Lösung gesucht - Image erzeugen von muhstik-verseuchte Platte

    Hallo Leute, unsere Platten sind zum Teil zerstört... "muhstik" ebenso haben wir nach langem Diskutieren der Kripo eine Summe gezahlt. Das NAS ist nun ausgeschaltet und Stecker raus. Wir haben wie gesagt das LKA eingeschaltet, die gerne eine Imagedatei vom System haben möchte. Kann ich nun die Platten rausziehen, die im Raid stecken... oder kann man das ganze im reinen Festplattenmodus starten um auf das Raid von aussen zuzugreifen? Das alles deshalb, weil wir den Virus nicht weiter arbeiten lassen möchte. Um eben die noch nichtbefallen Daten runter zuziehen ohne Spuren zu verwischen. Das LKA braucht es um Beweise zu finden und Herkunft von Muhstik.


    Bitte keine belehrende Antworten, sondern reine Step bei Step Anweisungen, per SSH oder andere Möglichkeiten...


    Dafür schon mal vielen lieben Dank :love:

    Normalerweise machen die selber das image. Die Platten müssen dazu ausgebaut werden und werden danach einzeln mittels Hardwareschreibschutz gesichert, um Veränderungen am Original auszuschließen. Als freie Software kann ich den imager von accessdata empfehlen ftkimager.

    Du braucht erstmal eine gute Clonesoftware!


    Z.B. CloneZilla für den PC (gibts für Win und Linux, bzw. bootet es ohnehin in einem Linux hoch) ist mein absoluter Favorit. Suche danach in deiner Suchmaschine, lade es dir runter und erstelle einen USB-Stick zum booten für den PC. (Anleitung dazu gibt es auch auf der Herstellerseite, wo du ClonZilla runterladen kannst)


    Dann brauchst du natürlich eine "Docking" Möglichkeit für die Disk, entweder SATA auf USB, oder gleich einen Einbau-Wechselrahmen für SATA, falls man öfter mit SATA-Disk hantieren muss ;)


    Wenn das alles vorhanden ist.

    1. Platte aus dem NAS raus (Reihenfolge merken!)
    2. PC mit CloneZilla-USB-Bootstick booten (bootet in einem eigenem Linux hoch)
    3. Platte auf eine mind. gleich große (!) Disk, Sektor für Sektor (!) clonen, nichts reparieren lassen!
    4. Aufpassen, dass als Ziel nicht die Systemdisk vom PC ausgewählt wird, lässt sich am besten an der Größe und Type-Bezeichnung erkennen (im Zweifelsfall einfach nochmals ohne die externen Disk starten und merken, welche Disk bereits im PC drinnen sind!)
    5. So weiter mit der(den) nächsten Platten ...
    6. Alles raus, PC wieder normal hochfahren und die Platten zurück in das NAS (Reihenfolge beachten, wobei aus meiner Sicht ein Neuaufsetzen ohnehin notwendig werden wird, aber das willst du hier nicht lesen)
    7. Geclonte Platten zum LKA, in den Schrank, oder wohin auch immer ...

    OK super, das hört sich schon mal gut an. da wir sehr viele TB haben, interessiert das LKA nur das B-System. Dazu kure Frage, ist die Systempartition zu erkennen?

    Vom QTS?

    Das legt, wenn ich mich nicht täusche, 5 Partitionen an. Die größte davon sind dann deine Daten, bzw. das Volumen, das du angelegt hast.


    Hmm, wenn das LKA nur das QTS haben will, wie können sie dann die verschlüsselten Daten analysieren, die liegen ja auf einer anderen Partition? Das QTS wird sicher nicht verschlüsselt, da dadurch die NAS nicht mehr hochfahren würde und du nicht siehst wohin du die Kröten überweisen solltest ;)


    Der Trojaner selbst wird vermutlich im DOM sitzen, das ist der Flash-Speicher auf dem MB, denn kannst du nicht clonen und dem LKA übergeben.

    Nach dem Neuaufsetzen (oder entsperren) wird er etwas warten und dann nochmals mit dem Verschlüsseln beginnen. Schließlich zahlt sich das bei dir aus, nachdem du bereit bist dafür zu zahlen.


    Auch wenn du das jetzt nicht hören willst, es sind genau die User wie du, die diese Art von Trojaner erst interessant machen!

    Würde keiner bezahlen, gäbe es diese Schadsoftware auch nicht! So gesehen hast du bereits die Entwicklung der nächsten Generation finanziert und du stehst sicher ganz oben auf der Liste der künftigen Testkandidaten. :rolleyes:

    DAs LKA wird schon wissen was es macht - daher lieben Dank für Deinen Tipps - alles andere sind unerlaubte Anschuldigungen, die ebenso Strafbar sind.

    Zitat von migger

    ebenso haben wir nach langem Diskutieren der Kripo eine Summe gezahlt.


    Zitat von migger

    alles andere sind unerlaubte Anschuldigungen, die ebenso Strafbar sind.


    Ach, ich zähle nur eins und eins zusammen … aber kein Problem, du weist nun was zu tun ist und ich klinke mich da wieder aus.

    Diskutiere hier jetzt sicher nicht über "meine" strafbaren Handlungen ...

    Mich wundert schon sehr dass du die Images anfertigen sollst, oder war das dein Wunsch? Normal wird das von denen gemacht, da bei sowas immer ein Hardware Schreibschutz verwendet werden sollte. Sollte bei der Image Erstellung durch dich bei einer Platte was schief gehen und es handelt sich um ein RAID 5 können sie mit deinen gelieferten Daten rein gar nix anfangen.

    Hi, mich würde nur mal interessieren was die verlangt haben. Den ich habe das gleiche Problem. Nur bei mir wollen sie schlappe 2900 Bitcoins. Da ein bitcoin zurzeit bei ca. 8000€ brauche ich ja nicht schreiben über was für eine summe wir hier reden. Das mit der Anzeige habe ich mir auch schon überlegt. Die hatte mir ein Kumpel von der Polizei geraden. Doch kann ich mir sehr schlecht vorstellen das die zu einem Ergebnis kommen.

    Das Ergebnis einer Anzeige kann ich dir sagen. Dir bringt es deine Daten nicht wieder und die Typen die dahinter stecken werden zu 99,9 Prozent nicht ermittelt, da der Fall bei der Staatsanwaltschaft eingestellt wird.

    Zitat von migger

    Wir haben wie gesagt das LKA eingeschaltet, die gerne eine Imagedatei vom System haben möchte.


    Ich habe eine Dockinstation von Inatek womit man ganze Platten klonen kann. Vielleicht hilft dir das.


    Zitat von cbronson

    Das Ergebnis einer Anzeige kann ich dir sagen.


    Da magst du recht haben. Aber falls sie doch mal geschnappt werden können sie vielleicht mit den Fällen in Verbindung gebracht werden.


    Zitat von RedDiabolo

    Auch wenn du das jetzt nicht hören willst,


    Da gebe ich dir recht, bezahlen würde ich persönlich auch nicht.

    Aber, wenn für jemanden die Daten sehr sehr wichtig sind und er keine andere Möglichkeit hat sie wieder zubekommen ...

    Wobei das erst bewiesen werden muß, das man nach Zahlung tatsächlich einen Entschlüsselungskey erhält.

    Die Chance dazu halte ich für eher gering.


    Gruss

    Es waren 0.09 BTC... Das LKA sagt, dass nach deren Erfahrungen Chancen gibt ... Aber bis jetzt glauben wir, dass es keine Chance hat. Die Daten sind mehr Wert. Es sind aber auch nicht meine.

    Andere Frage: Sind QNAP-Platten NTFS formatiert?

    Einmal editiert, zuletzt von migger ()

    Wie viele Platten hat denn das nas. Was für ein raid? Warum sollten die Platten in ein anderes nas?

    Einmal editiert, zuletzt von cbronson ()

    Du wolltest doch ein Image erstellen. Wenn man die in ein anderes NAS steckt wird unter Garantie der Datenbestand auf der Platte geändert.

    Raid 0? Wird ja immer besser. Auch hier gilt wenn ein Image nicht korrekt ist bringt es denn Jungs vom lka nix. Wenn die Images ok sind werden sie softwaremäßig wieder zu dem Verbund zusammen gesetzt und die Daten können ausgewertet werden.

    Ich klemme in der Regel die beiden Platten an einen PC, schmeiße eine Knoppix-Boot-CD rein und mache per Kommandozeilenbefehl "dd" die Kopie oder das Image, je nach dem.

    Zitat von migger

    DAs LKA wird schon wissen was es macht

    Würde mich nicht wundern, wenn die Kollegen spätestens beim proprietären LVM2 Segment-Type "tier-thin-pool" auch hier im Forum reinschauen. ;( Und Jagi, vielleicht erinnerst Du Dich, es ist kein echtes ext4, sondern es hat QNAP-eigene Formatänderungen. Aber durchaus lesbar, nachdem man Repariertools drübergejagt hat. Das hatten wir letztes Jahrauseinandergepflückt.