nach .locky Attacke und ohne Backup

    Hallo liebes Forum,


    ich bin von .locky heimgesucht worden und habe kein aktuelles Backup. Bitte nicht losprügeln oder Antworten wie "selber Schuld" geben es tut auch ohne das genug weh. Bin aber auch nicht bereit den Gangstern über 1400,- Euro zu zahlen mit ungewissem Ausgang!


    Vor ein paar Wochen habe ich die originalen Samsung 1TB Platten gegen 4TB WD red ausgetauscht. Leider ist nur noch eine der ehemals beiden alten Platten da. Die vorhandene Platte habe ich über einen USB Adapter an mein NAS (TS221 V. 4.2.0) gesteckt und bekomme leider nur eine Ordner-Struktur zu sehen wo meine Daten aber leider nicht erscheinen.


    Sind die Dateien gar nicht auf dieser Platte oder gibt es einen Trick da ran zu kommen?


    Vielen Dank vorab!

    Zitat

    Selber schuld :!: .... des musste jetzt sein. :D


    schon klar :( ist ja total richtig und hab ich auch mit gerechnet


    Ich habe die Platte sowohl in Slot 1 als auch Slot zwei eingebaut und das NAS dann neu gestartet. Leider ist das NAS über den QFinder dann nur mit der Initial-Config aus dem dafür eigenen IP-Adressbereich gestartet die ich natürlich nicht ausgeführt habe, weil ja dann die Platte formatiert werden würde.


    Die ursprüngliche (und heutige) Plattenkonfiguration war Raid 1 - gespiegelt!


    Danke aber schonmal für die Antwort

    Zitat von "golfsegler"

    eingebaut und das NAS dann neu gestartet.

    Das hatte ich aber nicht gefragt.

    Zitat von "dr_mike"

    Was passiert wenn du die Platte ins laufende NAS einbaust

    Sorry hab ich "on the fly" so noch nicht gemacht aber ich teste das gleich auf Slot 2 und werde berichten!

    Du solltest wirklich lesen, was ich schreibe.

    Zitat von "dr_mike"

    (momentane Platten ausgebaut)?

    Platten =Mehrzahl = beide Platten.


    - NAS ausschalten
    - Platten entfernen
    - NAS einschalten und warten bis zum zweiten langen Piepton
    - die kleine Platte einsetzen
    - Qfinder starten
    - Admininterface aufrufen

    OK! danke wer lesen kann ist klar im Vorteil! :)


    also zur Checkliste:


    - NAS ausschalten - gemacht
    - Platten entfernen - gemacht
    - NAS einschalten und warten bis zum zweiten langen Piepton - gemacht
    - die kleine Platte einsetzen - gemacht
    - Qfinder starten - gemacht


    Hier das Resultat:


    "Doppelklick oder Anmelden" bewirkt "Server noch nicht initalisiert.
    "Konfiguration" bewirkt "Hard Drive(s) with QNAP Signature Detected"


    Was mache ich evtl. noch falsch?

    Das Zweite Bild sieht gut aus. Dort gehst du auf Restore Factory Settings.
    Du wirst aufgefordert die Firmware zu installieren. Lade dir die entsprechende FW z.B. hier herunter. Es sollte Version/Build sein, wie momentan auf dem NAS installiert ist. Entpacke das Zip und wähle im entsprechenden Schrit das gerade entpackte img-File aus.

    Zitat von "golfsegler"

    schon klar :( ist ja total richtig und hab ich auch mit gerechnet


    golfsegler: Menschen machen Fehler.



    --- ModEdit ---


    Erstmal: mein aufrichtiges Mitgefühl :shock:
    Was mich interessiert: Wie kam es zu der Infektion und welches Einfallstor wurde benutzt?
    Sind andere Geräte im Netzwerk auch betroffen?

    Einmal editiert, zuletzt von dr_mike () aus folgendem Grund: Mehrfach-Posts vermeiden, siehe Forenregeln! Bitte den 'Ändern' Button verwenden. Zitat gekürzt/korrigiert.

    Also hier das Ergebnis:


    Habe die Platt in Slot1 des laufenden NAS eingebaut, Werkseinstellung wiederhergestellt. Leider wird nur ein leeres Volume1 in der Filestation angezeigt. Scheint wohl doch alles weg zu sein oder?



    --- ModEdit ---


    nuffel
    Danke! Das Einfallstor war eine Excel-Datei im Anhang einer Mail als Rechnung getarnt, welche von der Buchhaltung geöffnet wurde :cursing: Leider hat AVAST die Malware nicht erkannt. Der infizierte Rechner selbst, das NAS sowie noch zwei weitere PC´s sind betroffen. Alle Word, Excel und PDF Dokument wurden verschlüsselt! _hurted:


    --- ModEdit ---


    aber da wir gerade beim Thema sind:


    ich habe mir jetzt ein zweites NAS TS131 sowie eine externe eSata Festplatte gekauft und möchte damit eine gegen solche Bedrohungen resistente Backup Strategie aufbauen.


    Geplant war, die externe Festplatte mit einer Zeitschaltuhr zu steuern und ein wöchentliches Vollbackup darauf abzulegen.


    Mit dem Backup NAS TS131 würde ich gerne ein tägliches inkrementelles Backup fahren. Am liebsten wäre mir natürlich wenn ich mehrere Historienversionen vorhalten könnte. Geht das mit den QNAP Bordmitteln? Wie verhindere ich, dass das Backup NAS von Malware betroffen wird? Meine Idee war einen kleinen Ethernet Switch ebenfalls über eine Zeitschaltuhr zu steuern?


    Vielen Dank vorab!

    Zitat von "golfsegler"

    Scheint wohl doch alles weg zu sein oder?


    Nein, das ist noch nicht sicher. Mach mal nen Screenshot vom Speichermanager.

    Nach dem ganzen Ausprobieren habe ich gestern die "neuen" 4TB Platten wieder zurückgebaut und das NAS gestartet. Leider wurde über Nacht das rebuild abgebrochen.




    Wie kann das sein? Ich hatte die Platten doch nur vorsichtig ausgebaut und auf den Tisch gelegt. Das sind WD red nicht mal drei Monate Jahr alt! Ich habe jetzt erstmal ein "bad Block Scan" gestartet...Gibt es noch andere Ideen was ich machen sollte?


    Vielen Dank vorab!

    Einmal editiert, zuletzt von dr_mike () aus folgendem Grund: Code Block hinzugefügt, siehe Forenregeln!

    Die WDred sind leider dafür bekannt, dass sie öfters mal die ersten Wochen/Monate nicht überleben. Wenn doch, dann halten sie auch weiterhin.
    Die haben auch eine recht hohe DOA-Rate.
    (DOA = Dead On Arrival)

    Hallo Mike,


    wollt nur kurz zwischen fragen, da ich deine doa Aussage gelesen habe, welche HDD's empfiehlst du denn?


    Mit freundlichen Grüßen

    Hi,


    keine oder alle die auf der Kompatibilitätsliste stehen. ;)
    DOA spricht ja nicht in erster Linie gegen einen Plattentyp/Hersteller, sondern eher gegen den Versender. Da der häufigste über Billigstanbieter als Schüttgut versendete Plattentyp nunmal die WD-Red ist, stechen diese heraus. ;)

    Zitat von "dr_mike"

    Die WDred sind leider dafür bekannt, dass sie öfters mal die ersten Wochen/Monate nicht überleben. Wenn doch, dann halten sie auch weiterhin.
    Die haben auch eine recht hohe DOA-Rate.
    (DOA = Dead On Arrival)


    DOA kann ich bestätigen: 2 von 6... :roll:
    ..."Sehr zeitnah defekt oder laufen, laufen, laufen" galt/gilt aber schon immer bei HDDs (u.a. "Entweder sie geht, oder Seagate nicht").


    Ist mir zwar bis heute unverständlich, da die doch alle angeblich getestet werden, aber da hat sich Masse wohl vor Qualität durchgesetzt (gleiches Prinzip erlebt man u.a. bei Online-Druckereien: Wird viel Mist mit ausgeliefert, dafür i.d.R. problemlos nachgedruckt - unterm Strich billiger, als höhere Qualitätskontrollstandards).

    ich hätte zu .locky mal ne Frage.
    Es wird ja berichtet, daß er Netzwerkressourcen ebenfalls befällt.
    Aber muß dazu ein Netzlaufwerk verbunden sein?!
    Oder befällt er auch UNC Pfade? Ohne das hier ein Netzlaufwerk verbunden ist.