DNS-320L - ancora operativo dopo cr1ptt0r ma....

gianluca-fox

Ciao a tutti,

mi rivolgo alla community in cerca di una piccola luce...
Tanti anni fa sono stato colpito dal maledetto cr1ptt0r e ne sono uscito con le ossa rotte.
Ho spento tutto e lasciato là in attesa di tempi migliori.
Ora, a distanza di anni, ho riattivato il bambino e tramite un addon telnet sono entrato e disattivato il ransomware rinominando l'eseguibile....
Ovviamente il problema dei file cifrati è rimasto...
Qualcuno di voi sa se è possibile fare qualcosa prima che decida di piallare i dischi ?
Tra l'altro ogni tentativo di aggiornare il firmware fallisce andando in errore generico "fails"

grazie per ogni possibile spunto, anche minimo.
GV

Pondera

All'epoca avevo letto della falla di sicurezza dei NAS del marchio collegati su Internet.
C'è anche un resoconto di chi era riuscito a pagare recuperando i dati sul forum D-Link USA... mentre un altro utente non ha ottenuto risposta...

Al momento ho trovato ulteriori dettagli su 2SPYWARE ma sempre scritti nel 2019:

www.2-spyware.com/remove-cr1ptt0r-ransomware.html

Tuttavia come spiegano loro non conviene scendere a patti con dei criminali perché sono interessati unicamente ai soldi per giunta solo degli utenti di lingua anglosassone per cui non c'è alcuna certezza che dopo l'eventuale pagamento abbiano interesse a decrittare i contenuti elettronici con i potenziali dati sensibili dei malcapitati.
Gli strumenti specifici a disposizione si occupano della rimozione in sicurezza dei file infetti e purtroppo non della decrittografia.

2SPYWARE ha scritto:
Cr1ptT0r is not the typical ransomware that encrypts data. It does that by using the “curve25519xsalsa20poly1305” for asymmetric encryption. [...] Generally, it targets network attached storage (NAS) devices that are connected to the internet. Research showed that only D-Link DNS-320 equipment is affected, which is an outdated device and is no longer sold by the developer [...] DNS-320 is known to have multiple bugs that can be exploited by hackers, and the latest firmware update came out back in 2016.

Interessante anche il commento all'articolo degli scopritori proposto dal marchio:

www.bleepingcomputer.com/news/security/cr1ptt0r-ransomware-infects-d-link-nas-devices-targets-embedded-systems

Fondamentalmente dice che a monte basta proteggere in scrittura l'HD. Come per tante cose occorre spendere tempo e risorse per la prevenzione.
Inoltre si rendiconta che:

BleepingComputer ha scritto:
Some users affected by Cr1ptT0r admitted to having an outdated firmware version installed and that their device was exposed to the internet at the time of the attack.

@"gianluca-fox"#p52688
ogni tentativo di aggiornare il firmware fallisce andando in errore generico "fails"

L'ultima versione disponibile la trovi nella nostra discussione principale dedicata al modello che ci hai indicato.

Qual'è la revisione hardware del tuo dispositivo? Che versione firmware c'è installata?
In quale sistema operativo e con quale browser hai tentato l'aggiornamento?

Pondera

@gianluca-fox
Facci sapere... così possiamo cercare di darti una mano anche a distanza...

Pondera
Qual'è la revisione hardware del tuo dispositivo? Che versione firmware c'è installata?
In quale sistema operativo e con quale browser hai tentato l'aggiornamento?

Pondera

Il messaggio con la raccolta dei materiali trovati in Rete lo abbiamo pubblicato unicamente per avere una panoramica esaustiva dell'argomento specifico.
Specifichiamo ulteriormente che "ransomware" lo possiamo tradurre letteralmente in italiano con "programma malevolo con riscatto":

www.garanteprivacy.it/temi/cybersecurity/ransomware

it.wikipedia.org/wiki/Ransomware

www.ibm.com/it-it/topics/ransomware

www.geopop.it/cose-un-ransomware-cosa-fa-e-come-difendersi-in-caso-di-attacco-hacker-con-riscatto

Riguardo questo argomento in generale:

Proofpoint

Le autorità raccomandano di non pagare alcun riscatto, per non alimentare ancor di più la diffusione di questo tipo di attacchi, come evidenziato nel Progetto Stop ai Ransomware. Inoltre, la metà di coloro che pagano il riscatto, diventano poi bersaglio di continue richieste di denaro da parte dei cybercriminali.

E nello specifico avevamo già ribadito che:

Pondera
non conviene scendere a patti con dei criminali perché sono interessati unicamente ai soldi per giunta solo degli utenti di lingua anglosassone per cui non c'è alcuna certezza che dopo l'eventuale pagamento abbiano interesse a decrittare i contenuti elettronici con i potenziali dati sensibili dei malcapitati

Le testimonianze sul forum americano non sono complete (gli utenti dei forum purtroppo spariscono senza dare resoconto finale, positivo o negativo che sia, nel 99% dei casi) ma evidentemente rappresentano una documentazione empirica di quanto appena detto.

gianluca-fox

grazie @Pondera

scusa sono stato fuori per lavoro.

andrò sicuramente a visionare i tuoi link

gianluca-fox

ciao
ho provato a seguire la strada del tipo che ha trattato con loro, ho installato tox e provato a contattarli ma non rispondono.. probabilmente hanno chiuso l'account... io aspetto, non ho fretta.
Per quanto riguarda l'aggiornamento io lo provo con chrome ... ma avendo accesso in ssh ed avendo anche messo su l'ftp, non riesco ad aggiornarlo dall'interno? possibile che non ci sia uno script per farlo.. mi sembra strano...
scusate il lungo tempo tra una risposta e l'altra ma accedo saltuariamente.
grazie
ciao

Pondera

C'era un progetto per uno strumento di decrittazione specifico ma sembra non essere andato avanti oltre il mero esercizio di programmazione:

malpedia.caad.fkie.fraunhofer.de/details/elf.cr1ptt0r

Alt-F è un progetto di firmware alternativo per DNS-32x/32xL già segnalato ed utilizzato dagli utenti del ns forum.
Ma le precauzioni degli sviluppatori in merito sono chiare:

The Alt-F webUI is also exploitable in that way, so it SHOULD NOT be exposed to the internet.[1]
If you have to expose some service to the internet, such as ssh or https, put it running as "server mode", not as "inetd mode", and the service will use its own security counter measures.[2]

Al collegamento precedente c'è chi ha usato CryptoSearch per scovare e cancellare i file infetti/criptati.