Backup auf ext. Platte trotz QSnatch maleware?

    Hallo

    wir haben leider die QSnatch Malware auf unserem TS-219P eingefangen und werden das Ding nicht mehr los. Offensichtlich bleibt nun die einzige Lösung, das zurückstellen auf die Werkeinstellungen.
    Wenn ich nun ein komplettes Backup auf ein externes Laufwerk mache, kopiere ich dann
    A: die Malware auch mit rüber und würde so auch die externe Platte verseuchen und
    B: würde somit beim wieder zurückladen, das NAS gleich wieder erneut infizieren?


    Herzlichen Dank für eure Hilfe


    P.S.

    Gegen die Malware habe ich folgendes versucht:


    Malware remover installiert und das NAS mehrer male ge-scannt: nix gefunden

    Security Counselor ist mir nicht gelungen zu installieren da ich die App im APP Center beim besten Willen nicht finden konnte! Möglicherweise wird mein Modell TS-219P nicht unterstütze, jedenfalls wird es im Dropdown beim Versuch es manuell zu installieren nicht aufgeführt

    Security Counselor ist für diese alten Modelle nicht verfügbar.

    Auch schon das cleanme.sh Script laufen lassen?

    Wenn MR nichts findet, woher wisst Ihr dann, das QSnatch bei Euch noch vorhanden ist!?


    Achtung: beim Backup und Restore der Konfigurationsdaten werden wohl auch die crontab samt Scripte mitgesichert und zurückgespielt.

    Also erst die crontab durchforsten und aufräumen.

    Laut US Forum versteckt sich die Malware nicht mehr nur in merkwürdigen Scriptnamen wie fO682rZFsdghj.sh sondern auch unter qpkg_util (zumindest im einem Fall).


    Gruss

    Hallo, wir wissen dass das Ding noch da ist weil unser Internetprovide ständig eine Internet Sicherheitssperre macht. Wir müssen dann anrufen und sie entsperren es dann wieder bis es (oft gleichwieder) sperrt. Unser Provider (Swisscom) hat uns gesagt dass es sich um diese Malware handelt. (Ich hatte dies aber auch bereits selber rausgefunden.) Sie würden seit letzten Samstag regelrecht überflutet mit diesem Problem.


    Wie gehe ich am besten vor um die von Dir genannten Schritte (crontab samt Scripte und qpkg_util zu durchforsten?) und cleanme.sh Script laufen lassen umzusetzten?


    Herzlichen Dank!

    Einmal editiert, zuletzt von Niki_1001 ()

    Man muss sich per SSH auf die CLI des NAS verbinden und die crontab samt Scripte manuell durchsuchen, ob was ungewöhnliches drin steht.

    Die allererste Maßnahme muss aber sein, das NAS sofort aus dem Internet nehmen! Es darf kein Zugriff von außen mehr erfolgen, wenn erforderlih, dann nur über VPN!


    Die meisten Infos findet man hier oder hier.


    Gruss

    Zitat von Niki_1001

    A: die Malware auch mit rüber und würde so auch die externe Platte verseuchen und
    B: würde somit beim wieder zurückladen, das NAS gleich wieder erneut infizieren?

    Wahrscheinlich wird dir diese Fragen zu diesem Zeitpunkt noch niemand mit Sicherheit beantworten können. Vor allem, weil QSnatch so angelegt ist, dass es weitere Programmanteile nachladen kann. Die Dateien zu verseuchen oder zu verschlüsseln würde ich als mögliches (zukünftiges) Risiko betrachten. Falls du aber überhaupt kein Backup hast, wäre ein verseuchtes immer noch besser als keines. Um QSnatch die Möglichkeit zu nehmen mit der Außenwelt zu kommunizieren, solltest du im Router dem NAS den Zugang zum Internet verbieten. Das wäre das Erste was ich machen würde! Ggf. zeitgleich das Gerät in ein isoliertes Netzwerk stellen, dass keine Infektionen auf andere Geräte möglich wird.

    Warum nicht die Platte/n einfach aus dem Nas ausbauen und per USB Adapter einfach die gewünschten Daten sichern? Und danach das Nas komplett neu aufsetzen.