Los NAS de Asustor son afectados por el ransomware Deadbolt

Una gran cantidad de usuarios con un NAS Asustor se han ido a la cama, o levantado, con su NAS afectado por medio del ransomware Deadbolt, que básicamente se resume en que toda la información que contienen ha sido encriptada, forzando a que todos ellos deban pagar para poder desencriptarla, aunque hay algunos usuarios con capacidades SSH han sido capaces de revertir la situación por lo que no se recomienda pagar.

 0

Según se indica, tras infectar el sistema, el NAS muestra un mensaje que se limita a una wallet donde se pide un pago de 0,03 Bitcoin a cambio de la clave de descrifrado, lo que se resume en unos 989 euros en el momento de la redacción, el mismo valor que se pedía cuando fue QNAP la que recibió el ataque, que en dicho caso, se le ofreció pagar 5 Bitcoin a cambio de de conocer cómo habían sido hackeados, o pagar 50 Bitcoin por liberar todos los NAS como forma de presión.

Quite su nas de Ez Connect. Bloquee su tráfico entrante desde el exterior.

Esto sobrescribe el index.cgi con el suyo propio. En /usr/webman/portal hay una copia de seguridad de su índice allí.

Para eliminar el tuyo, tienes que chattr -i index.cgi y sustituirlo por la copia de seguridad.

Pero también tendrás que matar el proceso. El mío tenía un proceso que era sólo números corriendo. Lo maté y luego lo borré. En /tmp había otro binario que era sólo números.

Probablemente no sea posible arreglar esto sin un reinicio, pero puedes volver a tu portal con la información anterior. Ahora mismo, sin embargo, el mío fue de forma inmediata con el index.cgi.

cd /usr/webman/portal
chattr -i index.cgi
rm index.cgi
cp index.cgi.bak index.cgi

Esta es una breve guía ofrecida por un usuario del foro oficial llamado "billsargent", y es que Asustor aún no ha proporcionado una solución al problema.

Artículos relacionados