黑群中招被勒索

正常使用中，突然发现nas中的文件消失，只剩下一个txt文件， 打开一看，内容如下：

Hello.

This is disk Security.

What happened?

- Your Network was not secure.
- Your Network-Attached Storage was compromised.

What does this mean? Where are my files?

- All your data has been moved to a special encrypted volume.
- All your important documents have been downloaded.

What can I do to recover my data?

- If you want to recover your data, you have to send 0.12 Bitcoin to this wallet address:

bc1qxknhkyflkg5u9vp3ujmmeu085lztzetxsr0g8g

Always double check the address when copy/pasting it !!!!!

- You have until the 22th of February 2024 to send the payment.
After this date the decryption will be almost impossible.

What should I do after I send the payment?

- Your ID is: XXXXXX

- Please email us your ID and payment confirmation(txid) to:

- nasmanager@mail2tor.com

- After we confirm your payment you will receive the password so you can decrypt all your data.

Can I still use my nas?

-Avoid deleting any files present on your NAS.
-Refrain from attempting data recovery using software, as it is unlikely to be successful.
-Do not make any alterations to volumes or storage pools on your NAS.
-Avoid writing substantial amounts of data to your disk.
-Refrain from restarting or powering on/off your Synology multiple times, as it may lead to archive corruption

Why have my files been downloaded?

- We reserve the right to leak or sell all your important documents, if you don't contact us.


We will send you the password immediately after the payment.
We will even send you tips on how to strengthen your network security, to prevent any future attacks.


Thank you.


-----------------------------------------------------------------------------------------------------------------------------------------------------------------------

进入存储管理器查看，没了。。。



搜索了一下，并没有看到这种案例，普遍都是被加密。而我的是文件全部消失。


使用nas自带的杀软扫描了一下，发现文件实际还在，只是看不到了。。。



进入PE使用ufs查看，也是空的。


在这里提醒大家，安全第一，时常修改密码，关闭ssh。

不懂帮顶！

我同事中过，是你的电脑中毒，获取了你浏览器自动保存的密码了。把你的文件删除了。如果开了回收站或者快照可以找回。要不然付了钱也没用，不讲武德的玩意

我也中招过，里面的几十T的电影以及连续剧全没了。我是开了远程桌面引起的。

就是用加密程序加密了，只不过这个加密程序比较高级，服务器端有一个公钥，每一个中病毒的电脑会有一个私钥，公钥+私钥会生成一个类似于证书是的东西，拷贝到中病毒的各个文件夹下，然后运行一段指令，相当于重写文件格式，就行了。我之前虚拟机上有人老扫描我，我想知道他们想干嘛。就特意开放了端口和取消了密码。结果他就干了个这事儿。
我和你不同的是，我可以看到文件后面加了一串文件格式和加密字段。你这个看不见，如果容量还在就说明是隐藏了，如果容量不在了，机械硬盘使用恢复软件有概率恢复出来，固态的话就算了彻底没戏了

登录开两步验证不是很安全吗

太恐怖了，辛辛苦苦搞的资料可能都没了，确实要注意网络安全。

hemirock 发表于 2024-2-17 22:40
登录开两步验证不是很安全吗

没用的，两部登录只是web下有用，ssh下没有用的  黑客会通过ssh登录取得权限后直接服务器拉取，linux命令运行，或者开启ftpwebdav之类的权限后运行，最好的方式是关闭ssh的外网登录 或者采用密钥登录

chizhongwu 发表于 2024-2-18 15:54
太恐怖了，辛辛苦苦搞的资料可能都没了，确实要注意网络安全。

所以要养成冷备的习惯，我是重要资料raid1，然后usbshare备份，在冷备，然后国内容灾一份

有把端口映射到公网吗？是否修改过默认端口号？
NAS密码强度如何？
NAS的默认admin账户是否禁用？
路由器防火墙是怎么配置的？
内网是否有机器中毒？

还是应该在路由器里面设好防火墙，这个很重要，在路由器log里面经常可以看到有人会来连接我的路由器的，一般IP都是美国的