alle meine Daten sind mit 7Zip verschlüsselt

    Hallo,


    sorry das ich vielleicht Fragen frage die hier schon mehrfach beantwortet wurden aber ich habe nichts gefunden, was mir als Laien wirklich weiter hilft.


    Mein Problem ist als ich heute mal seit langem mal wieder eine Datei von der NAS holen wollte, mit bedauern festgestellt habe, dass alles mit 7Zip verschlüsselt ist.

    Ich habe schon einiges im Netz gelesen aber nichts was mir eindeutig sagt ob es eine Rettung meiner Daten gibt oder nicht.

    Sie ist jetzt erst einmal von außerhalb gesperrt und ich kopiere gerade all die verschlüsselte Daten von der Nas auf ein externes Speichermedium.

    Ein Backup habe ich auch aber leider ist das schon 2 Jahre alt :ziped:

    Kann mir bitte einer sagen ob es eine Rettung gibt oder soll ich alles Platt machen und mit meinem alten Backup zufrieden sein?


    Gruß

    Stefan

    Finden sich weitere Hinweise zur Verschlüsselung / Malware?

    Normalerweise sollte es irgendwo eine oder mehrere Textdateien geben.

    Umd was für ein NAS mit welcher Firmware handelt es sich? Auch mal in die autorun.sh schauen (Systemeinstellungen) ob und was da drin steht. Ansonsten pauschal mal nach Deadbolt oder Qlocker suchen, das ist die Malware die zuletzt aktiv war.

    Hallo,


    es handelt sich um eine kleine TS-112P und die Firmware habe ich eben erst auf den aktuelsten Stand gebracht. Stand jetzt 4.3.3.1864, davor war es eine Sufe drunter. Die Updates mache ich immer regelmäßig.


    Das steht in der Read me. Datei


    Code
    !!! ALL YOUR FILES HAVE BEEN ENCRYPTED !!!

All your files were encrypted using a private and unique key generated for the computer. This key is stored in our server and the only way to receive your key and decrypt your files is making a Bitcoin payment.
To purchase your key and decrypt your files, please follow these steps:
1. Dowload the Tor Browser at "https://www.torproject.org/". If you need help, please Google for "access onion page".
2. Visit the following pages with the Tor Browser:
gvka2m4qt5fod2fltkjmdk4gxh5oxemhpgmnmtjptms6fkgfzdd62tad.onion
3. Enter your Client Key:
gT/5w0XKzu5KjrJBuB9aWe/ahmwIHQasfVKTEkRdfcy2HYoNM8y3bnaJNL7dFg2t76RBmZfDzXB000QNQtl9brPbmbrA/L4kG+EBKIQVliVUQP6sEO5MFucnGLpjldzKFT73Bs6m5FKRMjpNcgsWyP+QRBeGAN4vmYyOEtriif+Sh/NYQGwcDr917DCtm6Gk3om2ygmLEv0qOwMKhzRlNPSonz6NhClqCKPYfhrxjQ7+fEqXXePLe535+EPFWCQ0HMzzf1EH9lJ8wPeR09bhgJuu08ub3tp2nPyExnV7lTS/cYSUEsytHUGuUa+H/vPYJbg7XwUlTMdw0iZu32aPZQ==

    Am Ende (nachdem die Platten formatiert worden sind und das NAS neu aufgesetzt wurde )auch bitte alle Portweiterleitungen und upnp am Router aus..sonst passiert das wieder

    Versuchen kannst du es bevor du alles platt machst. Da du die Daten ja nochmal gesichert hast kannst du ggf auch in ein paar Monaten oder Jahren Glück haben dass die Daten entschlüsselt werden können.

    Hat es denn schon einer hier erfolgreich nach dieser Anleitung geschafft, seine Daten damit erfolgreich herzustellen?


    Ich denke es sind ja einige mit diesem Problem, ich bin ja nicht der einzige.


    oder haben die meisten immer alles platt gemacht, ihr Backup wieder aufgespielt und fertig ?

    Dazu müsstest du mal den entsprechenden Thread durchwühlen, ich weiß das nicht mehr, wie da der Stand war...

    Okay….reicht es wenn ich den Inhalt der Ordner nur lösche und dann mit meinen Backup Dateien einfach rüber kopiere oder muss ich die Nas komplett zurücksetzen, so das auch alle Einstellungen weg sind?

    Wenn du dein Backup auch verschlüsseln lassen willst, einfach anstecken und zusehen.


    Du musst das Teil komplett Killen!

    Alle HDs die im NAS waren extern löschen!

    Das NAS neu Initialisieren.

    Es neu einrichten, im config Backup kann die Zeile zum Nachladen des Schädlings wieder drin sein.


    Dann legst du Testdaten drauf, wenn die nicht verschlüsselt werden kannst du das Backup zurück spielen.

    Aber auch hier wäre ich vorsichtig, wenn ich nur eins habe.


    Wird das warum auch immer auch verschlüsselt, ists aus.

    Zitat von Crazyhorse

    Wenn du dein Backup auch verschlüsseln lassen willst, einfach anstecken und zusehen.


    Du musst das Teil komplett Killen!

    Halt!

    Das ist der QLocker-Trojaner. Wenn das NAS neu gestartet wird, ist der nicht mehr aktiv. Da dir Firmware auf den aktuellen Stand gebracht wurde, womit nicht nur ein Neustart durchgeführt wurde, sondern auch die Lücke, durch die die Schadsoftware reingekommen ist, geschlossen wurde, ist QLocker nicht mehr aktiv und es besteht keine Gefahr einer weiteren Verschlüsselung.


    Vorgehen zur Entschlüsselung:

    Wenn du Glück hast, ist der Aufruf von 7z mit dem zur Entschlüsselung notwendigen Schlüssel protokolliert.

    Log dich mit ssh ein und gib an

    Code
    ll $(getcfg SHARE_DEF defVolMP -f /etc/config/def_share.info)/.system/

    Wenn du da ein Verzeichnis findest, dessen Namen aus vier Ziffern besteht (bei mir gibt es das Verzeichnis 3213), dann schau hinein, ob dort Logdateien stehen. Hier werden Aufrufe von 7z protokolliert, und mit etwas Glück auch derjenige zum Verschlüsseln durch QLocker, und der enthält dann den individuellen Schlüssel zum Entschlüsseln.


    Falls das nicht von Erfolg gekrönt ist:

    Versuch, mit photorec zu retten, was zu retten ist. Siehe die schon weiter oben verlinkte Anleitung, insbesondere den Teil für fortgeschrittene Benutzer, oder über den Qnap-Helpdesk.


    Solange du die Wiederherstellung mit Photorec nicht beendet hast, solltest du möglichst nichts auf dem Qnap neu speichern, da dadurch die Chancen für photorec sinken.

    Hallo und Guten Abend Anthracite,


    leider bin ich auch vom Qlocker betroffen. Ich finde bei mir das Verzeichnis 3213 und habe auch zwei log Dateien. An welcher Stelle hätte ich jetzt die Chance den Schlüssel zu finden?

    Ja, genau in den beiden Log-Dateien. Da sollten die Aufrufparameter von 7z protokolliert werden.


    Wenn du die nicht verstehst, dann zeige mal einen Teil der Dateien (kann mit cat Dateiname angezeigt werden). Kann natürlich sein, dass du Pech hast und bei dir nicht die Version drauf war, die den Aufruf protokolliert.

    Hier mal ein Teil der LOG Datei. Hätte gedacht, das der fett markierte Part der Schlüssel sein könnte.


    Ja, das sieht gut aus, 7a04c4b8265441a1a5e018c48daf8d9d sollte der Schlüssel sein.


    Du kannst damit das entschlüsseln einer einzelnen Datei einmal ausprobieren.


    Irgendwer hat damals (im April '21) ein Programm geschrieben, mit dem man bei Eingabe des Schlüssels alle Dateien wieder entschlüsseln konnte.

    Zitat von Anthracite

    Ja, das sieht gut aus, 7a04c4b8265441a1a5e018c48daf8d9d sollte der Schlüssel sein.

    und genau mit dem Schlüssel hab ich schon mal versucht eine Datei zu entschlüsseln. Gibt bei 7zip immer ne Fehlermeldung "falscher Code";(