Ransomware ".mars" attack ataque Mycloud ex2 ultra

xverso87 · February 6, 2021, 3:08am

Server Version#: latest, última version
Player Version#: tv, pc, móvil, mobile

Buenas noches,
Hace dos dias, sufrí por segunda ocasión un ataque ransomware, no sé de qué forma pudo ser, el malware en cuestión, añadió la extensión de mis archivos jpg, mp4, mp3 y mkv a “.mars” y un archivo de texto en cada carpeta que tenía, indicando que fui atacado por éste ransomware y me pedían la cantidad de $300 dólares en bitcoin junto a dos correos electrónicos para hacer el pago, el server que tengo es un WD my cloud ex 2 ultra de 4tb, tenia fotos personales y unas películas, quería buscar ayuda, saber si alguien más ha sufrido éstos ataques, que me puedan aconsejar que medidas tomar, el servidor de WD tiene su propio software y un antivirus, que se supone lo puedes programar para cada cuánto tiempo hacer un escaneo y qué hacer en caso de detectar un virus o un ataque, yo lo programé para un escaneo diario y que al programa o virus en cuestión, lo elimine o lo ponga en cuarentena, aparte, en mi pc tengo dos antivirus, AVG premiun en modo activo, que automáticamente realiza los chequeos pertinentes y en modo pasivo Malwarebytes, para hacer yo el escaneo, porque teniendo los dos en activo la computadora se bloqueaba y daba problemas, decir que los puertos en el servidor que tenía abiertos era solamente el 32400, y el samba, la versión 1 la tenia bloqueada, y estaban activas samba 2 y 3, no sé que pude haber hecho mal o que mas necesité hacer para protegerme de éste ataque, me da rabia e impotencia porque tenía fotos de mi familia, mas de 300k y lo perdí todo.
Por favor, si alguien tiene o tuvo éste problema y sabe que hacer, por favor, ayúdame.

Gracias.

Goodnight,
Two days ago, I suffered a ransomware attack for the second time, I do not know how it could be, the malware in question added the extension of my jpg, mp4, mp3 and mkv files to “.mars” and a text file in each folder that I had, indicating that I was attacked by this ransomware and they asked me for the amount of $ 300 dollars in bitcoin along with two emails to make the payment, The server I have is a 4tb WD my cloud ex 2 ultra, I had personal photos and some movies, I wanted to seek help, to know if someone else has suffered these attacks, They can advise me what measures to take, the WD server has its own software and an antivirus, which you can program for how often to do a scan and what to do in case of detecting a virus or an attack, I scheduled it for a daily scan and that the program or virus in question delete it or put it in quarantine, aside, on my pc I have two antivirus, AVG premium in active mode, that automatically performs the pertinent checks and in passive mode Malwarebytes, to do the scan myself, because having both active the computer would crash and give problems, say that the ports on the server that were open were only 32400, and the samba, version 1 had it blocked, and samba 2 and 3 were active, I don’t know what I could have done wrong or what else I needed to do to protect myself from this attack, It makes me angry and helpless because I had photos of my family, more than 300k and I lost everything.
Please, if anyone had or have this trouble before or now and know what to do, helpme.

Thanks.

stynz · February 17, 2021, 10:40am

Hi. I have also discovered that two days ago all my files stored in the WD NAS MyBook Live Duo have been encrypted with this ransomware virus. It seems to be a Windows virus. However, I have no Windows machines at home. Only Mac. So, I guess that there is a direct infection coming from My Cloud to the NAS. Please help ! Thank you

Puentemor · February 21, 2021, 8:00pm

Buenos días, me ha pasado lo mismo me salen todos los archivos encriptados con MARS. Solo ha afectado a mycloud ya que las tabletas son mac, alguien tiene alguna solución.

Frost542 · February 25, 2021, 6:41am

This summer, ransomware attacks have been shutting down hospitals in their time of need. to this dilemma when they are caught by an attack of ransomware. after ePayitonline running out of cloud services provided by Blackbaus.

xverso87 · February 25, 2021, 7:11pm

Hi
It seems that if you have the Nas in the DMZ, it is vulnerable to this attack, and I have no other way to access without DMZ.

Hola
Parece ser, que si al nas lo pones en tu router como DMZ, es mas vulnerable a ser atacado, y no hay otra forma de acceder de manera remota si no es en DMZ.

tptcelular · April 11, 2021, 6:58am

Que tal.
Hoy me he dado cuenta que tambien me han encriptado mis datos, pero fue desde el dia 07/abril/2021 al menos es lo que se ve en la ultima modificacion de los txt. todo lo que esta en la carpeta de PUBLIC porque en los documentos de los usuarios esta intacto.

Me surgen algunas dudas.
-Se puede desencriptar los archivos?
-Mis usuarios estan fuera de mi red local. De que manera me puedo proteger (aparte de dejarlos apagado)?
-Por lo que he estado leyendo toda la serie de NAS de western digital estan teniendo problemas debackdoors. Lo solucionaran con actualizaciones?

Saludos

xverso87 · August 28, 2021, 12:21am

Hola,
sabes, a partir del segundo ataque, lo que hago ahora, es reiniciar el router 2 veces al dia y al NAS tambien, ambos los reinicio, para evitar este tipo de incidentes, ya que al reiniciarlos, pierden conexión con el exterior en el caso de que estén comprometidos, adicional, el NAS tiene en el apartado aplicaciones, un antivirus, yo lo instalé y lo programé para que se autoescanee dos veces al día, y en el caso de que detecte un virus, que lo ponga en cuarentena. Ojalá te sirva mi situación actual.

tptcelular · October 12, 2021, 5:12pm

Que tal.
Tuve muchos problemas para actualizar al dichoso OS5 ya que en mis dispositivos ya no tenia acceso y despues mis usuarios tampoco podian acceder (despues de actualizacion); tuve que hacer un reseteo y lo cual se perderian los datos del hd y tuve que usar otro NAS dns-323 (que por cierto sigue siendo mas rapido que el WD) para hacer respaldo y poder trabajar con my cloud.
Despues de varias semanas logre echar a andar el wd my cloud con la nueva actualizacion con mis usuarios y datos, para que en menos de 2 meses de nuevo tenia infectados los archivos con ransomware.
Lo mas viable fue desarmar el wd extraer el hd, sacar mi viejo NSLU2 con un case y pasar de nuevo mi resapaldo. Lo lioso es la aplicacion pero hasta el momento cero fallas.
Saludos