NAS inficeret med ransomware og krypteret. Malwarenavn: NamPoHyu.

Jeg har en NAS af typen, WD My Cloud Mirror, som anvendes til backup af 2 stk. PC og 2 stk. Mobil’er, samt lager for video og billeder. Den 23/4 opdagede jeg at NAS’en d. 8/4 var blevet hacket og inficeret med ransomware, der havde krypteret alle billed og video filer, og givet dem en ny endebetegnelse:  .nampohyu.  Tilsyneladende er der ikke sket noget med backup filerne. NAS’en blev straks taget af nettet. Jeg bruger Norton Security software på begge PC’er og Mobiler, og foretog en systemscanning samt scanning med NPE og Antimalwarebyte, uden at finde noget.

Jeg har ikke tænkt mig at betale 1 cent af de 1000$ der forlanges.

Så mine spørgsmål er følgende:

1. Hvordan får jeg renset NAS’en?

2. Hvordan beskytter jeg NAS’en bedst mod nye angreb?

Det var dagens interessante spørgsmål, tak for det:

Og jeg har godt nyt midt i problemerne: Din NAS er ikke inficeret. NamPoHyu (MegaLocker) er et Windows-virus, der ikke kan køre direkte på din NAS. Der kan ikke være noget at rense der. De krypterede filer må du slette, og genindlæse fra sikkerhedskopien.

Og når du har skannet dine PC*er igennem med Norton, har du sikret dig, at det heller ikke er der, virusset har arbejdet fra. Så du er blevet angrebet fra internettet gennem dit netværk. Det kan der være to hovedårsager til:

1) Du har delt mapper fra din NAS ud af huset.

2) Din router er forkert konfigureret – for eksempel ved opsætningen af DMZ.

Der er en god metode til at sikre din NAS fremover: Brug en god adgangskode. 12 tegn inklusive lidt tal og specialtegn er udmærket, så kan virusset ikke komme igennem indenfor universets forventede levetid.

Sidst, men ikke mindst: Selv hvis man betaler, er det ikke sikkert at hackerne låser op for filerne…

Tak for svar som jeg straks benyttede mig af. NAS’en blev renset for krypterede filer og billeder og video’er blev genindsat.

Routerens indstillinger blev checked, heriblandt indstillinger for DMZ.

NAS’en fik et kodeord på 12 tegn bestående af store og små bogstaver, tal og specialtegn.

Alt var godt indtil d. 16/7 hvor den igen blev krypteret. Nu hed malwaren blot: CHEKYSHKA. Det eneste jeg bemærkede var at textfilen med instruktion havde en prefix med Canons printer-icon. Jeg har en trådløs printer fra Canon der er sat op som netværksprinter, og jeg lurer på om det er den vej man er kommet ind?

Jeg håber I har nogle gode råd, da jeg synes det er ved at blive lidt træls.

Med venlig hilsen

Jørgen Troels Fabian,  e-mail  [email protected]

Hej Jørgen

Ganske kort: Jeg tror, det er din PC, der er ramt, og at NAS-filerne bliver krypteret derfra. NAS’en har et andet operativsystem, hvor Windows-virus simpelthen ikke kan afvikles. Så brug dit Antivirus til en grundig skanning. Infektionen må være kommet sammen med et program, du har hentet.

I øvrigt: Det er bedst at oprette en ny tråd om sådan et spørgsmål, så ser vi det hurtigere. Det kan jo være kritisk, når det drejer sig om sikkerhed.

Og her er et program, du ubetinget bør installere:

https://www.acronis.com/en-us/personal/free-data-protection/