NAS mit Ransomware DEADBOLT verschlüsselt

Mir sind 70 Euro schon zu viel. Darum gibt es bei mir nur den kleinsten Glasanschluss. 100/100 reichen auch.

Ich nehme alles zurück sie haben die Preise angepasst habe gerade nochmal nachgeschaut

300/150 49,95

500/250 59,95

1000/500 79,95

Ich zahl für 1500/400 (inkl TV) 200 Dollar/M

..wie kamen wir drauf?..Achso private Cloud alle Daten weg *buhuhuhu*

nee, dass auch Schadsoftware von einer guten Internetanbindung profitiert. Eigentlich müsste man mit zunehmender Geschwindigkeit des Internets auch die Sicherheit ausbauen. Je schneller ein Auto, desto besser die Bremsen etc. Wieso beim Internet nicht? Anstelle dass die Router immer mehr NAS-artige Funktionen bekommen, sollten die Anbieter lieber mehr Sicherheits-Features einbauen, Filter, Scanner, IPS, etc., rudimentär aber für den normalen Benutzer händelbar.

Mod: Zitat ohne Quellenangabe ... korrigiert! Forenregeln beachten und Die Zitat Funktion des Forums richtig nutzen

Zitat von dwksystems

Wurden gestern kontaktiert von jemanden der das Problem auch hat, nur das es Firmendaten sind die benötigt werden.

Na, da hat er doch kein Problem. Wenn es Firmendaten sind, hat er ja bestimmt ein Backup.

Was, nein? Dann hielte sich mein Mitleid in engen Grenzen.

Hallo zusammen,

ich bin im Forum von bleepingcomputer angemeldet und dort hat einer ein Entschlüsselungsscript geschrieben, was die Entschlüsselung rückgängig macht.

Voraussetzung, damit es funktioniert und alle Daten wieder entschlüsselt werden können:

Man muss leider selbst die 0.030000 bit zahlen um dann den OP_RETURN Code zu erhalten und... das Tool läuft nur unter Windows.

Ich empfehle jeden, der seine Daten wieder haben möchte, diesen Thread aufmerksam und KOMPLETT zu lesen, um zu erfahren wie das Ganze geht.

Ja, es sind viele Seiten, aber es lohnt sich wirklich!

https://www.bleepingcomputer.c…vices-deadbolt-extension/

Ich bin ein absoluter Laie in solchen Sachen und Qnap hat auf meine 2 Ticket bisher nicht reagiert.

Das NAS werde ich erst Mal nicht weiter nutzen und meine Sachen anderweitig speichern....

Viel Erfolg allen!

Zitat von mindkicks

Man muss leider selbst die 0.030000 bit zahlen

Wer dies macht unterstützt leider auch, dass es weiterhin solche Schadsoftware geben wird. Solange die Kriminellen gut davon leben können und sie genügend "zufriedene" Kunden haben, solange werde die auch weiter machen. Wenn niemand mehr zahlt und sie keine müde Mark damit einnehmen, dann hört dies sofort auf.

Nicht vergessen sollte man, dass so ein Vorfall bei der Polizei gemeldet werden sollte / muss. Ist schließlich Erpressung. Sollten geschäftliche Daten betroffen sein, ist auch noch eine Meldung an den Datenschutzbeauftragten fällig. Sollte man dies unterlassen, wird dann das Busgeld beim Eigentümer des NAS eingezogen. Man sollte auch nicht zulange damit warten, da gibt es bestimmte gesetzliche Vorgaben, auch was die Zeit anbelangt. Aber bin da kein Rechtsexperte. Ansonsten auch den Rechtsverdreher des Vertrauens hinzuziehen.

Da hast du mit allem recht und dagegen sage ich auch nichts.

Ich habe lediglich eine Empfehlung ausgesprochen.

Was man damit macht ist ja jedem selbst überlassen.

Ich für meinen Teil habe verschiedene Schritte, u.a. mit meinem ITler bereits erledigt und kann mir nichts vorwerfen oder anlasten lassen.

Die Polizei z. B. sagte nur "Klar, Sie können eine Anzeige aufgeben, aber bringen wird das nichts. Die sitzen irgendwo am anderen Ende der Welt. Das ist vergebens und Zeitverschwendung."

Dass es bei einem Befall bei einer einzelnen Privatperson nach der Anzeige zu einer Verhaftung kommt, ist tatsächlich eher unwahrscheinlich. Aber darum geht es ja nicht ausschließlich. Liegen genügend Anzeigen und Informationen vor, möglicherweise auch durch eine betroffenen Firma, die sich IT-Forensiker, Anwalt etc. leistet, kann der Täter vielleicht doch geschnappt werden. Dazu kommen noch die statistischen Daten, was nicht zu unterschätzen ist. Solange sich niemand bei so etwas meldet, sieht auch die Politik keinen Handlungsbedarf, "So etwas gibt es ja bei uns nicht".

Hallo,

ich bin auch betroffen und suche seit zwei Tagen nach Lösungen.

Scheinbar stellt es sich bei mir aber etwas anders dar als in den meisten Fällen die ich bisher fand.

Ich habe Sonntag früh beim Login-Versuch in mein TVS-871T die Deadbolt-Begrüßung gesehen, konnte jedoch in dem Moment nicht reagieren weil ich zur Arbeit musste.

Ab Abends habe ich mich dann mit dem Thema auseinandergesetzt.

Ich konnte mich über die alternative Angabe in der URL (:8080/cgi-bin/index.cgi) einloggen und habe meine Daten unverschlüsselt vorgefunden.

Dann versuchte ich die erforderlichen Updates zu machen, aber es hieß mein System sei auf dem neuesten Stand und es gibt kein Update. Auch im Downloadbereich bei QNAP stand bei meinem Gerät NICHT die von vielen genannte Version 5.0.0.1891, sondern als neuste die die ich installiert hatte irgendwas vom November glaube ich.

Also habe ich kein Update/Upgrade machen können und habe den Malware-Remover scannen lassen.

Der hat schon seit 28.01.2022 Meldungen über die gefundene High-Risk-Malware im Protokoll. Und hat auch beim erneuten Scan wieder was gefunden. Danach habe ich einen Neustart durchgeführt und wieder ein Scan > gefunden...

Ich habe noch mal probiert ein Update einzuspielen, aber "alles up to date"

Übrigens: Seit gestern steht auch bei meinem Gerät die neuere Firmware in der Liste! > Hat QNAP vergessen bestimmte Geräte für diese Software-Version freizugeben?

Ich begann dann die unverschlüsselten Daten auf externe Platten zu kopieren und stellte nach einigen hundert GB fest, dass die internen Platten auch nach Fertigstellung der Kopieraufträge weiter arbeiteten. Immer mehr Dateien wurden verschlüsselt. Also ich konnte Deadbolt bei der Arbeit "zusehen". Nach dieser Erkenntnis habe ich direkt heruntergefahren und Gerät ist seit dem aus.

Ich denke, dass bisher evtl. etwa 20% meiner Daten verschlüsselt sind.

Kurz:

- Meine Daten waren unverschlüsselt

- Dann Start mit Sicherheitskopien auf ext. Datenträger

- Dann bemerkt, dass Deadbolt beginnt zu arbeiten

- nun etwa 20% meiner Daten verschlüsselt.

Was kann ich nun tun?

Ich suche aktuell ein QNAP-Gerät mit 8 Einschüben um mein teilverschlüsseltes Raid6 dort an ein aktuelles und "sauberes" System zu hängen und dann weiter su sichern.

Kann das funktionieren?

Kann ich evtl auch mein Gerät zurücksetzen und nach einer Bereinigung die alten Platten "Raid6" in das alte aber zurückgesetzte und aktualisierte Gerät migrieren?

Gern bin ich auch zu einem "Rettungsdate" bereit mit jemandem der evtl. auch ein TVS-871T hat und wir probieren das gegenseitige Migrieren und Retten?!

Gruß und vielen Dank für Ideen und Einschätzungen zu meinem evtl. blauäugigem Vorgehen.

Thomas

Deinem Unterton entnehme ich, das Du kein Backup oder kein aktuelles Backup hast. Denn bei einem Befall von Schadsoftware gibt es eigentlich nur eine vernünftige Lösung: NAS samt allen Festplatten platt machen, neu initialisieren und Daten vom Backup zurück. Wurde in diesem oder einem der anderen Deadbolt Themen schon beschrieben. Alles andere ist, nun ja Lotterie. Beim Sichern, Kopieren, Retten was auch immer, ist nie ganz klar was da noch alles mitkommt. Bei Firmendaten ist sowieso klar: Sämtliche Daten sind als korrumpiert anzusehen und wertlos.

Bei einer Migration der Festplatten in ein anderes oder neues NAS stehen die Chancen gut, dass Du den Befall übernimmst und dieses NAS ebenfalls verseucht ist.

Müssen die Daten dennoch gerettet werden und es soll eine saubere Lösung sein, dann bleibt eigentlich nur der Gang zum Spezialisten.

Das wird so leider nicht klappen!

Nach Aussage eines QNAP Mitarbeiters im US Forum soll die Deadbolt Malware angeblich nach einem Reboot nicht weiter verschlüsseln.

Da das auch sonst noch niemand berichtet hat, bin ich auch ein wenig verwundert, das es bei Dir doch der Fall ist.

Das Betriebssystem ist auf den Platten, es nutzt also nichts, die Platten in ein anderes Gehäuse zu stecken!

Aufgrund Deiner Angaben gehe ich davon aus, das kein Backup existiert!

Das NAS hast Du hoffentlich sofort vom Internet getrennt!

Du hast m.E. folgende Alternativen:

NAS wieder einschalten und prüfen, ob die Verschlüsselung tatsächlich fortgesetzt wird.

Das NAS mit neuen Platten neu einrichten, die alten Platten sicher aufbewahren und darauf hoffen, das es irgendwann eine andere Lösung gibt.

Letztendlich den Erpressern die ca. 1.100€ bezahlen und hoffen, das Du einen Key erhältst und alle Daten wieder entschlüsselt werden. Das ist sicherlich die schlechteste aller Optionen, denn damit finanzierst Du weitere Angriffe.

Ein Neuaufsetzen des NAS ist trotzdem unausweichlich, denn einem solchen NAS ist nicht mehr zu trauen.

Niemand kann sagen, was noch alles gehackt wurde, ob z.B. eine Backdoor installiert wurde.

Gruss

thomasb87

Dir geht es sicher erst einmal um die Rettung der 80% noch unverschlüsselten Dateien.

Ich sehe da prinzipiell folgende Möglichkeiten:

1. Festplatten an einen professionellen Datenretter schicken (sicher, aber teuer). Der kann die verschlüsselten Dateien nicht entschlüsseln, aber er kann retten, was noch nicht verschlüsselt ist.
2. NAS extern mit Linux booten (habe ich nicht selbst probiert, geht angeblich), Partitionen mounten, Daten kopieren. (sicher, da Deadbolt nicht mehr aktiv werden kann, aber kompliziert, und wenn man was falsch macht, macht man womöglich die bestehenden Partitionen kaputt und ruiniert dadurch seine Daten.)
3. NAS komplett vom Internet trennen (auch ausgehend), USB-Laufwerke abziehen (die kann Deadbolt sonst auch verschlüsseln), einschalten, sofort per ssh einloggen (muss womöglich noch im Browser eingeschaltet werden), Deadbolt-Prozess abschießen, dann die Daten kopieren. Sollte Deadbolt nicht wieder automatisch starten, ist alles gut, aber wenn Deadbolt auch nur eine gewisse Zeit läuft, werden weitere Daten verschlüsselt.
4. Ticket an Qnap schreiben und abwarten, was die empfehlen. Vllt. haben die mittlerweile genauere Erkenntnisse über die Arbeitsweise von Deadbolt. Die größte Gefahr hier ist, dass sie dir was Falsches schreiben, um das Ticket schnell abzuschließen.

Alles andere, Festplatten formatieren und NAS neu aufsetzen, kommt erst dann, wenn gerettet wurde was zu retten ist.

Man kann sich direkt nach dem Start per SSH verbinden und den Deadbolt-Prozess per kill abschießen.

Siehe hier:

https://forum.qnap.com/viewtop…64797&p=809075&hilit=paid

Es besteht aber die Gefahr, das bis dahin weiter verschlüsselt wird!

Zitat von Anthracite

NAS extern mit Linux booten ... Partitionen mounten

Mit einem RAID6? Wenn überhaupt eher nichts für Anfänger, da würde selbst ich die Finger von lassen, zumindest ohne Backup.

dd Sicherungen von allen Platten erstellen. UFS Explorer kaufen. Sicherungen einlesen. Raid6 zusammenbauen lassen. Gewünschte Daten sichern

Schonmal getestet und für gut befunden ? Ich kenne die Software nicht

Ich sollte mich beruflich verändern. Optionen:

a) Auch so einen "QBOLT" programmieren und von der Couch den eintreffenden Bitcoins zusehen.

b) Eine Datenrettungs-Firma aufmachen, pro Datei 1 Euro.

c) QNAP-Gebrauchtgerätehandel gründen, und denjenigen, die das NAS nach der Verschlüsselung am liebsten an die Wand werfen würden, noch 100 Euro geben. Natürlich inkl. ihrer 8x 16TB Platten.

Ich bin doch ein Depp, das ich noch einen normalen Job habe.

Zitat von cbronson

dd Sicherungen von allen Platten erstellen.

Bei einem 8 Slot NAS sind dies dann unter Umständen 8 x 16 TB. Aktueller Preis, zum einfach rechnen 8 x 300.- Euro = 2'400.- Euro. Weil die Daten ja auch irgendwo hin müssen, bei vollen Platten nochmals 5 oder 6 Platten. Sind dann nochmals 1'800.- Euro. Dazu die Software, die mit 130.- Euro noch billig ist. Das sind dann mal 4'330.- Euro so auf einen Schlag. Gut die Platten für die Datensicherung hätte es ohnehin gebraucht. Vorteil: Für die Datensicherung sind danach genügend Festplatten da. Die brauchen dann aber auch ein Zuhause. Nochmals knapp 1'000.- Euro. Tja, Datenmessie zu sein kostet.

Zitat von cbronson

Raid6 zusammenbauen lassen.

Würde mich auch interessieren, ob da die Software halten kann was sie verspricht. Dass es dies kann zweifle ich jetzt weniger an, aber ob die Handhandhabung für den Laien geeignet ist?

Ich glaube, von denen hatte ich früher ein Gratis-Tool zum Einlesen von Apple-Datenträger im Einsatz. Ist aber schon Jahre her.

Zitat von cbronson

Raid6 zusammenbauen lassen. Gewünschte Daten sichern

Klingt zumindest nach einen Plan.

Das RAID ist das geringere Problem, LVM oben drauf ist wo es spannend wird