Crypto Malware eingefangen. Was nun?

    Hallo,


    auch mein 253Pro 8G hat sich die "Crypto Malware" eingefangen !

    Woher kommt der Scheiß , ich habe nichts installiert und Malware Remover ist installiert und läuft auch !


    Ich habe einen Qnap TS-410 als Backup-Server, dort werden über die App "HBS 2 Hybrid Backup Sync" alle Daten gesichert. Einige Ordner in Echtzeit, ander per Zeitplan.

    Auf dem Backup-Server sind alle Dateien unverschlüsselt, also dann ist der Qnap wohl nicht betroffen.


    Wie muss ich jetzt vorgehen ?


    Aus dem vorherigen Link finde ich nichtmal die korrekt Recovery-Software für meinen "253Pro 8G"


    Gruß

    Das hier?

    Ransomware Qlocker "Culer"


    Edit:

    Ich würde das Backup NAS auf jeden Fall erstmal isolieren, damit es sich nicht auch was einfängt.

    Und zukünftig natürlich das NAS nicht mehr ins Netz stellen.

    Wie meinst das "nicht mehr ins Netz stellen" ?

    Ich nutze den NAS für meine Arbeit von unterwegs, da sind meine zum Beispiel meine Excel und Word Dokumente drauf. Darauf haben Kollegen auch Fern-Zugriff


    Aber OK, dafür ist das Backup ja da. Was muss ich auf dem 253Pro jetzt machen ?


    Gruß

    Zitat von tiermutter

    Genau das darf nicht sein... sowas nur über VPN machen!

    Ok, damit beschäftige ich mich dann später.


    Erstmal muss ich den 253Pro jetzt "retten" und das Backup wieder einspielen. Aber wie ?

    1. Portfreigaben jetzt schon rausnehmen

    2. HDD des betroffenen Geräts formatieren

    3. NAS neu einrichten

    4. Daten wiederherstellen

    Zitat von dogfight76

    Woher kommt der Scheiß , ich habe nichts installiert und Malware Remover ist installiert und läuft auch !

    Zitat von dogfight76

    Ich nutze den NAS für meine Arbeit von unterwegs, da sind meine zum Beispiel meine Excel und Word Dokumente drauf. Darauf haben Kollegen auch Fern-Zugriff

    Das zweite Zitat beantwortet schon das erste ;).

    Die Malware kommt über das Internet bzw. den Zugriff von außen.

    Malware Remover ist keine Echtzeit AV Scan Software!


    Und bevor die Frage kommt: Sichere und lange Passwörter helfen nicht gegen Exploits, über die Malware zugreifen kann.


    Für Zugriff von außen immer VPN verwenden!


    Gruss

    Ich sehe gerade das auf dem qnap (war mal eine Empfehlung( zur Sicherheit schon SSH/Telnet Zugriff deaktiviert war. Verstehe nicht wie sich die Schadsoftware installieren konnte.


    In der 253Pro laufen 2x HDD mit jeweils 2TB im Raid1 damit also Gesamtspeicher 4TB.

    Wie am besten formatieren und dann wie neu aufsetzen ?


    Da der Malware Remover nicht reagiert: muss irgenwas zusätzlich gemacht werden ?

    Wie bist du vom Internet aus auf dein NAS gekommen, du hast hier doch Dokumente im Zugriff gehabt.


    Da muss es ja einen WebDAV Dienst oder so gegeben haben, dieser ist dann über eine Sicherheitslücke aktiv angegriffen worden.


    z.B.

    Bei der Anmeldung wird User + Kennwort abgefragt.

    Jetzt gibt es einen Programmierfehler, das wenn du als User 256 HEX Zeichen einträgst und beim Kennwort 256 Zeichen mit bestimmten Umlauten, dann wird alles was nach der 32 Stelle des Kennworts kommt direkt ausgeführt.


    Wenn du hier also dann ssh -> xi3.com -> curl crypto.xx laden lässt, dann würde dein NAS sich dort hin verbinden und den Schadcode nachlagen.


    Dieser wird dann mit root Rechten auf deinem NAS aktiv und das Ergebnis kennst du ja bereits.

    Ich bin mir nicht sicher, ob er Malware Remover überhaupt eine Malware erkennt, die nicht das QTS sondern die Daten betrifft!

    Denn MR ist für die Überprüfung des QTS gedacht.


    Um die Daten zu schützen, muss der zugreifende Client über eine sichere Erkennung verfügen.

    Falls der Hacker-Zugriff direkt erfolgt bleiben nur ClamAV oder McAfee die auf dem NAS laufen können, aber beide nicht sehr performant.


    Aber der beste Schutz ist in diesem Fall immer noch der Zugang über VPN, alles andere ist und bleibt riskant!


    Gruss

    Zitat von Crazyhorse

    Wie bist du vom Internet aus auf dein NAS gekommen, du hast hier doch Dokumente im Zugriff gehabt.


    Da muss es ja einen WebDAV Dienst oder so gegeben haben, dieser ist dann über eine Sicherheitslücke aktiv angegriffen worden.

    Zugriff ist über

    http:__//USERXY.myqnapcloud.com:Port/sharexxxxxxxxxxx

    http, noch besser, Kennwort wird im Klartext über das Internet übertragen.


    Clam bring hier gar nix, weil es kein Echtzeitschutz für das QTS und die Dienste mitbringt, die auf dem Volume auf Dateien zugreifen.

    Zitat von dogfight76

    Wie oder stelle ich den https ein für myqnapcloud-Freigaben ?

    bitte gar nicht... das hätte Dir für Dein aktuelles Problem auch nicht geholfen.

    Das ist die zweite Welle von Angriffen seit März... Das bringt Dir nichts außer Ärger ein, ehrlich!


    Edit:

    Lies Dich besser hier kurz ein und setze es nach Deinen Möglichkeiten um:

    Sicherer Fernzugriff auf das NAS und LAN mittels VPN - Ein kleiner Überblick

    Bei https wir dann per TLS verschlüsselt, aber vor dem Befall hätte dich das auch nicht bewahrt.

    Nur dein Kennwort wird hier als verschlüsselt übertragen.


    Das hilft aber wieder nur, so lange der Dienst der angesprochen wird auch gegen Angriffe geschützt ist.


    Und wie sich jetzt das xte mal zeigt, sind NAS Systeme nicht für das sichere anbieten von Webdiensten geeignet. Zumindest nicht, so lange man die eingebauten Funktionen nutzt.

    Mit einem sauber aufgesetztem Server als VM oder in einem Docker ist das aber möglich. Das ist dann aber nicht mit 2 Klicks erledigt und erfordert zudem ständige pflege.

    Ok,


    dann beim nächsten Mal über VPN. Ist das für die anderen Kollegen dann auch so einfach/bequem Daten runterzuladen wie bisher ?


    Und wie jetzt die 2x Platten säubern und neu aufsetzen um anschließend das saubere Backup einzuspielen ?

    Zitat von dogfight76

    Ist das für die anderen Kollegen dann auch so einfach/bequem Daten runterzuladen wie bisher ?

    Es müsste/sollte sich so langsam rumgesprochen haben:


    Einfach und Bequem ist es, wenn man keine Türen im Haus verbaut (= NAS offen).

    Nicht so einfach und bequem ist es, wenn man die Türen zu macht und verschliesst (=NAS z.B. nur für bestimmte Dienste/Ports freigibt).

    Noch weniger einfach und bequem ist es, die Türen mit Sicherheitsschlössern und Zugangskontrolle auszustatten (=NAS Zugriff nur übr VPN).


    Auf die erste Idee käme hierzulande niemand. Warum also wird immer eim Zugriff auf die Daten und das heimische LAN gefordert, es muss alles einfach und bequem sein? ?(


    Sicherheit ist immer konträr zur Bedienerfreundlichkeit.

    Wenn so ein Austausch notwendig ist, nehmt einen Dropbox-, Google-, oder sonst einen Cloudanbieter Account.

    Auch das ist nicht einfacher und unbedingt sicher, aber das LAN/NAS wird nicht direkt kompromittiert.


    Gruss

    So kompliziert ist es aber nicht, wenn einmal eingerichtet.

    Kurz mit dem VPN verbinden (Mausklick + Passworteingabe) und dann ist alles wie vorher, nur in sicher.