NAS mit Ransomware DEADBOLT verschlüsselt

    Zitat von Pawjockelflo

    Mehr wie 4.3.4 gibt es für meine TS469 leider nicht. Also heißt es abwarten bis man infiziert wurde...

    Oder:

    1. keine Ports zum Internet publizieren (kostengünstig)
    2. ein neueres NAS erwerben (mit finanziellem Aufwand)


    Wenn Du also willst kannst Du sehr wohl mehr tun als warten. Gerade Option 1 geht schnell und kostet nix.

    Meine "Hauptarbeits-NAS" haben auch alle v4.3.4, die waren noch nie attackiert.

    Ich vertraue aber auch auf eine vernünftige Firewall, greife nur per VPN zu wenn ich unterwegs bin und stelle keine Dienste/Ports ins Internet.


    Gruss

    Zitat von FSC830

    greife nur per VPN zu

    gerne auch, wenn AVM endlich mal aus dem Firmware-Labor-Status mit seiner neuen VPN-Implementierung raus ist.

    Hänge mit 3 Rechnern/Personen (2xHomeoffice/1xUnivorlesungen) im Netz und kann mir keine Ausfälle leisten.

    Das war nur ne Frage der Zeit. Wenn man beachtet welche DAUs sich NAS kaufen und dann am besten noch mit automatischer Portweiterleitung ins Netz hängen.... Da habe ich echt kein Mitleid.

    Zitat von CJS

    gerne auch, wenn AVM endlich mal aus dem Firmware-Labor-Status mit seiner neuen VPN-Implementierung raus ist.

    Es gibt auch andere Router/Modem Kombinationen, die das wesentlich besser können als AVM mit der bisherigen Implementation.

    Mit der 7590 soll es besser geworden sein, demnächst kommt Wireguard. Aber ich setze die FB nur noch als VoIP Wandler zu meiner Telefonanlage ein.

    Modem/Router sind schon lange auf anderen Geräten verwirklicht.


    Gruss


    Edit: Wird aber wieder OT, zurück zum Deadbolt :evil:

    Es ist leicht auf die Betroffenen mit dem DAU Hammer hinzuhauen. Aber ich kenne von der letzten Welle Betroffene, denen man wirklich nichts vorwerfen kann, außer dass Ihnen ein Kumpel (oder ähnlich) einen Router installiert hat, der bereitwillig über upnp und allerlei anderer lustiger Mechanismen die Ports aufmacht. Und das ganze im Auslieferungszustand.


    Aus meiner Sicht sind hier also schon auch dringend mal die Router Hersteller in die Pflicht zu nehmen.

    Mir kommt ohnehin kein Router ins Haus, der die Funktion upnp überhaupt besitzt. Aber andere haben sehr wohl das Recht auch mal Endanwender zu sein und auf eine einigermaßen sichere Auslieferungskonfiguration zu vertrauen.

    M.M.n sind in erster Linie die Hersteller in die Pflicht zu nehmen!

    Die werben doch mit "Your own Cloud starts here!" und so weiterem Marketing-Blabla. Und das zieht eben auch die DAUs an. Aus dem stehgreif fällt mir jetzt auch kein Tut o.ä. weder von Synology noch Qnap ein, welches genau auf solche Gefahren hinweist! Warum auch? Dann passt nämlich das Marketing-Blabla nicht mehr.

    Na sorry, wenn das Sicherheitsleck von QNAP implementiert ist kann doch kein Nutzer, Router oder Bekannter dafür ?!

    Ich hatte spass mit dem QLOCKER, das Einfallstor war scheinbar QVPN, hab das der Polizei und QNAP gesteckt incl. IP des Angreifers, interessierte sich niemand für.

    Die NAS Systeme werden beworben mit Zugriff von überall.

    Verglichen mit des deutschen liebsten Gerätes wäre das:

    Bremsen versagen, Pech gehabt, Hersteller ist raus, man muss ja selbst für seine Sicherheit sorgen, am besten bleibt das Gerät in der Garage ... ???

    Zitat von buschi

    Na sorry, wenn das Sicherheitsleck von QNAP implementiert ist kann doch kein Nutzer, Router oder Bekannter dafür ?!

    Das ist halt die Quadratur des Kreises...ohne QNAP hier jetzt aus der Verantwortung nehmen zu wollen. Immerhin teilen sie jetzt routinemäßig Sicherheitslücken mit in einer standardisierten Form. Aber der Kunde will halt einen Toaster mit Einknopf Bedienung, der aber noch 10 unterschiedliche weitere Funktionen haben soll. Mittlerweile sollte eigentlich jeder soweit informiert sein, dass wenn Dinge am Internet hängen, diese auch gehackt werden können. Und das betrifft regelmäßig auch Multimilliarden Dollar und Euro Unternehmen. Vor 10 Jahren hätte ich vielleicht noch gesagt, damit kann man nicht rechnen. Wenn man als Nutzer sein Gerät so konfiguriert, dass es von außen nutzbar wird, dann muss man wissen was man tut. Wenn jetzt eine App, die eigentlich einen sicheren Zugang ermöglichen soll ( nämlich QVPN) offenbar das Einfallstor ist, dann ist das natürlich sehr bitter. Sich ausschließlich auf die Herstellerempfehlungen zu stützen ist halt riskant. Und für einen VPN Zugang gilt eben auch, dass man den Zugang von den Anwendungen trennt. Sicherheit ist komplex und wer sich dafür nicht genug Zeit nimmt, recherchiert und sich mit den Risiken ernstaft auseinandersetzt bekommt leicht Probleme. Wahrscheinlich wäre es eben am besten, man würde gar nicht erst die QVPN App bewerben. Oder nur als VM Applikation, das wäre ein bisschen sicherer. Aber sowas gehört einfach separiert


    Zitat von buschi

    Verglichen mit des deutschen liebsten Gerätes wäre das:

    Auch ein riskanter Vergleich, denn bekanntermaßen braucht man zum Betrieb desselben einen Führerschein. Was auch nur bedingt ein Kompetenznachweis ist, wenn man sich den Straßenverkehr so anschaut.

    Zitat von buschi

    Die NAS Systeme werden beworben mit Zugriff von überall.

    Das stimmt ja auch. Deadbolt und QLocker kommen von überall an das NAS ran.:evil:


    Dein Vergleich mit dem Auto passt nicht. Wenn bei deinem Auto ein Dieb eine Scheibe einschlägt und einbricht, gibst du auch nicht dem Autohersteller die Schuld. Aber mein Vergleich passt auch nicht, da Autos und NAS-Software völlig unterschiedliche Technologien sind. Moderne Software ist so komplex, dass es idR. nicht möglich ist, alle denkbaren Angriffe auszuschließen.


    Ich denke, da ist ein Paradigmenwechsel bei den NAS-Herstellern nötig. Die Firewall gehört in den Router und sollte alle Zugriffe auf das NAS ablehnen, es sei denn, das ist ausdrücklich anders konfiguriert. Eine weitere Firewall auf dem NAS, die per Default alle nicht aus dem LAN stammenden Zugriffe ablehnt, zur weiteren Härtung könnte sinnvoll sein. Und dann Ransonware-sichere Backups, z. B. auf Datenträgern, die elektrisch vom NAS getrennt werden können, mit einer Führung für unbedarfte Benutzer, diese Backups auch einzurichten. Ein Problem könnte sein, dass unser NAS-Hersteller aus Fernost kommt. Da fehlt manchmal das Sicherheitsbewusstsein. Für die Überwachung der Privatwohnungen werden dort professionelle Sicherheitsdienste genutzt, auf den Privat- und Firmenrechnern bringen sich aber die Virenprogramme gegenseitig zu Absturz.


    So, die Diskussion hilft hier aber nicht weiter.


    Ich warte auf eine Aussage von Qnap, wo denn Deadbolt in die Systeme eingedrungen ist, damit ich weiß, ob ich die Portfreigabe für ssh im Router wieder aktivieren kann, damit die externen Backups laufen.

    Ich hab jetzt endgültig harte Firewall Regeln rein gemacht auf meinem Router. Ich mein, ich hatte auch vorher kein Portforwarding drin, qvpn habe ich schon lange deinstalliert. Aber jetzt als reine Vorsichtsmaßnahme habe ich dafür gesorgt dass mein qnap gar kein Internet mehr sieht.

    Wenn Du kein Backup hast - ja!

    Zahlen wäre für mich keine Option!

    Außerdem musst Du das NAS hinterher sowieso platt machen und neu aufsetzen. Ich würde dem nicht mehr trauen, wer weiß, ob nicht auch eine Backdoor installiert wurde.


    Gruss

    sirfaus

    Nach aktuellem Stand, ja. Das kann sich noch ändern, vielleicht wird noch eine Möglichkeit gefunden, aber verlass dich nicht drauf.


    Wenn du ein Backup hast (das solltest du haben), dann setz das System neu auf und spiel das Backup wieder ein.


    Ansonsten kannst su den von mir in #15 weiter oben beschriebenen Versuch mit photorec wagen. Ob der was bringt, weiß ich nicht, aber ein Teilerfolg ist möglich.

    Wenn kein Backup vorhanden ist würde ich die HDD bei Seite legen und darauf hoffen dass irgendwann eine Entschlüsselung möglich ist.

    Das kann aber sehr lange dauern.

    Zitat von sirfaus

    Ich bin einer der betroffenen was kann ich tun sind alle meine Daten futsch?

    Du hast zwar wahrscheinlich momentan verständlicherweise andere Sorgen, aber vielleicht kannst Du ein bisschen was über den Angriffsvektor erzählen. War Dein NAS ins Internet geöffnet bzw. hattest Du Portforwardings eingerichtet?