Ransomware Qlocker "Culer"

Das Geile ist ja das diese inoffizielle Seite vom Englischen Forum "Kaputtzensiert" wird (URL wird verändert) warum und wieso hat QNAP nie erläutert .. aber der QNAP Support gibt jetzt Links zu dieser Seite raus .. herrlich .. Da weiss die eine Hand nicht was die Andere macht

Der Link beschreibt wie man versuchen kann die Daten mittels Photrec auszulesen funktioniert aber nur wenn:

- Weniger als 50% des Volumenspeichers verschlüsselt wurden (sonst überschreibt der Vorgang ja vorher verwendeten Speicher)

- Das NAS noch nicht lange nach Verschlüsselung in Benutzung war

- Man mit kryptischen Dateinamen leben kann (die werden nicht wiederhergestellt)

- Man genug externen Speicher zur Verfügung hat (da Daten aufs NAS wiederherstellen ja alte Daten überschreibt)

Jede Menge "wenn und aber" .. also Verzweiflung pur.

Hallo,

ich nochmal. Es kam heute diese Nachricht vom Qnap-Support:

Mod: Nicht deklariertes Zitat ... korrigiert! Forenregeln und Die Zitat Funktion des Forums richtig nutzen

Zitat von QNAP Support

Sie können die verschlüsselten Dateien wegsichern, dann die Dateien auf dem produktiven System löschen - und mit photorec wiederherstellen, unverschlüsselt.
Eine wichtige Vorraussetzung wäre hier, dass nicht zu viele Schreibvorgänge stattgefunden haben, seit der Verschlüsselung.

Mit besten Grüßen
C.A. Sxxxx

Kurz meine gegenwärtige Situation:

1. Mein Qnap TS-253Pro wiederhergestellt und läuft wieder.

2.Die betroffenen verschlüsselten Dateien habe ich auf einer anderen Festplatte gesichert

Ist das soweit in Ordnung vom Ablauf her ?

Jetzt kann ich mit dem Windows-Programm "photorec" die verschlüsselten Daten (die gesicherten auf der anderen HDD) wiederherstellen ohne das ich das Passwort besitze ?

Gibt es eine anfänger-freundliche Anleitung dafür ?

Die Dateien keinesfalls auf das NAS wiederherstellen da dadurch ja Bereiche überschrieben werden.

Vom NAS auf einen externen Datentraeger!

Verstehe ich nicht. Das passt doch nicht zu meiner beschriebenen Situation, oder ?

Zitat von dogfight76

Kurz meine gegenwärtige Situation:

1. Mein Qnap TS-253Pro wiederhergestellt und läuft wieder.

2.Die betroffenen verschlüsselten Dateien habe ich auf einer anderen Festplatte gesichert

Ist das soweit in Ordnung vom Ablauf her ?

Jetzt kann ich mit dem Windows-Programm "photorec" die verschlüsselten Daten (die gesicherten auf der anderen HDD) wiederherstellen ohne das ich das Passwort besitze ?

Gibt es eine anfänger-freundliche Anleitung dafür ?

Alles anzeigen

Photorec macht nix mit den verschlüsselten Datei sondern mit den gelöschten Dateien auf dem original Datentraeger, wenn das mit den alten Platten neu aufgesetzt worden ist, dann ist Photorec sinnlos

Ich finde die Aussage von QNAP spannend!

Nochmals in Kürze:

1. Verschlüsselte Daten sichern (nach extern)

2. Verschlüsselte Daten löschen

3. Daten mit Photorec wiederherstellen

Ergebnis: unverschlüsselte Daten!??? So einfach sollte es sein?

Gruss

Ich tippe eher auf missverständnis Kunde <-> Support.

Das denke ich eigentlich auch.

Sonst wäre das sinnfrei programmiert.

Gruss

P.S. Es sei denn, der Virus stammt von einem ehemaligen Q?S oder H?S Programmierer, das würde den Bug dann erklären.

Aber in Bezug auf den QLocker kann das doch nicht missverständlich sein ? Oder ?

Meine Nachricht finde ich jetzt recht deutlich formuliert. Hier die Nachricht an den Support nachdem schonmal die App "photorec" empfohlen wurde:

Mod: Nicht deklariertes Zitat ... korrigiert! Forenregeln und Die Zitat Funktion des Forums richtig nutzen

Zitat von meiner Nachricht an den Support

Hallo,

verstehe das nicht ganz. Es geht hier doch um die "Qlocker Ransomware Attacks"

Es geht doch nicht um gelöschte Daten, sondern um die Verschlüsselungs-Malware. Ich habe alle Fotos vom QNAP nach der Attacke gesichert, sie sind aber halt alle mit 7z gepackt worden und mit Passwort geschützt. Und der Angreifer will doch jetzt BTC haben damit er das Passwort rausgibt.

Die Anleitung aus ihrem Link zeigt doch "nur" wie man gelöschte Daten wiederherstellt, oder ?

Meine Daten sehen aus wie auf dem Screenshot im Anhang:

Hallo zusammen,

bin als Neuling gerade über den Thread hier gestoßen, und bin erstmal (instinktiv?) erschrocken. Nur um sicher zu gehen, dass ich alles richtig verstanden habe: man ist vonder Ransomware potentiell bedroht, wenn man a) HBS3 installiert und am laufen hat, und b) die NAS direkt im Internet hängt (anstatt sie hinter dem Router zu "verstecken") - korrekt?

Jein. Das NAS ist i.d.R. immer hinter einem Router!

Aber wenn man solche Dinge wie UPNP, Portweiterleitungen (vor allem diese auch automatisch erstellen läßt), myqnapcloud und verschiedene Apps wie Photostation nutzt, dann steigt das Risiko exponentiell!

Wenn Zugang von außen benötigt wird, dann ist VPN das Mittel der Wahl - sonst nichts!

Wenn Dich dieser Thread erschreckt, solltest Du nicht weitersuchen . Du wirst zuviel finden, Stichworte: Qsnatch, derek-be-gone, ...

Gruss

Zitat von FSC830

Ich finde die Aussage von QNAP spannend!

Nochmals in Kürze:

1. Verschlüsselte Daten sichern (nach extern)

2. Verschlüsselte Daten löschen

3. Daten mit Photorec wiederherstellen

Ergebnis: unverschlüsselte Daten!??? So einfach sollte es sein?

Alles anzeigen

Das kann funktionieren.

Hintergrund ist, dass das zur Verschlüsselung verwendete Programm 7z die Datei beim Verschlüsseln nicht überschreibt, sondern es legt eine neue Datei an, welche die verschlüsselten Daten bekommt, und danach wird die alte unverschlüsselte Datei gelöscht. Damit liegen die unverschlüsselten Daten in Form einer gelöschten Datei weiterhin auf der Festplatte/SSD.

Nun, und Photorec ist genau dazu gemacht, gelöschte Dateien wieder herzustellen.

Das Ganze funktioniert natürlich nur, wenn das NAS noch nicht so viel an neuen Daten auf die Platte geschrieben hat, dass der Platz, den die alten Dateien belegt hatten, erneut verwendet wird.

Das heißt, mit dem Verfahren wird man höchstwahrscheinlich nicht alle Daten wieder herstellen können, aber die Chance ist gut, dass ein paar Dateien wieder gefunden werden.

Aus diesem Grunde empfiehlt Qnap auch, die verschlüsselten Daten vorher extern zu sichern. Wenn Photorec nur geringe Erfolge bringt, kann man sich immer noch entschließen, die Erpresser zu bezahlen. Außerdem ist Qnap aus der Haftung raus, falls es nicht funktioniert.

Ich denke, wenn kein Backup der Daten vorhanden ist, dann ist das Vorgehen einen Versuch wert.

Ah wieder was gelernt. Danke Anthracite .

Zitat von Anthracite

Das Ganze funktioniert natürlich nur, wenn das NAS noch nicht so viel an neuen Daten auf die Platte geschrieben hat, dass der Platz, den die alten Dateien belegt hatten, erneut verwendet wird.

Hallo, die Erklärung habe sogar ich verstanden. Das bedeutet daß ich das Programm auch noch versuchen kann wenn der Qnap schon wieder normal läuft ?

Kann mir jemand kurz auf deutsch erklären wie das Programm dann eingestellt werden muss ?

Eventuell bekomme ich ja noch paar Fotos wieder zurück.

Gruß

Niemand der mir erklären kann wie ich den Raid-Verbund auswählen kann mit dem Tool ?

Gruß

steht doch hier alles

http://qnapsupport.net/teknik-…otorec-ile-veri-kurtarma/

aber wenn an dem NAS schon rumgefrickelt worden ist (also neues System aufgespielt und und und ) dann sieht das düster aus.

Haben die Snapshots bei diesen Ransomware-Angriffen eigentlich geholfen? Ich glaub, da hab ich nichts in den Foren gelesen. Die waren / sind doch eigentlich auch explizit dafür gedacht gewesen, dachte ich.

Die QNAP-Stellungsnahme ist eher wage bzw. verneint das:

Mod: Nicht deklariertes Zitat ohne Quellenangabe ... korrigiert! Forenregeln und Die Zitat Funktion des Forums richtig nutzen

Zitat von QNAP: General Recommendations

• Refer to the 3-2-1 backup strategy and back up files stored in QNAP NAS
  • Please note: if you store the only copy of your files in QNAP NAS, even if you've enabled data protection features such as RAID and snapshots, your data is not protected against all possible risks. RAID only protects against disk failures, and snapshots offer protections for the scenario of ransomware attacks from your personal computer. To make sure your files are safe and sound, back up your NAS data, or back up the backup file stored in your QNAP NAS.

Würde mich mal interessieren. Ansonsten kann man sie sich ja eigentlich sparen, wenn man eh Backups macht.

Snapshots bringen nur was wenn auch genügend Platz da ist (20% Snapshot Space bringt halt nix wenn 80% Daten verschlüsselt sind)

Aussderdem gab's Berichte das die Malware Snapshots löscht (da das NAS selber angegriffen worden ist)

Zitat von dolbyman

steht doch hier alles

http://qnapsupport.net/teknik-…otorec-ile-veri-kurtarma/

Bei Punkt 6 geht es nicht weiter !

Ich habe den Inhalt des Ordners "testdisk-7.2-WIP" entpackt auf den QNAP in den Ordner "/share/Public"

public.JPG

Aber bei dem Befehl:

 /share/Public/photorec_static

kommt dann eine Fehlermeldung:

no-file.JPG

Und die Datei photorec_static ist der runtergeladenen Datei auch nicht vorhanden. Wo ist mein Fehler ?

Gruß

SSH wird über "admin" aufgerufen?

Bitte nochmal genau erklären was mit dem NAS nach dem Malware Befall gemacht worden ist