Files encrypted in *.ooc100 (Malware, Virus, Hacker)

  • Das PW beinhaltet auch Sonderzeichen und die IP wird gebannt sobald mehr als 5 Mal ein falsches PW benutzt wird. Dachte so bin ich bestimmt sicher

    Das kann so lange und komplex sein wie de willst, ein Exploit geht glatt drumherum .. also raus mit dem NAS aus dem Netz



    Ist z.B. das OneDrive von Microsoft sicherer?

    Da hat Microsoft mit Sicherheit mehr drauf als QNAP .. was meinste ? .. und außerdem, OneDrive steht nicht bei dir im Wohnzimmer (und wird mit Sicherheit gut "gebackupped")

  • elifant

    Scheint so, dass Dein NAS einiges durchmachen musste. Könnte sein, dass das Verschlüsseln der Daten nur der krönende Abschluss war. Vielleicht war den Hackern das NAS dann doch zu schwach für Mining.

    Dass Du keine Lösegeldforderung erhalten hast könnte an der langen Zeitspanne liegen. Normalerweise ist ein Forderung mit einer Zahlung nach einer bestimmten Zeit verbunden. Wenn Du keine korrekte E-Mail eingerichtet hattest konnte die Forderung wohl auch nicht per Mail zugestellt werden. Entschlüsselung per Zahlung - nach knapp 2 Monaten - fällt dann ohnehin aus. Aber ich würde grundsätzlich nie zahlen. Würden sich alle daran halten würde der Spuk in kurzer Zeit wieder aufhören. Wer will schon erpressen wenn es niemals Geld gibt.


    Edit:

    Was die Datenrettung anbelangt. Da kann sehr wahrscheinlich wirklich nur noch ein Decrypting Tool helfen, dass es vielleicht irgendwann gibt oder auch nicht. :(

  • Danke für eure Unterstützung!


    Dann speichere ich die verschlüsselten Fotos auf OneDrive ab und warte bis evtl. so ein Decrypt Tool verfügbar ist. Bisschen Hoffnung hab ich noch :)

  • Und das NAS dann komplett bereinigen.


    - Platten extern formatieren (alle Partitionen löschen)

    - Ohne Platten ein Firmware update fahren

    - Alles wie neu gekauft aufsetzen

  • Hallo zusammen

    Nachfolgende Nachricht wurde an meinen Bruder gesadt. Sorry die Mail ist irgenwie untergegangen :(


    Wie würdet ihr darauf reagieren?


  • Do not try to decrypt your data using third party software, it may cause permanent data loss.

    Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

    Das ist Einschüchterung, damit du keine Versuche unternimmst. Wenn du Dateien kopierst und versuchst, die Kopien zu entschlüsseln, kannst du nichts kaputt machen.


    Ansonsten: Das sind Kriminelle. Wenn du zahlst, kannst du nicht sicher gehen, etwas geliefert zu bekommen, insbesondere nach zwei Monaten.


    Wenn du noch irgendwelche Kopien hast, nimm die und geh gar nicht auf die Erpressung ein.


    Ansonsten, wenn es keine Kopien gibt, kein Backup, dann hast du schon seit jeher Roulette gespielt. Bei einem Hardwaredefekt oder Softwarefehler hätten die Dateien ebenso weg sein können. (Merke: Ein Raid ist kein Backup.)

  • ist halt sehr schmerzhaft solche Erinnerungen auf diese Weise zu verlieren. Das NAS war seit über 5 Jahren in Betrieb, hatte bisher nie Probleme.


    Naja mit dem Gejammer kommen die Fotos nicht zurück. Hab deshalb den Typen heute angeschrieben, bin gespannt ob und wie er antwortet.

  • ist halt sehr schmerzhaft solche Erinnerungen auf diese Weise zu verlieren. Das NAS war seit über 5 Jahren in Betrieb, hatte bisher nie Probleme.


    Naja mit dem Gejammer kommen die Fotos nicht zurück.

    Ist nachvollziehbar, auch wenn es ebenso nachvollziehbar ist wenn jemand jetzt sagt "selbst schuld bei gleich zwei kritischen Fehlern die Du selbst zu verantworten hast".


    Ich finde es erschreckend ernüchternd, einen derartigen Vorfall aus erster Hand von einem Communitymitglied zu erfahren, wahrscheinlich besonders deshalb weil ich bislang nur aus irgendwelchen Nachrichten von solchen Vorfällen gehört habe und mir dem Risiko "nur" bewusst bin, nie aber näher damit konfrontiert war.


    Für dich hoffe ich dass wenigstens ein paar der Erinnerungen auf irgendeinem Wege rückholbar sind oder es doch noch eine ordentliche Möglichkeit gibt die Daten wieder herzustellen.

    Für alle anderen die sich diesem Risiko bewusst oder unbewusst aussetzen hoffe ich, dass es eine Lehre sein wird und die Themen Backup und Sicherheit mehr fokussiert werden als die gemütlichen Funktionen und Hoffnungen die ein NAS versprechen.

  • Für dich hoffe ich dass wenigstens ein paar der Erinnerungen auf irgendeinem Wege rückholbar sind oder es doch noch eine ordentliche Möglichkeit gibt die Daten wieder herzustellen.

    Wie ich schon weiter vorne vorgeschlagen habe: auf JEDEN Fall eine Sicherung der Verschlüsselten Daten behalten ( und auch erstmal herstellen). Es besteht immer die Chance, das es irgendwann ein decrypt tool gibt oder der Schlüssel irgendwo auftaucht. Selbst wenn die Sachen ein paar Jahre im Schrank liegen sollten.

  • Veilleicht ist es eine Modifikation von "LooCipher". Die werden dort zumindest erkannt.

  • Hi,


    Ist der SSH-port noch offen?

    Systemsteuerung -> Netzwerk- und Dateiservices -> Telnet/SSH


    Da Du den Nutzer verborgen hast, wird es Dein oder ein Dir bekannter Nutzer gewesen sein? Dann wäre jemand an Dein Passwort gekommen.

    Das funktioniert per Passwortlisten oder Bruteforce und hätte etliche erfolglose Anmeldungen zur Folge. -> Systemsteuerung -> System -> Sicherheit -> IP-Zugriffsschutz: Ist das aktiviert?

    Damit könnte man nämlich sehen, wenn jemand versucht sich anzumelden. Hatte früher zuweilen tausende solcher Meldungen am Tag. Das Passwort war aber eh dick genug. :)

    Der Zugriff auf das NAS per HTTP sollte unterbunden werden.

    Heute erfolgt der Zugriff von extern nur noch via VPN. Das funktioniert mit dem QNAP auch sehr komfortabel (auch wenn ich eine andere Lösung verwende).


    Soviel zu Sicherheitsmaßnahmen, die Du sofort prüfen solltest.

  • Heute erfolgt der Zugriff von extern nur noch via VPN. Das funktioniert mit dem QNAP auch sehr komfortabel (auch wenn ich eine andere Lösung verwende).

    Ich würde auch eine andere Lösung verwenden.

    VPN auf dem Router, nix Anderes.

  • Wie vermutet, meldete sich der Erpresser bisher nicht :(


    Ich schaffte es zumindest einige Fotos mittels DiskDrill von der HDD zu recovern8). Leider ist auf der HDD mehr als 75% belegt, weshalb ich viele wichtige Fotos nicht wiederherstellen konnte.


    Habe die HDDs ausgebaut und das NAS ist nicht mehr im Betrieb. Stattdessen sichere ich meine Files nur noch auf externe Platten und öffentlichen Clouds. Wo ich auch die verschlüsselten Dateien ablegete, falls sich irgendwann was ergibt :/


    Der Vollständigkeits halber teile ich alle Infos im Forum:


    Beitrag auf Bleeping Computer

    https://www.bleepingcomputer.c…100-ooc101-support-topic/


    Einige encrypted Files:

    https://1drv.ms/u/s!AtaSerXbnyz2hLc0P60FoiMqNn7etw?e=nCWnSI


    Mail vom Erpresser:

  • Danke für die Infos, hoffe dass sie so schnell keinen User finden der sie braucht und eher als Mahnmal fungieren... Dazu wäre sicherlich auch hilfreich zu wissen, wie das zustande gekommen ist, aber ich will nicht mit dem Finger in der Wunde bohren.


    Schön dass wenigstens ein paar Daten gerettet werden konnten.

    Warum NAS außer Betrieb? Keine Verwendung mehr dafür unter den Umständen die es sicher machen? Da gäbe es Möglichkeiten und für Deine Datensicherung ist das doch sicherlich weiterhin eine gute Option...

  • Mir fehlt die Zeit um mich damit zu beschäftigen. Lieber aboniere ich zwei verschiedene Clouddienste und lege meine Dokumente dort hoch. Damit ich von überall Zugriff habe.


    Nochmals so einen Angriff möchte ich nicht riskieren. Ausserdem weiss man ja nie, das NAS könnte auch durch Wasser, Feuer oder sonst was beschädigt werden, dann sind die Daten auch hinüber.


    Sobald einem sowas passiert, überlegt man sich mehrmals was Sinn macht und die Kosten sind zweitrangig.