Malware!! Alle Dateien verschlüsselt

  • Heisst das, daß ein DOM Recovery in dem Fall auch nichts bringt und ich das Ding los bin, wenn der Malware Remover über den og Konsolen Befehl nichts mehr gefunden hat?

    Nein, diese Sicherheit gibt es NIE!


    Nur weil der MR nichts gefunden hat, heißt das nicht, dass auch nichts da ist! Er hat einfach nichts gefunden, Punkt aus. Entweder das NAS ist wirklich sauber, er kennt die Signatur (noch) nicht, oder der Trojaner versteckt sich zu gut (an Stellen die der MR nicht durchsucht).


    Da wären wir wieder beim DOM-Recovery, habe ich noch nie gemacht und würde ich auch nur dann bei einem NAS machen, bei dem ich davon ausgehe, dass ich es nachher ohne zu jammern wegschmeißen könnte ...


    Das ganze nennt sich jetzt Risikoabschätzung und wie viel Restrisiko DU akzeptierst. Das kann dir keiner abnehmen!

    Wichtiger ist ein ordentliches Backupkonzept und das Schließen der Einfallslücke(n). Solange du nicht weist, wo er hergekommen ist und du nichts geändert hast, wird der auch nächste wieder reinschlüpfen.

  • Also, ich habe eine gute Backup Strategie und alle Daten noch mal, mag nur mein NAS jetzt nicht wegwerfen.

    Das Ding kam, wenn ich das richtig verstanden habe, durch eine Schwachstelle in phpMyAdmin, das ist mal installiert aber nicht benutzt hatte,

    also war da scheinbar noch das Standard Passwort aktiv. Ich habe das jetzt deinstalliert und mich bei MyQnapCloud abgemeldet.

    Von daher hoffe ich, daß das Tor zu ist.

    Ich mag nur eben das Ding so sicher wie möglich los sein und probiere dafür auch ein DOM Recovery.

    Aber nicht, wenn es wie dr_mike schreibt scheinbar nix bringt.

    Habe gerade einen Post von ihm hier

    muhstik decryption keys

    gelesen, und weil ich nix Bessere weiß lösche ich jetzt die HDDs und setzte das Nas mit einer neuen FW

    neu auf.


    Danke Euch!

  • Wie du siehst, ist diese Anmerkung von dr_mike ziemlich aktuell ;),

    und wie RedDiabolo geschrieben hat: es ist und bleibt eine Risikoabschätzung.


    Aber auch im genannten Post steht klar:

    Garantie kann ich aber nicht geben und auch kein anderer genausowenig wie QNAP.


    Gruss

  • Ja, das versteh ich ja. Aber zumindest bin ich jetzt der Meinung, daß ein DOM Reset nix bringt...

    Wenn es für dich passt, dann ist es die richtige Entscheidung!


    Wenn du dich in einigen Tagen wieder meldest und es passt noch immer, wissen wir mehr, anders rum auch ;)

  • Heisst das, daß ein DOM Recovery in dem Fall auch nichts bringt

    Also wenn der MR alles erkennt und überall sucht, dann braucht man natürlich kein DOM Recovery machen. Aber weiß man was der MR erkennt und was nicht und wo er sucht und wo nicht. Man kann sich beim MR nie 100% sicher sein, ich sag mal eher 50/50 kann man sich höchstens drauf verlassen, dass nach dem Scan keine Malware auf dem NAS ist. Es könnte ja sein, die Malware ist noch garnicht mit dem MR erkennbar d.h. er findet nix und man wiegt sich in Sicherheit.


    Ein DOM Recovery flasht das komplette DOM neu, wie ein BIOS Update, nur ist die Ausführung etwas umfangreicher. Aber danach kann man sich mit Sicherheit zu 99% sicher sein, dass sich zum Zeitpunkt nach dem Flashen keine Malware mehr auf dem NAS befindet, das kannst man beim MR wie schon erwähnt meiner Meinung nach nicht mit so hoher Wahrscheinlichkeit sagen.


    Ist meine Meinung zu dem ganzen Thema, Ich würde auf jeden Fall alle HDD's formatieren, im ausgesteckten Zustand der HDD's ein DOM Recovery machen, NAS neu einrichten und erst mal nicht mehr ins Internet lassen. Im Router sperren, zusätzlich im NAS alle mögliche Sicherheitsvorkehrungen treffen. Nur so kann man sich sehr sicher sein, dass man nichts mehr hat, bzw. sich nichts mehr einfängt. Im Privaten Bereich ist das nicht so das Problem da kann man wenig spielen dann aber auch eher mit einem Backup, aber im Geschäftlichen Umfeld würde ich keine halben Sachen machen!

  • Hallo, leider bin auch ich betroffen, fragt nicht nach Sicherung :(


    Ich habe keine Erfahrung mit der QNAP, außer sie zu nutzen und suche eine kleines HowTo für NewBies / Dummies, um jetzt auch die QNAP zu kommen und zu entschlüsseln.

    Meine Nummer ist in der Decrypt Liste aufgeführt, aber jetzt haben sie mich verlassen.


    Gibt es so ein HowTo, oder ist etwas einfach verfasst, ich vermute ich bin nicht der einzige und es würde auch anderen helfen.



    Ich habe eine TS253 Pro mit einfach gespiegelten Platten. Ich würde vermuten im ersten Step eine Platte ziehen und nur auf der anderen arbeiten, so kann zur Not zurück gegangen werden.

  • In diesem Thread schon die Posts ab #24 gelesen?

    Ab da steht eigentlich alles, was getan werden soll.

    Da ich nicht selbst betroffen bin kann ich auch nichts genaueres dazu sagen, da müsste einer der Betroffenen mal ein HowTo erstellen.


    Gruss

  • Bin dabei, sogar eher #27, Ist mein Ansatz mit Platte ziehen korrekt, oder baue ich mir so andere Probleme. (Ich habe natürlich kein externes Medium gleicher Größe um vorher alles zu sichern)

  • Dann bestelle dir halt eins, oder beim kleinsten Fehler sind im schlimmsten Fall alle Daten weg.


    Aber dann kannst du dir das auch sparen und einfach alles platt machen.


    Du hast bisher an der Sicherung gespart, das hat sich jetzt schon als Fehler erwiesen, so weiter machen ist also keine gute Lösung.


    Ich zitiere mal meinen Chef:

    "Kannste so machen, dann wird halt kacke!"

  • Ich hätte gedacht: NAS ausschalten (ist es schon). Bei 2 Platten gespiegelt Platte 0 und Platte 1, 1 ziehen, NAS anschalten, entschlüsseln. Alles OK, Platte 1 rein und neu synchronisieren. Wenn das nicht OK ist, NAS aus, Platte Null ziehen und Platte 1 rein, NAS anschalten, wenn oben Platte 0 rein und wieder von 1 auf = spiegeln, so sollte der Ursprungszustand da sein.


    Geht das so nicht ?


    Ja und ich werde eine andere Platte kaufen müssen und auch für zukünftige externe Backups einsetzen (nach meinem Urlaub ab nächste Woche), aber bis dahin, würde ich gerne schon mal anfangen. Ich werde auch bestimmt mehr Sicherheitspunkte beachten.

  • so wollte mich auch mal kurz melden und wollte net extra einen neuen Fred aufmachen


    Danke an alle die mitgeholfen haben meine Dateien sind wieder entschlüsselt und ein 2 Nas ist bestellt werde die Sache mit dem backup mal angehen nach meinem Urlaub.


    MfG

  • Ja und ich werde eine andere Platte kaufen müssen und auch für zukünftige externe Backups einsetzen (nach meinem Urlaub ab nächste Woche), aber bis dahin, würde ich gerne schon mal anfangen. Ich werde auch bestimmt mehr Sicherheitspunkte beachten.

    Es sind ja Deine Daten!

    Wenn Du es riskieren willst alles zu verlieren - nur zu!


    Zu Deiner Frage:

    theoretisch müsste es so funktionieren, wenn aber etwas schiefgeht, dann war es das ohne Backup.


    Ich frage mich aber ganz ehrlich, warum man in einem Forum um Hilfe ersucht, um dann alle Ratschläge in den Wind zu schlagen!?

    Wie gesagt, es sind nicht meine Daten, viel Glück bei Deinen Versuchen. :mcup:


    Gruss

  • Habe ich verstanden, ich kaufe erst eine Platte um die Daten zu sichern. Ich werde nicht alle Ratschläge ignorieren. Ich möchte aber auch Wissen ob ich eigentlich richtig gedacht habe.


    Da ich kein Problem mit den Berechtigungen habe, sollte ein Copy der Dateien genügen ?


    Ich habe auch noch nicht verstanden, wie ich verhindere das gleich automatisch wieder verschlüsselt wird (wohlmöglich neuer Key). Ports ändern, bzw. Internetzugang sperren ist klar, aber läuft da nicht etwas automatisch beim Start der NAS.


    Danke für Eure Hilfe

  • Das allererste ist das NAS nicht mehr aus dem Internet erreichbar machen!

    Zur Not einfach das NAS vom Router trennen und direkt mit dem PC verbinden.

    Wie war das NAS bisher erreichbar? Über MyQNAPCloud? Sonst wie?


    Gruss

  • Über 80, 8080, 443 und 8443 aus dem Internet (normal Web und LetEncrypt. Weiterleitung ist jetzt deaktiviert, d.h. jetzt nicht mehr errreichbar. Lokale Rechner habe ich alle gescannt mit Virenscanner und Malwarebytes, keine Auffälligkeiten. PW der NAS ist nicht per BruteForceAttacke angreifbar (frei erfunden (Groß/Klein, Zahlen, Sonderzeichen).

  • Welche Datei möchtest du öffnen (Text, Musik, Film, Photo, Programme, …) ?

    Es betrifft alle Dateien

    Wo möchtest du sie öffnen (auf dem NAS, auf dem PC, auf dem Fernseher, …) ?

    Ich habe es auf der NAS und auf dem PC versucht.

    Was sagt der Virenscanner (vom PC) zu dieser Datei, die sich nicht öffnen lässt?

    McAffee zeigt keine Probleme bei den Dateien an

    welche Endung hatte die Datei vorher, jetzt?

    z.B. xyz.pdf.muhstik wurde dann durch decrypt in xyz.pdf geändert

    Stimmt die Größe noch mit vorher überein (mit Backup vergleichen)

    ja die Dateigrößen sind identisch


    Ich habe mittlerweile ein paar Ordner entdeckt die korrekt entschlüsselt wurden. Diese Dateien kann ich öffnen. Aber die Vielzahl kann ich nicht öffnen.

  • Tja dann besteht die Möglichkeit dass di Macher der Schadesoftware nicht so perfekt gearbeitet haben.

    So wurde zwar alles schön verschlüsselt, aber halt nicht sauber.

    Sprich, auch mit dem Key lässt sich die org. Datei dann nicht wiederherstellen.


    In dem Fall sind die Daten dann wohl wirklich weg, sollten mehr als die Metadaten betroffen sein.