DNS-320L - ancora operativo dopo cr1ptt0r ma....

gianluca-fox · 06 Aprile 2025, 09:51:38

Ciao a tutti,

mi rivolgo alla community in cerca di una piccola luce...
Tanti anni fa sono stato colpito dal maledetto cr1ptt0r e ne sono uscito con le ossa rotte.
Ho spento tutto e lasciato là in attesa di tempi migliori.
Ora, a distanza di anni, ho riattivato il bambino e tramite un addon telnet sono entrato e disattivato il ransomware rinominando l'eseguibile....
Ovviamente il problema dei file cifrati è rimasto...
Qualcuno di voi sa se è possibile fare qualcosa prima che decida di piallare i dischi ?
Tra l'altro ogni tentativo di aggiornare il firmware fallisce andando in errore generico "fails"

grazie per ogni possibile spunto, anche minimo.
GV

Pondera · 07 Aprile 2025, 11:50:11

All'epoca avevo letto della falla di sicurezza dei NAS del marchio collegati su Internet.
C'è anche un resoconto di chi era riuscito a pagare recuperando i dati sul forum D-Link USA... mentre un altro utente non ha ottenuto risposta...

Al momento ho trovato ulteriori dettagli su 2SPYWARE ma sempre scritti nel 2019:

www.2-spyware.com/remove-cr1ptt0r-ransomware.html

Tuttavia come spiegano loro non conviene scendere a patti con dei criminali perché sono interessati unicamente ai soldi per giunta solo degli utenti di lingua anglosassone per cui non c'è alcuna certezza che dopo l'eventuale pagamento abbiano interesse a decrittare i contenuti elettronici con i potenziali dati sensibili dei malcapitati.
Gli strumenti specifici a disposizione si occupano della rimozione in sicurezza dei file infetti e purtroppo non della decrittografia.

Citazione di: 2SPYWARECr1ptT0r is not the typical ransomware that encrypts data. It does that by using the "curve25519xsalsa20poly1305" for asymmetric encryption. [...] Generally, it targets network attached storage (NAS) devices that are connected to the internet. Research showed that only D-Link DNS-320 equipment is affected, which is an outdated device and is no longer sold by the developer [...] DNS-320 is known to have multiple bugs that can be exploited by hackers, and the latest firmware update came out back in 2016.

Interessante anche il commento all'articolo degli scopritori proposto dal marchio:

www.bleepingcomputer.com/news/security/cr1ptt0r-ransomware-infects-d-link-nas-devices-targets-embedded-systems

Fondamentalmente dice che a monte basta proteggere in scrittura l'HD. Come per tante cose occorre spendere tempo e risorse per la prevenzione.
Inoltre si rendiconta che:

Citazione di: BleepingComputerSome users affected by Cr1ptT0r admitted to having an outdated firmware version installed and that their device was exposed to the internet at the time of the attack.

Citazione di: gianluca-fox il 06 Aprile 2025, 09:51:38ogni tentativo di aggiornare il firmware fallisce andando in errore generico "fails"

L'ultima versione disponibile la trovi nella nostra discussione principale dedicata al modello che ci hai indicato.

Qual'è la revisione hardware del tuo dispositivo? Che versione firmware c'è installata?
In quale sistema operativo e con quale browser hai tentato l'aggiornamento?

gianluca-fox · 10 Aprile 2025, 08:18:58

grazie @Pondera

scusa sono stato fuori per lavoro.

andrò sicuramente a visionare i tuoi link

G

Pondera · 10 Aprile 2025, 11:09:26

@gianluca-fox
Facci sapere... così possiamo cercare di darti una mano anche a distanza...

Citazione di: Pondera il 07 Aprile 2025, 11:50:11Qual'è la revisione hardware del tuo dispositivo? Che versione firmware c'è installata?
In quale sistema operativo e con quale browser hai tentato l'aggiornamento?

gianluca-fox · 23 Aprile 2025, 19:17:32

ciao
ho provato a seguire la strada del tipo che ha trattato con loro, ho installato tox e provato a contattarli ma non rispondono.. probabilmente hanno chiuso l'account... io aspetto, non ho fretta.
Per quanto riguarda l'aggiornamento io lo provo con chrome ... ma avendo accesso in ssh ed avendo anche messo su l'ftp, non riesco ad aggiornarlo dall'interno? possibile che non ci sia uno script per farlo.. mi sembra strano...
scusate il lungo tempo tra una risposta e l'altra ma accedo saltuariamente.
grazie
ciao

Pondera · **Oggi** alle 07:53:26

Il messaggio con la raccolta dei materiali trovati in Rete lo abbiamo pubblicato unicamente per avere una panoramica esaustiva dell'argomento specifico.
Specifichiamo ulteriormente che "ransomware" lo possiamo tradurre letteralmente in italiano con "programma malevolo con riscatto":

www.garanteprivacy.it/temi/cybersecurity/ransomware

it.wikipedia.org/wiki/Ransomware

www.ibm.com/it-it/topics/ransomware

www.geopop.it/cose-un-ransomware-cosa-fa-e-come-difendersi-in-caso-di-attacco-hacker-con-riscatto

Riguardo questo argomento in generale:

Proofpoint

CitazioneLe autorità raccomandano di non pagare alcun riscatto, per non alimentare ancor di più la diffusione di questo tipo di attacchi, come evidenziato nel Progetto Stop ai Ransomware. Inoltre, la metà di coloro che pagano il riscatto, diventano poi bersaglio di continue richieste di denaro da parte dei cybercriminali.

E nello specifico avevamo già ribadito che:

Citazione di: Pondera il 07 Aprile 2025, 11:50:11non conviene scendere a patti con dei criminali perché sono interessati unicamente ai soldi per giunta solo degli utenti di lingua anglosassone per cui non c'è alcuna certezza che dopo l'eventuale pagamento abbiano interesse a decrittare i contenuti elettronici con i potenziali dati sensibili dei malcapitati

Le testimonianze sul forum americano non sono complete (gli utenti dei forum purtroppo spariscono senza dare resoconto finale, positivo o negativo che sia, nel 99% dei casi) ma evidentemente rappresentano una documentazione empirica di quanto appena detto.