Crypto Malware eingefangen. Was nun?

  • Ok, Festplatte ausgebaut.

    Und jetzt neu initialisieren über diese Seite ?

    http://install.qnap.com/?lang=de


    Dann Settings von Dezember 2020 einspielen und danach Backup auf den Qnap ?

    Kann ich das Backup per HBS 3 zurück spielen ?

    Oder einfach über kopieren ?

  • Zum neu Initialisieren lade dir den Qfinder herunter und logge dich darüber ein.

    Diese Webinstallationsgeschichte kenne ich nicht, traue dem aber auch nicht :|


    Backup würde ich manuell rüberschieben.

  • Von hier her (such dir was aus) :arrow::handbuch: Security Meldungen

    Da sind aber auch so ein paar Klopper drin. Hart kodierte Zugangsdaten in HBS. Wollen die eine Hintertür einbauen?? Das war wohl Qnap zu peinlich. Die Sicherheitswarnung heißt seit heute nicht mehr "Hard-Coded Credentials", sondern "Improper Authorization Vulnerability".


    Puffer-Überlauf in Sudo. Damit kann man dann Admin-Rechte kriegen, wenn man irgendwie mal drin ist.


    Heute kam wieder eine neue Version von HBS und dem Malware Remover raus. Sieht so aus, als hätten sie gestern das derzeit ausgenutzte Problem noch nicht behoben.


    Leider fehlt bei der Meldung zu HBS die Information, wo die fest eingebauten Zugangsdaten ausgenutzt werden können. Nur bei der HBS-Synchronisation mit RRTR? Oder ist das eine allgemeine Hintertür zum Login?


    Und das, wo mein NAS seit genau einer Woche frei zugänglich im Internet steht für die Synchronisation der Backups:saint:.

    Aber ich will nicht übertreiben. Nur der SSH-Port ist offen, und da ist das Login über Passwort abgeschaltet. Nur SSH-Keys werden akzeptiert. Das sollte hinreichend sicher sein.

  • Ist jetzt mit einer 4 TB HDD neu initialisiert.

    Die 2. HDD mit 4 TBB ist noch unformatiert und ausgebaut. Gibt es denn schon eine Möglichkeit die verschlüsselten Daten zurück zu bekommen ?


    Also (für mich als Noob) die Festplatte extern mit Windows-Mitteln zu entschlüsseln und dann wieder in den Qnap einzubauen um die Daten wie vorher mit der frischen HDD zu syncronisieren ?


    Gruß

  • Dazu müsste man wissen, was Dich erwischt hat... Die aktuelle Welle, die im anderen Thread behandelt wird, oder ist das länger her?

    Für die aktuelle Welle gibt es noch nichts, was definitiv funktioniert.

  • Ich habe die verschlüsselten Dateien jetzt von der ausgebauten HDD auf meinen PC kopiert. Gibt es da einen Weg ?


    Gruß

  • Und auch bei Bezahlung ist ungewiß, ob man den Key überhaupt erhält und wenn, ob auch alle Daten wieder entschlüsselt werden (können).


    Gruss

  • Klar .. und die Keyserver könnten auch jeden Moment hopps oder offline gehen (wenn die von irgendeiner Behörde übernommen werden dann ist die Chance auf nen Gratis key schon wieder was besser)


    Ohne Backups alles Mist .. aber hören will keiner

  • Backups sind Gott sei Dank vorhanden.

    Außer paar Fotos auf der per usb 3.0 angeschlossen externen HDD. War Backup für Fotos

    Sogar die Dateien sind verschlüsselt.


    Gruss

  • Moin Moin Leute

    ich schätze dass das alles schon behandelt ist, aber ich geb mal noch nen Bild zum besten.

    Bei mir waren nur Port 443 und 1194 offen, dennoch alles verschlüsselt ...

    Nach dem ich alle Protokolle durchgesehen habe einziger Fund das im Anhang.

    Die Verschlüsselung lief am 21.04.2021 von 08:14 - 11:46 Uhr.


    Zur eigentlichen Frage:

    Bisher hab ich ein Static Volume, heisst alles irgendwie wieder zurück kopieren.

    Wenn ich ein Thin/Thick Volume mit SnapShots gehabt hätte, wäre es dann möglich gewesen, ein altes SnapShot einzuspielen und das System in ein paar Minuten wieder auf dem Stand vor der Verschlüsselung gehabt zu haben oder wären die SnapShots ebenfalls verschlüsselt gewesen und auch da ohne externes Backup alles abhanden ?


    Und:

    Wenn ich aus dem Static Volume ein Pool machen will, setz ich den Bums zurück, spiele die Sicherungs .bin ein, erstelle ein Thick Volume und Kopiere die Daten rein ?

    Die Nutzerprivilegien sind dann 1:1 übernommen ?

    Ändert sich ev. der PreShared Key in OpenVPN ?

    Oder darf ich die rechte jedes Nutzers und der Gruppen neu konfigurieren und allen VPN-Usern die neue .ovpn zuschicken ?


    Danke schon mal im voraus den brauchbaren Antwortern,

    denen die jetzt meinen das Gerät gehört nicht ins Netz muss ich sagen:

    Ein Auto gehört nicht auf die Strasse, Unfälle passieren meistens da !

    Dateien

    • vpn.jpg

      (46,56 kB, 39 Mal heruntergeladen, zuletzt: )
  • Ok also Webserver oder OpenVPN Server war/ist also das mögliche Einfallstor.


    Im Log ist jedenfalls eine Useranmeldung am VPN Dienst zu sehen, der für mich nach einem gezieltem Angriff auf eine Lücke im Anmeldeprozess hin deutet.


    Hast du ggf. noch eine anderes Device, was du als VPN Gateway einsetzten kannst?


    Nicht das es wieder los geht.



    Mit Snapshots kann man, wenn die vom Virus nicht mit beeinflusst werden, den Stand sehr schnell zurück setzen.

    Man benötigt aber auch einen deutlich größeren Speicherpool, da die im Fall eine Verschlüsselung sehr schnell riesig werden!


    Wie immer, den perfekten Schutz gibt es nicht.

  • wäre es dann möglich gewesen, ein altes SnapShot einzuspielen [...] oder wären die SnapShots ebenfalls verschlüsselt gewesen und auch da ohne externes Backup alles abhanden ?

    Es gibt Ransomware, die versucht, alle Backups und Snapshots (bei Windows Wiederherstellungspunkte) zu löschen, denn wenn noch aktuelle Backups vorhanden sind, geht der Erpressungsversuch der Kriminellen ins Leere. Da helfen dann weder Snapshots noch eine dauerhaft angeschlossene USB-Platte. Eine Platte, die nur während des Backups angeschlossen ist (bzw. zwei im Wechsel) schafft Sicherheit.


    Die Qlocker-Attacke war aber einfacher gestrickt. Da wurde nur das 7z-Programm aufgerufen, weswegen in dem Falle Snapshots überlebt hätten.

  • Die Qlocker-Attacke war aber einfacher gestrickt. Da wurde nur das 7z-Programm aufgerufen, weswegen in dem Falle Snapshots überlebt hätten.

    Ich hatte von einem (haha) Fall gelesen, bei dem Qlocker angeblich die Snapshots gelöscht hat. Habe ich auf Anhieb auch nicht glauben wollen, und bestätigt hat es sich auch nicht... Aber das Gerücht hat kursiert.

  • Hab’s so eingerichtet das HBS bei anschließen der Festplatte automatisch nen mehr-Versionen Backup macht und nach Fertigstellung die Platte wieder abmeldet.

    Was mich etwas nervös macht ist die Log vom QVPN, dass im OpenVPN die Befehle drin stehen.

    Es liefen keine Dienste, Programme, UPNP oder sonst was, nur OpenVPN und das GUI zur Nutzeranmeldung auf 443 (nicht der Webserver).

    FRITZ!Box hat auch nur die beiden Ports offen.

    Es wird alles was vom System her kommt geloggt, da war nix.

    Zur Sicherheit hab ich die Ports geändert, vielleicht bringt’s was.

  • und das GUI zur Nutzeranmeldung auf 443

    Eines der Einfallstore für Malware .. Warum bitte das QTS GUI ans WAN leiten ? .. Das ändern der Ports (wie schon oft gesagt) bringt wenig

  • Qfile und Qmanager ist halt komfortabel für unterwegs, und damit wird das Gerät ja auch beworben. Dass sich in den letzter Zeit so krasse Sicherheitslücken aufweisen lässt mich allerdings auch etwas zweifeln. Ich habe seit über 20 Jahren irgendein Gerät im Netz, angefangen von PCs zu Schulzeiten mit SMB-Zugriff und Bittorrent, eMule etc. über TS-212, TS-239 und nun die TS-228a. Dieses war der erste Vorfall.

    Mal schauen ob ich plattformübergreifend eine FritzBox VPN-Lösung finde die auch anwenderfreundlich ist. QNAP scheint auf jeden Fall ein fettes Defizit zu haben was die Gerätesicherheit angeht.