Malware!! Alle Dateien verschlüsselt

    Moin!


    Da ich betroffen bin/war versuche ich mich an einem kurzen HowTo für alle Faulen. Freue mich aber, wenn Ihr Profis Eure dazu Meinung abgebt, ich bin eher

    in der NoobSzene unterwegs und habe nur Infos zusammen getragen.


    Das Entschlüsseln hat geklappt, ich habe mich aber aus Sicherheitsgründen dazu entschieden alles platt zu machen und eine Sicherung einzuspielen, so wie es

    dr_mike hier beschrieben hat:

    muhstik decryption keys

    Das DOM Recovery habe ich mir nach reiflicher Überlegung gespart.

    War also mehr aus Interesse (ja ich weiss, ich habe noch ein unsicheres Programm ausgeführt), schien aber alles entschlüsselt zu haben.


    Zuerst bin ich via Konsole (Putty etc) aus das Nas und habe es mit dem Tool von Qnap bereinigt:

    curl https://download.qnap.com/Storage/tsd/utility/cleanme.sh | sh

    Da wurde der Virus gefunden und angeblich entfernt.

    Dann habe ich hier muhstik decryption keys

    die Datei decryt geladen, aufs Nas unter /Public kopiert und aus der Liste anhand der ID aus der .txt des Virus meinen Decrypt Key rausgesucht.

    Danach wie von @Hariboo83 beschrieben die Datei auf dem NAS ausgeführt und über Nacht arbeiten lassen:

    Maleware!! Alle Dateien verschlüsselt

    Danach waren alle Daten wieder da.


    Grüße,

    Jo

    Zitat von ch.kusserow

    Ich habe mittlerweile ein paar Ordner entdeckt die korrekt entschlüsselt wurden. Diese Dateien kann ich öffnen. Aber die Vielzahl kann ich nicht öffnen.


    Da hättest du zu den vielen Zitaten von mir, auch gleich das letzte dazu geben können, dann würde sich die Frage erübrigen:

    Zitat von RedDiabolo

    Die Endschlüsselung hat dich verarsch. und noch mehr verschlüsselt? Und dafür noch mehr am NAS angestellt?


    Oder wie es Crazyhorse so schön formuliert hat, die Software ist wohl nicht fehlerfrei und die Daten sind jetzt mit Sicherheit futsch ...

    So, dann mal Rückmeldung. Ich bin nach Beitrag #27 vorgegangen. Externen Zugriff beseitigt, Cleaner drauf, Sicherung gemacht, decrypt läuft (noch) , stichprobenartig geprüft, Dateien die vorher verschlüsselt waren, lassen sich wieder öffnen und die Extension Muhstik ist nicht mehr vorhanden. Jetzt gehe ich in den Urlaub, die NAS kann den ganzen Urlaub decrypten (Ist nicht aus dem Internet erreichbar). Danach muss dann eine neue Verbindung erfolgen, externen Zugang via VPN, oder über ReverseProxy im Raspi (NAS selber nicht sinnvoll ?). Natürlich dann auch in Zukunft eine Sicherung, da habe ich aber noch keine Lösung. Am liebsten etwas mit Generationen.


    Danke für Eure Hilfe

    Hallo, ich nochmal. Ich habe das Putty Fenster Zeit geöffnet gelassen, natürlich gab es da lamge keine Rüvkmeldung, ich konnte keine wesentliche CPU Belastung sehen. am Ende erscheint ein "done" im Putty Fenster. Wer also erfahren möchte ob das decrypten durch ist, sollte das Fenster offen lassen, bis die Meldung kommt.


    Ich habe alles im Zugriff, jetzt fahre ich runter und zum Flieger.

    Wobei diese Welle keine unbekannten Lücken ausnutzt. Firmware bzw. App-Update die diese Lücken schließen gibt es seit 2019.

    Die wichtigste Aussage und Maßnahme:

    Zitat von BleedingComputer

    To add to QNAP's advisory, do not connect your NAS device to the Internet unless you have to.

    Wurde hier im Forum, glaube ich, auch schon 1 oder 2 mal erwähnt.


    Ansonsten Backups, Backups und nochmals Backups. Verschiedene Stände, verschiedene Medien, offline und offsite. Die Einstellungen nicht vergessen. ;)


    Auf der anderen Seite denke ich, wer ein NAS offen im Internet betreibt, mit Passwörtern nach dem Schema "1234", keine aktuellen Updates installiert und keinerlei Backups hat, der legt auf seine Daten auch keinen Wert. Da kann der Verlust ja nicht so schlimm sein. :evil:

    Hallo zusammen,

    ich bin neu hier und seit gestern Abend betroffen. Habe den TS-212.

    Gibt es Neuigkeiten dazu wie man vorgehen kann?

    Ich habe eine Datensicherung, aber leider schon ein Jahr alt...

    Können die PC im Netzwerk nicht befallen werden?


    Grüsse und danke für eure Unterstützung!

    Leider zu spät, neue Versionen können nicht mehr so entschlüsselt werden...


    Also NAS neu aufsetzen und mit nem 1 Jahre alten Backup leben ..schade schade


    Wieder einer der lernt das ein NAS nicht ins WAN Gehört

    Nicht zu Unrecht knallharte Worte.


    Ich bin da nicht so im Thema, aber wie ist es mit HDD beiseite legen und darauf hoffen, dass man die Daten möglichst bald entschlüsseln kann?

    ... Und bis dahin das NAS mit neuen Platten aufsetzen und vorher die Firewall dicht zu machen, damit das NAS niemals wieder diesen Gefahren ausgesetzt ist... und zusätzlich stets aktuelle Backups angelegt werden...

    Habe mich vorher nicht genügend informiert.

    bevor ich den Q-Nap abgeschaltet habe ist die Malware immer noch am verschlüsseln gewesen. das heisst, es sind noch nicht alle Dateien verschüsselt. kann man dies bei wieder einschalten aufhalten?

    Sind da bereits beide Festplatten betroffen?

    Diese alten CAT1 NAS kann man ohne Probleme in Linux auslesen. Ob das Programm parallel oder sequenziell verschlüsselt (und wie deine Plattenkonfiguration überhaupt ist) weiß ich nicht.


    Also raus mit den Platten und in einem Linux System (kann auch ne Liveboot sein) auslesen


    Und wie tiermutter sagt kann man ja die Platten beiseite legen und hoffen das es entweder bald nen Exploit gibt (schlecht programmiert/ C&2 Server gekapert/ etc) oder das irgendwann in (ferner) Zukunft Brutforce Attacken auf den Algorithmus klappen

    Keine Ahnung wie sie auf den NAS gekommen sind. Nun hat ein Experte eine Festplatte herausgenommen und gesichert. Zum guten Glück habe ich den Server rechtzeitig heruntergefahren, es sind noch nicht alle Dateien Verschlüsselt. Das heisst, die Bilder vom 2020 sind alle noch intakt. Die verschlüsselten Dateien sind nicht so wichtig und zum Teil auf dem Backup.

    Uff, Glück gehabt.

    Etwas dabei gelernt. Backup, Backup, Backup!

    Hallo miteinander. Ich häng mich hier auch mal dran, um keinen neuen Thread zu eröffnen. Seite heute hab ich auch mir auch nen Encrypter eingefangen. Backup's sind vorhanden (leider 2 Wochen alt). Nun will ich die Schadsoftware aber loswerden. Da ich davon ausgehe, dass nicht nur die 2 Festplatten zu formatieren sind, sondern auch ein Firmware-Recovery notwendig ist, bin ich gerade dabei, dieses Prozedere abzuarbeiten:


    https://wiki.qnap.com/wiki/Fir…R2.2C_TES-x85U_series_NAS


    Nun scheitert es aber schon daran, dass ich keine passende Image-Datei finde. Entspricht das TS 253 Pro nun einem TS 253A, TS-253B, TS-253Be, TS-253D? Ich danke für jeden Hinweis.


    Oder passt das Image von TS-x53 Series?


    Gruss


    Stephan

    2 Mal editiert, zuletzt von goofino ()