Files encrypted in *.ooc100 (Malware, Virus, Hacker)

  • Hallo

    Im Juli 2020 wurden sämtliche Dateien (alle Fotos!!!) auf meiner Filestation in *.ooc100 und *.ooc100 verschlüsselt. Da ich die letzten Wochen sehr beschäftigt war (Baby), konnte ich mich darum nicht kümmern.

    Ich vermute ein Hacker Angriff oder Virus. Siehe die Logs vom 07.07.2020. Ich hab kein phpMyAdmin installiert, weiss nicht einmal was das ist!?

    Leider erstellte ich kein Backup. Besteht die Möglichkeit wieder an die Fotos zu kommen?

    Danke für eure Antworten.

    2020-08-30_QNAP_encrypted_Files.PNG

  • elifant

    Hat den Titel des Themas von „Files encrypted in *.ooc101 (Malware, Virus, Hacker)“ zu „Files encrypted in *.ooc100 (Malware, Virus, Hacker)“ geändert.
  • Hallo und willkommen im Forum.


    Zu den verschlüsselten Dateien finde ich auf die Schnelle nichts verwertbares.

    Wie ist den die NAS von Extern zu erreichen, bzw. wie greifst Du von extern zu?

    DynDNS, MyQNAPcloud, Portweiterleitung?

    Die Chancen stehen leider ohne Backup nicht gut für einen kompletten Restore.

    Eventuell parallel auch ein Ticket bei QNAP aufmachen.

  • Sind die Dateien sicher verschlüsselt?

    OOC steht auch für "out of camera", das sind von der Kamera erzeugte RAW Dateien.

    Allerdings sind auch NAS über die myqnapcloud schon öfter gekapert worden.


    Gruss

  • Danke für die Antworten.

    Das NAS ist via MyqnapCloud erreichbar. Sind auch alle Videos, Dokumente (Docx, PDF) usw. betroffen. Haben alle die Endung ooc100 oder ooc101 und die Dateien sind versteckt. Hab ein Ticket bei QNAP eröffnet, hoffentlich finden die was.

  • Ist MyqnapCloud die einzige Zugangsmöglichkeit?

    Evtl. wäre VPN für Dich besser.

    Ich weiß, hilft Dir jetzt nicht weiter aber Du solltest Dir ein tragfähiges Backupkonzept überlegen.

    Und zwar bevor Du die NAS komplett reseten musst und wieder neu befüllst.

  • MyqnapCloud ist ständig aktiv und manchmal aktivierte ich FTP bei grossen File transfer.


    Was haben die Logs vom 7-7-2020 zu bedeuten? An diesem Datum wurden alle Files bearbeitet.


    Wenn es ein Angriff war, was war das Motiv?

  • Snapshots machst du auch nicht von den Daten oder? Sonst könntest du bei älteren Versionen schauen, ob du diese wiederherstellen könntest?

    Und dann ist die Frage, ob du eben an dem Tag um 03:07 dort online warst oder ob das jemand anderes war. Zum einen wurde dort angegeben, dass Benachrichtigungen an eine bestimmte Mailadresse geschickt werden sollen und zum anderen wurde dort ja auch der SQL-Server installiert. Wenn du das nicht warst, könnte dort eine Datenbank eingerichtet worden sein, wo die Daten evtl. verschlüsselt wurden. Die Frage kannst du aber auch nur selbst beantworten, ob du aktiv dort etwas vorgenommen hast denn nichtmal eine Stunde später wurden die Daten halt bearbeitet.


    Eine Frage nach Motiven kann dir nur jemand erklären, der im Falle eines Virus diesen steuert. Das kann alles sein, von Erpressung bishin zu einfach mal schauen, ob die Programmierung funktioniert, so wie der das will aus Spaß.

    2 Mal editiert, zuletzt von janste ()

  • Wenn es ein Angriff war, was war das Motiv?

    Na ja, was schon...

    Hast Du evtl. eine Datei übersehen? Ist meist eine .txt mit der Aufforderung xxx Bitcoin nach yyy zu transferieren, um dann ein PW für die Entschlüsselung zu erhalten.

    Ob es das PW gibt und ob es Dateien wieder entschlüsselt ist ein ganz anderes Thema. Da hilft dann entweder nur ein gutes Backup und/oder blindes Gottvertrauen.

    Auf alle Fälle musst Du den Zugang über myqnapcloud deaktivieren.

    Meine Vorgehensweise wäre sowieso das NAS komplett neu aufzusetzen, d.h. die Platten am PC anschließen und alle Partitionen entfernen.

    Wer weiß denn, was die Malware noch alles installiert hat?

    Ohne Backup ist das natürlich sehr schmerzvoll, vor allem, wenn man die Fotos von Jahren verliert.

    Das einzig Gute daran -das ist nicht sarkastisch gemeint- ist, das man daraus gelernt hat, das NAS eben nicht über das Internet ohne weiteres erreichbar zu machen.


    Gruss

  • Was haben die Logs vom 7-7-2020 zu bedeuten? An diesem Datum wurden alle Files bearbeitet.

    Kannst Du in den Verbindungslogs ein Login zu dieser Zeit feststellen? Evtl auch Fehlversuche? Ist Dein Passwort sicher und bereits vorsorglich geändert?

    Zumindest wurde eine Benachrichtigungsmail konfiguriert, hier würde ich schonmal schauen was da gemacht wurde. Screenshots um den Inhalt für spätere Zwecke zu sichern und rausschmeissen was nicht zu Dir gehört. Weshalb der SQL Server gestartet wurde vermag ich nicht zu sagen, vermutlich wurde der für die Zwecke benötigt.

    Wenn es ein Angriff war, was war das Motiv?

    Dein NAS steht offen im Netz... Das Motiv reicht von "ich habe Spaß daran" bis "ich will Dich erpressen"...

  • Leider kein Snapshot, ich dachte wenn die ganzen Files auf zwei HDDs gespiegelt werden, reicht dies doch. Dies war der Grund wieso wir uns fürs NAS entschieden.

    Auch der externe Zugriff sollte vorhanden sein, damit die Famiie auf die Fotos zugreifen kann. Sonst macht es für uns wenig Sinn.

    Ausserdem steht das Gerät nicht bei mir zu Hause, sondern bei meinen Bruder. Er ist momentan im Ausland, sobald er wieder da ist, hole ich das NAS zu mir.


    Das Passwort ist alphanumerisch und bestimmt sicher. Zum Teil sind in den Logs Anmledeverusche mittels admin User, den Admin Account deaktivierte ich sowieso.

    Einen SQL Server installierte ich nicht, kommt mir auch sehr merkwürdig vor. Die Verbindungslogs vom 7-7-2020 sind sehr merkwürdig, ich meldete mich damals nicht an, die IP scheint mir ebenfalls unbekannt zu sein.


    Ein .txt mit Aufforderungen ist ebenfalls nicht abgelegt.


    Sind Fotos von den letzten 15 Jahren, seit wir die Digicam benützen. Ich dachte ein NAS bietet genügend Schutz und Backup, leider habe ich es zu spät "gelernt"

    Mein eröffnetes Ticket bei QNAP wurde bisher nicht beantwortet, ist meine letzte Hoffnung :(



    Danke euch allen für die sehr ausführlichen Erklärungen!

    Freue mich auf weitere Ratschläge, falls dennoch was zu machen ist :)

  • Auch wenn das jetzt erstmal wenig hilft: lösch die kaputten Dateien nicht sondern sieh zu, dass Du zumindest temporär diesen Zustand sicherst. Es wäre ja immerhin denkbar, dass es zu einem späteren Zeitpunkt ein decrypt Tool gibt. Wobei auch ich zu der Endung bisher nichts im Netz gefunden habe, was ein wenig merkwürdig ist. Denn typischerweise wird ein Erpressungstrojaner ja irgendwie mitteilen, wohin man sein Geld schicken soll damit man wieder an seine Dateien rankommt.


    Edit: was passiert eigentlich, wenn man die Dateien in .jpg umbenennt ? Ist wirklich sicher, dass die verschlüsselt sind ?

  • Wenn ein Exploit in einer der Apps oder im QTS als Einfallstor benutzt wurde, dann ist das Admin Passwort relativ uninteressant.

    Als einzig sicherer Weg muss das oben gesagte angesehen werden:

    Eine gute Firewall mit VPN. Alles andere ist ein höheres Risiko!

    Das bedeutet zwar auch mehr Aufwand für alle Clients, ist aber die sicherste Variante.


    Gruss

  • Edit: was passiert eigentlich, wenn man die Dateien in .jpg umbenennt ? Ist wirklich sicher, dass die verschlüsselt sind ?

    umbennen in .jpg war ohne Erfolg.


    Was mir noch einfällt, wieso die Dateien so komische Namen haben?


    Bevor ich den phpmyAdmin löschte war da noch ein Prozess xmrig, welcher den CPU massiv auslastete. Vom SMPT hab ich auch ein Screenshot

    2020-07-07_Qnap_Processes.PNG2020-07-07_Qnap_SMTP.PNG

  • nix, das ist ein Cryptominer


    hat nix mit Ransomware zu tun ... du bist Opfer eines breiten Angriffs geworden , Ransomware(?), Infektion mit Cyptominer, und möglicherweise noch mehr Sachen.

  • Das Wesentliche wurede zwar bereits geschrieben, aber ich will auf eine von offenbar ziemlich vielen irrigen Annahmen eingehen:

    Das Passwort ist alphanumerisch und bestimmt sicher.

    Aus welchen genauen Grund hälst du das Passwort denn für sicher? Doch hoffentlich nicht nur, weil es alphanumerisch ist? Denn das besagt im engeren Sinn eigentlich nur, dass es Buchstaben und Ziffern sind/enthält. "abc123" oder "Passwort1" wären zwar beispielsweise alphanumerisch, für online erreichbare Systeme, die keine Sperren für/nach Fehlersuche(n) vorsehen, sind aber binnen Sekundenbruchteilen geknackt. Der Sport dabei wäre eher, wie oft das pro Tag geknackt wird von verschiedenen Leuten ....


    "Das Passwort ist bestimmt sicher" klingt eher nach einem Gebet oder Mantra ... ;)

  • Das PW beinhaltet auch Sonderzeichen und die IP wird gebannt sobald mehr als 5 Mal ein falsches PW benutzt wird. Dachte so bin ich bestimmt sicher :(


    Ist z.B. das OneDrive von Microsoft sicherer?