapie, odpala się jako admin i siłą rzeczy tylko on może coś mieszać.
 
Pytanie do was - poszkodowanych. Mieliscie tego phpmyadmina instalowanego z oficjalnego sklepu qnapa? Czy z qnapclubu?

Moge jakos sprawdzic czy jestem"zainfekowany"?
 
Pytanie do was - poszkodowanych. Mieliscie tego phpmyadmina instalowanego z oficjalnego sklepu qnapa? Czy z qnapclubu?
Moge jakos sprawdzic czy jestem"zainfekowany"?

Ja mialem oba, tzn: myPhpAdmin i PhPMy Admin, chyba pierwszy ze sklepu a drugi nieoficjalny. O ile pamietam /bo juz nie sprawdze z powtorna instalacja/.
 
Muhstik (QNAP) Ransomware (.muhstik) Support Topic - Page 9 - Ransomware Help & Tech Support

hey guys,
good news for you all, bad news for me cause i paid already... maybe someone can give me a tip for my hard work ^^
my wallet: 1JrwK1hpNXHVebByLD2te4E2KzxyMnvhb

i hacked back this criminal and get the whole database with keys, here it is:

Link: https://pastebin.com/N8ahWBni


decryption software:
MEGA

manual:
upload to nas:
"chmod +x decrypt"
"sudo ./decrypt YOURDECRYPTIONKEY"

and yeah, i know it was not legal from me too but he used already hacked servers with several webshells on it... and im not the bad guy here :D

but its really sad, i lost 670 € to this criminal :'(

cheers
battleck aka tobias frömel


Znalazłem jeszcze te narzędzie dla mniej kumatych. Działa Emsisoft Decryptor for Muhstik
 
To NA PEWNO nie zaden trojan?
cos za ladnie wyglada ta strona...



Muhstik (QNAP) Ransomware (.muhstik) Support Topic - Page 9 - Ransomware Help & Tech Support

hey guys,
good news for you all, bad news for me cause i paid already... maybe someone can give me a tip for my hard work ^^
my wallet: 1JrwK1hpNXHVebByLD2te4E2KzxyMnvhb

i hacked back this criminal and get the whole database with keys, here it is:

Link: https://pastebin.com/N8ahWBni


decryption software:
MEGA

manual:
upload to nas:
"chmod +x decrypt"
"sudo ./decrypt YOURDECRYPTIONKEY"

and yeah, i know it was not legal from me too but he used already hacked servers with several webshells on it... and im not the bad guy here :D

but its really sad, i lost 670 € to this criminal :'(

cheers
battleck aka tobias frömel


Znalazłem jeszcze te narzędzie dla mniej kumatych. Działa Emsisoft Decryptor for Muhstik
 
Część.

Udało się dane odzyskać uff. Teraz pytanie. Podłączyłem dodatkowy dysk X2 pojemność dysków qnapa po USB. Jaką wersję kopii backup najlepiej wybrać ?
 
  • Lubię to
Reakcje: Silas Mariusz
Nikomu nie wykasowal partycji po kilku dniach-zgodnie z opisana w README zapowiedzia?
 
Dzisiaj od rana znów kilkaset prób "wjazdu", każda z innego IP i leci jak słownik przykazał.
Może jestem nienormalny ale dwuetapowej weryfikacji (tylko dla Qnapa) mówię "off" po tym jak ostatnio ransom zmienił mi na nim datę i authenticator nie wpuścił mnie, gdyby nie inne konto bez dwuetapówki byłoby krucho.
Porty pozmieniane, admin zablokowany, telnety, FAQ SSH zablokowane i ciągle jakieś atrakcje.
Dopiero biała lista IP pomogła. Chociaż to utrudnia życie bo często wchodzę przez łącze mobile.
Ciekawe co teraz, wjazd przez FTP ?