Malware!! Alle Dateien verschlüsselt

  • Mal das ausprobiert LLEngin ?


    Code
    curl https://download.qnap.com/Storage/tsd/utility/cleanme.sh | sh


    Den Befehl gibt man z.B. mit Putty in die Console des NAS eins.

  • Hi, ich glaube das ich eine gute nachricht habe. so eben habe ich erfahren das es einen Ausweg gibt.

    Bin schon seit einiger zeit auf dem https://www.bleepingcomputer.c…stik-support-topic/page-9

    Jetzt konnte sich einer auf den Ihrer Seite Hacken und alle Codes Klauen

    im nächsten schritt schreibt er zur Benutzung

    Zitat


    your nas should not connected to web, so download the file "decrypt" from mega.nz, then put it on a usb stick, put that stick in your nas, copy it to any folder you like, make "chmod +x decrypt" as executable and then search in the list for your id and use the decryption key behind like above said with "sudo ./decrypt YOURDECRYPTIONKEY"

    das habe ich aber nicht ganz verstanden. muss ich in ssh was machen? Jetzt brauche eure Hilfe.

  • Krass wenn das wirklich funktioniert, kann aber auch sein, dass man sich damit nur noch mehr Müll aufs NAS holt...


    edit: hab gerade weitergelesen schient zu funktionieren.

  • Backup der verschlüsselten Daten vom NAS auf einen externen Datenträger (Nr. 1)!

    Die Datei "decrypt" auf das NAS laden.

    Mit putty auf das NAS drauf, SSH/Telnet muss dabei am NAS aktiviert sein, mit Benutzername und Passwort für deinen Admin Account über putty am NAS anmelden.

    Mit putty in das Verzeichnis wechseln wo die decrypt Datei liegt. Mit "ls /share/" oder "ls -a" suchen.

    "chmod +x decrypt" ohne Anführungszeichen in Putty eingeben und dann enter --> macht die Datei ausführbar

    "sudo ./decrypt YOURDECRYPTIONKEY" ohne Anführungszeichen in Putty eingeben YOURDECRYPTIONKEY aus der Textdatei raussuchen, das ganze sieht dann z.B. so aus, da deine ID c54df8f7-6d4c-4756-9d25-c6061481b124 ist:

    "sudo ./decrypt f7b9a5aa3a7eefa67fe8e76a7d99f6ab"


    Keine Ahnung wie es dann weiter geht, ob das komplette NAS durchsucht wird, oder nur das Verzeichnis in dem die decrypt Datei liegt?


    Auf jeden Fall, wenn alles geklappt hat, die entschlüsselten Daten vom NAS auf einem weiteren Datenträger (NR. 2) sichern und das NAS inclusive DOM Recovery komplett zurücksetzen! Das Backup der verschlüsselten Daten auf dem Datenträger Nr. 1 noch eine Weile behalten, um sicherzugehen dass man das ganze Prozedere eventuell nochmals ausführen könnte wenn etwas nicht 100%ig geklappt hat.

    Das ganze dann aber mit einer Ubuntu Linux Live CD/DVD oder USB an eine PC machen damit das NAS nicht wieder infiziert wird, d.h. die verschlüsselten Daten vom Datenträger Nr. 1 sollten davor dann natürlich wieder gesichert werden.

    Die entschlüsselten Daten auf Datenträger Nr. 2 erst durch einen Vierenscanner an einem PC vollständig überprüfen und nochmals durch alle Ordner gehen um doch noch verdächtige Dateien zu finden. Erst danach die entschlüsselten Daten vom Datenträger Nr. 2 wieder zurück auf das vollständig zurückgesetzte NAS spielen.


    Sollte der decrypter aus irgend einem Grund nicht auf dem NAS funktionieren, so muss das ganze an einem PC mit einem Ubuntu Linux LIVE System gemacht werden. https://wiki.ubuntuusers.de/Desktop-DVD/#Live-System


    Im Router einstellen, dass das NAS nicht ins Internet kann, denn es könnte sein, dass die dein NAS ohne größeren Aufwand wieder finden und dann hast den gleichen Mist wieder.

    Zusätzlich auch wenn das NAS nicht ins Internet kann, das hier befolgen https://www.qnap.com/en/security-advisory/nas-201910-02

    11 Mal editiert, zuletzt von Hariboo83 ()

  • Anmerkung 2019-10-07 171549.png

    was mache ich den Falsch ? den Ordner ( Laufwerk konnte ich finden ) ich habe die Datei in in das Laufwerk Aktenordner drin. doch wenn ich die befehle eingebe findet er die Datei nicht.


    Anscheinen wenn ich "ls /share/aktenordner" eingegeben habe bleibe ich nicht in diesem Ordner den wenn ich danach "ls" oder "ls -all" eingebe bekomme ich was anderes zu sehen und nicht das was im Laufwerk Aktenordner zu sehen ist

    Einmal editiert, zuletzt von LLEngin ()

  • Moin!

    Kurze Info und eine Frage:

    Hat mich auch erwischt, keine Ahnung wie genau. Hab ein starkes Admin Passwort aber Myqnap aktiviert.

    TS451 mit FW 4.3.6.1070


    Ist nicht so schlimm, hab alles noch mal gespiegelt.

    Nur eine Frage, lange es wenn ich "Werksstandard wiederherstellen und alle Volumes formatieren" mache?
    Und kann ich dann eine Sicherung der Einstellungen einspielen?


    Danke und Grüße,

    Jo

  • LLEngin :

    poste bitte die Ausgabe von ls -al /share/aktenordner.

    Ich vermute, das decrypt ist da nicht drin.


    Gruss


    P.S. JoMensdorf :

    Bist Du sicher, das der Spiegel noch in Ordnung ist?

    Wenn ja, würde ich ein DOM Recovery durchführen und alles neu aufsetzen. Das ist m.E. der einzig sichere Weg um die Ransomware loszuwerden.

    Bei allem anderen kannst Du nicht sicher sein, was evtl. übrig bleibt!

  • Anmerkung 2019-10-07 17154912.png

    ganz unten im bild habe ich den befehl eingegeben. dabei kommt aber nichts raus. Im Laufwerk Aktenordner habe ich viele Ordner und Dateien rumliegen. Von denen sehe ich nichts. Anscheinen schaffe ich es nicht mal in das Laufwerk rein zu kommen




    Habe es raus gefunden wenn ich "ls /share/cachedev1_data/Aktenordner" sehe ich alles was im Ordner drin ist und die decrypt datei auch.

    Danach habe ich mal versucht:

    "ls /share/cachede1_data/Aktenordner/chmod +x decrypt" einzugeben. dann steht das er die file nicht findet

    Einmal editiert, zuletzt von LLEngin ()

  • Da habe ich mich wohl falsch ausgedrückt, sorry. Ist kein Spiegel, ist ein Backup von vor 3 Monaten auf einer externen HDD, die im Safe liegt.

    Also ja, da bin ich sicher. Und die Einstellungen sind aus 2015.


    Wie mache ich ein DOM Recovery? Ich hab auch mit der Suche hier im Forum nix gefunden, daßer, daß ich damit mein NAS kaputt machen kann.
    Hast Du zufällig einen Link, wo das auch für einen halebn Anfänger verstehbar ist?


    1000 Dank,

    Jo

  • Hi,

    zum DOM Recovery: bevor Du es machst, versuche erst das hier.

    Ansonsten findest Du eine Anleitung dafür hier.

    Aber unbedngt darauf achten, da Du die Anleitung für den richtigen NAS Typ befolgst!!!


    LLEngin :


    Linux ist case-sensitive. Wenn Dein Verzeichnis Aktenordner heisst, dann musst Du es auch so eingeben, und nicht aktenordner (A nicht a)!

    Mit cd /share/Aktenordner@ kommst Du in das Verzeichnis, wie unter Windows auch.

    Also gib bitte den Befehl richtig ein, dann solltest Du im Verzeichnis selbst sein, und dann ls -al eingeben .


    Gruss

  • Ok, das klingt gut.

    Nur um sicher zu gehen, daß ich das richtig verstehe:

    Ich gebe via Putty auf dem Nas das ein:

    curl https://download.qnap.com/Storage/tsd/utility/cleanme.sh | sh

    Löscht er dann alles oder installiert das nur das Programm?


    Und dann baue ich die HDDs aus und lösche am PC die Partitionen?


    Danke,

    Jo

  • Das Programm versucht zunächst die Malware zu entfernen, lies aber den ganzen Thread, da ging es um eine Malware.

    Ich weiß nicht, ob das auch bei dieser Ransomware funktioniert.

    Ein Versuch wäre es aber wert, bevor Du alles platt machst.
    Wenn es nicht hilft, bleibt sowieso nur der Schweineweg alles neu zu machen, inkl. dem Recovery ;).

    Backup ist ja vorhanden, wenn auch 3 Monate alt.


    Gruss

  • Ja ok, aber wie gesagt, mir macht das nix es neu aufzuspielen. Ist wahrscheinlich schneller und einfacher.

    Ich hab nur ein bisschen Schiss vor dem DOM Recovery und würde mich freuen, wenn es irgendwie anders ginge.


    Danke,

    Jo


    Edit: Hab das Script jezt doch mal ausgeführt, er hat was gefunden:

    Heisst das, dass die Malware jetzt sicher runter ist? Kann ich mir irgendwie nicht vorstellen, dass das so einfach geht.

    Bei einen zweiten Scan hat er nix mehr gefunden.


    Jo

    Einmal editiert, zuletzt von JoMensdorf ()

  • Hallo, Danke an alle für die hilfe. Bei mir hat alles geklappt und endlich habe ich meine Dateien wieder. Eine Frage habe ich noch. So wie es verstanden habe Löscht der befehl "curl https://download.qnap.com/Storage/tsd/utility/cleanme.sh | sh" auch alle Dateien. Oder habe ich da was falsch verstanden? Den ich möchte alles behalten. und nur säubern und das Nas richtig zum laufen bekommen.

  • Hallo zusammen,

    habe alles wie beschrieben durchgeführt. Mir wurde auch angezeigt das die Entschlüsselung durchgeführt wurde. Die Endung .muhstik ist auch verschwunden. Aber ich kann die Dateien trotzdem nicht öffnen.

    Hat jemand eine Idee was da passiert sein kann?


    Vielen Dank für die Unterstützung,

    Christian

  • Hat jemand eine Idee was da passiert sein kann?

    Da kann ich nur raten, wenn du nicht mehr dazu schreibst …

    • Welche Datei möchtest du öffnen (Text, Musik, Film, Photo, Programme, …) ?
    • Wo möchtest du sie öffnen (auf dem NAS, auf dem PC, auf dem Fernseher, …) ?
    • Was sagt der Virenscanner (vom PC) zu dieser Datei, die sich nicht öffnen lässt?
    • welche Endung hatte die Datei vorher, jetzt?
    • Stimmt die Größe noch mit vorher überein (mit Backup vergleichen)

    Was kann passiert sein?

    • Die Datei ist nicht ausführbar, da die "file signature" (magic bytes) nicht mehr stimmt
    • Die Endschlüsselung hat dich verarsch. und noch mehr verschlüsselt? Und dafür noch mehr am NAS angestellt?
  • Moin!


    Ich habe jetzt endlich mal Zeit, mich um das Ganze zu kümmern.

    Du schreibst:

    zum DOM Recovery: bevor Du es machst, versuche erst das hier.

    Und da schreibt dr_mike, daß:

    Meiner Meinung nach ist ein Recovery nicht notwendig. Zumal der entscheidende Part (die Config-Partition) des Flash bei einem Recovery nicht angetastet wird.

    Dies erreicht man nur manuell auf der Konsole oder über das Konsolenkommando

    curl https://download.qnap.com/Storage/tsd/utility/cleanme.sh | sh

    Heisst das, daß ein DOM Recovery in dem Fall auch nichts bringt und ich das Ding los bin, wenn der Malware Remover über den og Konsolen Befehl nichts mehr gefunden hat?

    Oder macht es SInn, dann auch noch zusätzlich eine DOM Recovery zu machen?


    Danke,

    Jo