Malware!! Alle Dateien verschlüsselt

    nun hat es mich auch erwischt. Doch leider konnte ich auch nichts richtiges hier im Forum Finden. Sondern nur auf anderen seiten das Hacker es durch eine unbekannte Lücke geschafft haben, zugang zum Server zu bekommen.

    Eine richtige Abhilfe habe ich leider nicht gefunden. Manche dinge die hier beschrieben werden, funktionieren auch nicht ganz oder sind kompliziert beschrieben.


    Alle Dateien auf meinen Server haben eine Endung .muhstik und in jedem ordner ist eine .txt datei in dem steht:

    Ich habe versucht das Programm Malware Remove zu installieren. Bekomme bei starten der app die meldung

    Code
    Error
Page not found or the web server is currently unavailable. Please contact the website administrator for help.


    hatte auch gelesen das man es direkt aus dem Internet von der Qnap Seite runterladen soll und dann zu installieren. Als Ergebnis bekomme ich aber die Selbe Fehlermeldung.

    Nun weis ich leider nicht weiter. Alles auf null setzten kann ich nicht, da ich zu viele wichtige Dateien habe.

    Hatte auch gelesen das Qnap davon weis, sich aber bis dato nicht geäußert hat. Vielleicht haben die ja doch was gefunden. Vielleicht hatte hier auch jemand das Problem und konnte es beheben. In einem anderen Beitrag hatte man ein Link gepostet wobei man angeblich dran ist eine Lösung zu finden. Doch war alles auf Englisch und nicht verständlich. Würde mich um jede Hilfe freuen.


    Als nas habe ich das TS-251B

    Hast du ein Backup all deiner Daten, ich vermute aufgrund deiner Formulierung nicht.


    Wobei du eher von du hattest Daten sprechen kannst.

    Denn es ist bei Crypto Malware nie sichergestellt, das du nach dem bezahlen des Lösegelds wirklich wieder an deine Daten kommst.

    Ein Tool zum entschlüsseln der Daten kann dauern, Monate oder auch Jahre, bis es jemand fertig gestellt hat.


    Hast du Snapshots aktiv? Wenn ja ist es einen Versuch wert die Daten auf diesem Wege wieder zu hohlen.

    Welcher Firmware Stand war installiert als die Meldung kam?

    War/ist dein NAS aus dem Internet erreichbar?

    Wenn ja, schalte das umgehend im Router ab.


    Es kann im schlimmsten Fall jedoch erforderlich sein, dass du dein DOM Recovery durchführen musst.


    Viel Glück

    Zitat von LLEngin

    Alles auf null setzten kann ich nicht, da ich zu viele wichtige Dateien habe.

    Und wieder einmal zeigt es sich, warum ein NAS kein Backup ist!

    Du wirst, um sicher sein zu können das wirklich jede Schadsoftware weg ist, nicht um ein Neuaufsetzen drum herum kommen!

    Alles andere wäre viel zu risikoreich.

    Das ist in Deinem Fall besonders ärgerlich.

    Alternativ: zahle den geforderten Betrag und hoffe einen Entschlüsselungskey zu erhalten, die Chancen dafür sind aber denkbar gering.

    Und für die Zukunft solltest Du unbedingt über ein Backupstrategie nachdenken und diese realisieren.


    Gruss


    Crazyhorse war schneller

    Einmal editiert, zuletzt von FSC830 () aus folgendem Grund: Linksschreibung korrigiert

    Anmerkung 2019-10-01 193758.pngSo genau weis ich leider nicht ob es aktive war. Habe mal ein bild eingefügt. Vielleicht kannst du mir das sagen. Falls es doch aktive gewesen ist. Wie hole ich die Dateien wieder?

    4.4.1.1064 ist die aktuelle Software. Muss auch bei dieser version passiert sein den vor 2 Tagen ging noch alles. Gestern ist mir aufgefallen das das Internet und der Rechner für eine zeit ziemlich lahm war. Gehe mal von aus das es da passiert ist. Konnte aber nichts feststellen.

    Das Nas war bis eben aus dem Internet erreichbar. ( Habe dein tipp gefolgt und aus der Fritz gelöscht.)

    Zitat von Crazyhorse

    Wobei du eher von du hattest Daten sprechen kannst.


    Zitat von FSC830

    Und wieder einmal zeigt es sich, warum ein NAS kein Backup ist!


    Will hier nicht ausfallend werden, aber solche Kommentare sind...nun ja, nicht sonderlich hilfreich. Der Teilnehmer ärgert sich wegen dem Backup vermutlich grad n Ast. Das fehlende Backup immer wieder in jedem Thread erneut unter die Nase zu reiben. Für mich klingt da so eine Art Schadenfreude mit. Ja, hinterher ist man immer aus dem Schaden klug geworden und hat hoffentlich draus gelernt. Und ja, ihr habt auch Recht mit dem darauf hinweisen. Nur hilft das "jetzt" nichts mehr.


    So, jetzt haut auf mich ein. :)

    Zitat von rednag

    aber solche Kommentare sind...nun ja, nicht sonderlich hilfreich.

    Wieso, steht ALLES da, was man (LLEngin) da noch machen kann:

    1. ist dein NAS aus dem Internet erreichbar? Wenn ja, schalte das umgehend im Router ab.
    2. Es kann im schlimmsten Fall jedoch erforderlich sein, dass du dein DOM Recovery durchführen musst.
    3. Du wirst, um sicher sein zu können das wirklich jede Schadsoftware weg ist, nicht um ein Neuaufsetzen drum herum kommen!
      Alles andere wäre viel zu risikoreich.
    4. Und für die Zukunft solltest Du unbedingt über ein Backupstragie nachdenken und diese realisieren.

    Mehr kann man da nicht machen, sich einen Ast (oder Arsc.) ärgern, DOM recovery, Platten löschen und neu aufsetzen.


    Ich lese da nicht mehr und nicht weniger heraus, alles andere was man machen könnte ist was fürs lange Wochenende, bringt Frust oder Spaß, kostet Zeit und führt letztendlich doch zum Neuaufsetzen ...

    Im Speichermanager bist du schon richtig.

    Thin Volume erlaubt den Einsatz von Snapshots, aber ob die aktiv sind musst du unter dem ebenso genanntem Menüpunkt nachsehen.


    Ich hoffe du hattest das aktiv. Dann hast du noch eine Chance an die Daten ran zu kommen.

    Schaue also genau unter Snapshot-Backup nach.

    Nein rednag, ich schlage nicht auf Dich ein :mcup:.

    Mir war schon klar, das, wenn hier jetzt das Wort "Backup" fällt, von irgendwoher ein Kommentar kommt, das das in der vorliegenden Situation nicht hilfreich ist.

    Warum ich trotzdem drauf rum reite?

    Damit genau den Leuten, bei denen es hoffentlich noch nicht zu spät ist, ein Licht aufgeht!


    Ich kann vor so viel Naivität mancher Betroffenen nur den Kopf schütteln.

    Immer wieder die Aussage, das soooo wichtige Daten darauf sind und dann kein Backup!?


    Kommt mir manchmal so vor wie russisch Roulette mit voller Kammer, und dann sich beschweren, wenn nach dem ersten Abdrücken der Schuß losgeht 😎.

    Ja, der Vergleich hinkt, beim angeführten Beispiel kann man sich hinterher nur an höherer Stelle beschweren :S.


    In den Zeiten, als alles noch Analog war, da hat man sich von wichtigen Dokumenten eine Kopie gemacht, diese evtl. noch beglaubigen lassen.

    Die Kopie wurde dann meist an einem anderen Ort aufbewahrt.

    Digital verläßt man sich dann darauf, das es das Gerät schon richten wird.

    Zu dem Thema fällt mir ein Buch eines bekannten , deutschen Hirnforschers ein: "Digitale Demenz".

    Das kann ich nur jedem empfehlen, da steckt viel Wahrheit drin.


    Gruss

    Zitat von FSC830

    Kommt mir manchmal so vor wie russisch Roulette mit voller Kammer, und dann sich beschweren, wenn nach dem ersten Abdrücken der Schuß losgeht

    Erinnert mich an den Film "13". :)


    RedDiabolo und FSC830 Ich persönlich schätze eure hilfreichen Kommentare hier im Forum. Ich meinte damit auch nicht einzelne User.

    Aber wenn dann irgendwo in der dritten oder vierten Antwort immer noch überspitzt ein "Was? Kein Backup! Selbst schuld" drinsteht, ist es in meinen Augen Schadenfreude. In der ersten Anwort kann man das fehlende Backup monieren, aber dann ist der Drops auch schon gelutscht.

    Ich hab mir den auch eingefangen.. hab danach einen Bekannten der auch nen QNAP hat mal gewarnt und auch bei ihm haben wir auf der Festplatte die "muhstik" Dateien auf dem NAS gefunden.
    Ich denke das wird ne grössere Welle, nur die meisten die den drauf haben haben das noch nicht bemerkt....

    Es wäre interessant zu wissen, was Ihr für Gemeinsamkeiten habt.

    Ist das NAS aus dem Internet erreichbar, wenn ja, wie?

    Ist "nur" das NAS betroffen, oder auch ein Win PC ( der dann u.U. das Einfallstor ist!?).


    Gruss

    Am besten alle Details.

    NAS Modell?

    Firmwarestand?

    Wie erreichbar?

    Welcher Router mit welcher Firmware und welchen Portweiterleitungen?


    Client Typ?

    System inkl. Version?


    Es muss ja nicht vom NAS direkt ausgehen, ggf. ist auch ein Bug wie in den Connect Boxen von Unitymedia ausgenutzt worden und das NAS ein Opfer von einem internem Angriff.

    ja mein NAS war aus dem Internet erreichbar ( QNAP Cloud aber hatte früher auch auch noch ein paar andere apps.)
    habe es jetzt erstmal komplett vom internet getrennt und die apps soweit wie möglich "bereinigt"
    Bei mir ist nur das NAS betroffen
    Firmware ist aktuell, Malware Remover ist aktuell und hat bisher nie was gefunden.

    Meine Vermutung ist das die Malware bereits seit einigen Monaten auf dem NAS unerkannt lief, in dieser Zeit aber nicht verschlüsselt hat. Die Verschlüsselung ging dann erst vor 1-2 Tagen los.

    Model:TS-253 Pro

    Current firmware version: 4.4.1.1064

    Date: 2019/09/18

    Router ist eine FB 7530

    In meinen logs habe ich keine Hinweise auf eine Brute Force Attacke gefunden.

    Da wirst du bei einem gezielten Angriff auch nix im Log finden.

    Das ist also eine Vermutung die noch bestätigt werden muss.


    Auffällig ist jedoch, dass ich in dem Zusammenhang bisher immer 4.4.1.1064 gelesen habe, aber nix von der 4.3.6.


    Wäre nicht das erste mal, das neue Funktionen auch neue Sicherheitsprobleme mit bringen.

    Hier wurde ja die komplette Multimedia Funktion neu gemacht. Die hatte in der Vergangenheit für so einige Angriffswege gesorgt.

    Könnte daher wieder passiert sein.

    Jein, hier ist die Rede von v4.3.4.

    Also ist zumindest nicht nur die 4.4.1.xxx betroffen.


    Was mich trotzdem wundert: laut den meisten Links gefährdet die Ransomware alle Win OS, aber betroffen ist laut den Meldungen hier immer nur das NAS.

    Das interpretiere ich auch als einen gezielten Angriff auf QTS.


    Gruss

    Wenn die Qnap Nas gezielt angegriffen werden, müsste doch auch was im log stehen insbesondere wenn versucht wird mittels Bruteforce Zugriff zu bekommen. Wenn sich die Schadsoftware über smb verbreitet, dann würden doch sicher auch die Dateien auf dem PC verschlüsselt oder liege ich hier falsch.

    Leider kenne ich mich in der ganzen Thematik nicht so aus, hatte bisher bei mir auch noch nie so einen Fall. Meine Geräte sind über eine Fritzbox und dahinter einen Asus Router mit Merlin drauf mit dem Internet verbunden. Die Asus Router bieten hier ein Feature namens AIProtection, was angeblich sowas verhindern soll. Ob das tatsächlich was bringt- keine Ahnung. Da kenne ich mich zu wenig mit aus. Vielleicht kann ein Experte mir hierzu was genaurers sagen.

    Jetzt ist der Nas erst mal vom Internet getrennt und ich warte mal weitere Entwicklungen ab. Wenn die Verbreitung natürlich über den Windows PC geht und die Freigaben, dann bringt das natürlich auch nix.

    Wenn der PC befallen ist, wird auch hier alles verschlüsselt.


    Daher vermute ich den Befall des QTS direkt.

    Nein, bei einem gezielten Angriff steht nix im Log, da z.B. ein Pufferüberlauf ausgenutzt wird eine ssh Session vom NAS aus ins Internet auf zu bauen.

    Wenn die Anfrage davor daher nicht sauber verarbeitet wird, kann das Logging daher auch unvollständig oder ganz ausbleiben.

    In zwischen weis ich, dass es anscheinend nicht wichtig ist welche Firmware man hat. Der Befall kommt von mit höhter Wahrscheinlichkeit durch einen Standard-Port. Den Qnap empfiehlt die ports 443 und 8080 nicht zu benutzen. Ändern unter Systemsteuerung und Allgemeine Einstellungen. Nur weis ich leider nicht welche ports man benutzen sollte. Den Beispiele werden nicht genant. Somit weis ich nicht welche kompatibel sind.

    Lesen kann man das ganze auch unter der Adresse:

    https://www.qnap.com/de-de/news/2019/erklärung-von-qnap-zu-ransomware-angriffen-durch-ech0raix

    ich vermute mal das wir uns auch gedulden müssen bis qnap was findet das das Problem behebt.

    Auf der Seite:

    https://sensorstechforum.com/de/muhstik-virus-remove/


    habe ich was gefunden wie man es entfernt. Doch leider nur für einen Windows Rechner. Deswegen gehe ich mal davon aus das bald auch eine Lösung von Qnap kommt. Derweil bin ich auch in permanenten Kontakt mit qnap. Nur wegen der Zeitverschiebung dauert es immer einen Tag. bis ich eine Antwort bekomme.

    Falls dennoch jemand ein Lösungsansatz hat Bitte ich es zu teilen. Den so wie ich es sehe kommen jeden tag immer mehr Geräte hinzu die befallen worden sind.

    Zitat von LLEngin

    Nur weis ich leider nicht welche ports man benutzen sollte. Den Beispiele werden nicht genant. Somit weis ich nicht welche kompatibel sind.

    Ist völlig egal, Hauptsache sie werden nicht von anderen Anwendungen belegt.

    Ich persönlich nutze Ports oberhalb von 10000.

    Zitat von LLEngin

    Lesen kann man das ganze auch unter der Adresse:

    https://www.qnap.com/de-de/news/2019/erklärung-von-qnap-zu-ransomware-angriffen-durch-ech0raix

    Das ist altes Zeugs vom Juli 2019.

    Einmal editiert, zuletzt von frosch2 ()

    So alt finde ich das jetzt nicht. Den von Qnap ist ja seit dem nichts mehr veröffentlicht. Aus diesem Grund gehe ich mal von aus das die noch dran sind um eine Lösung zu finden.

    Das andere Problem was ich zur zeit habe ist, dass ich die Helpdesk nicht zum starten bekomme. Da die von Qnap Zugriff auf mein Nas haben wollen. Doch die Malware blockiert dies. Hat vielleicht einer eine Idee. Das Antivirus und Malware Remover gingen ebenfalls nicht. Nach dem ich aber die Firmware neu installiert habe ging es. Das Helpdesk spukte nur eine Fehler Meldung, das er keine Daten finden konnte. Laut Qnap kundendienst sollte ich ein Reset durchführen und es dann probieren. Leider konnte ich ich die App danach garnicht mehr installieren. Auch nachfolgendes Advanced System Reset brachte nichts. Jetzt muss wieder warten bis die zurück schreiben.

    Anmerkung 2019-10-04 124125.png