Ist nicht ggf. alles was in den " steht der Key?
Also mal komplett versuchen: -p7a04c4b8265441a1a5e018c48daf8d9d'"
alle meine Daten sind mit 7Zip verschlüsselt
- prinzluca
- Unerledigt
-
-
und genau mit dem Schlüssel hab ich schon mal versucht eine Datei zu entschlüsseln. Gibt bei 7zip immer ne Fehlermeldung "falscher Code"
Falls du es nicht hinkriegst, kannst du mir die Datei share/CACHEDEV1_DATA/06 Musik/1//1) Depeche Mode - Enjoy The Silence (David Dieu dreaming remix).mp3.7z einmal zukommen lassen (falls per Email, dann eine PN vorher), so dass ich mein Glück versuchen kann (ohne Erfolgsgarantie)?
ich habe auch den Ordner 3213 gefunden - wie kann ich denn den Ordner öffnen?
Ganz einfach:
Codecd $(getcfg SHARE_DEF defVolMP -f /etc/config/def_share.info)/.system/3213 llund wenn du den Inhalt der Dateien ansehen willst, nach dem cd-Befehl entweder (seitenweise anzeigen)
Codemore *.logoder alles auf einmal
Codecat *.log -
Ich würde erwarten, das das Passwort wie folgt lautet:
Code7a04c4b8265441a1a5e018c48daf8d9d'" -
Hi - Danke für eure Hilfe
Bin bis zur .log Datei gekommen.
Der cat bzw. more 2.log Befehl funktioniert nicht --> ist eventuell die Datei leer?
-
Bei 0 Byte kannste davon ausgehen
-
Falls du es nicht hinkriegst, kannst du mir die Datei share/CACHEDEV1_DATA/06 Musik/1//1) Depeche Mode - Enjoy The Silence (David Dieu dreaming remix).mp3.7z einmal zukommen lassen (falls per Email, dann eine PN vorher), so dass ich mein Glück versuchen kann (ohne Erfolgsgarantie)?
Hallo Anthracite,
da ich ganz neu hier bin, wie kann ich eine PN erstellen an Dich?
-
Oben rechts, Konversationen.
Gruss
-
Hi zusammen, ich bin auch von den 7z Verschlüsselung betroffen.
Alle Dateien auf den Qnap sind Enten auf .7z.
Allerdings kann ich die Dateien in dem Programm Betterzip noch öffnen.
Versteh ich nicht so ganz.
Bevor ich das NAS zurücksetzte und einen älteren Datenbestand einspiele, kurz die nachgefragt, kann es sein, dass der Prozess noch nicht abgeschlossen ist, oder wie macht sich das bemerkbar.
Code
Alles anzeigenLast login: Sun Feb 27 18:02:45 on ttys000 jorgmuller@MBP-von-Jorg ~ % ssh admin@IP-Adresse admin@IP-Adrese's password: <l $(getcfg SHARE_DEF defVolMP -f /etc/config/def_share.info)/.system/ total 1.4M drwxr-xr-x 14 admin administrators 4.0K 2022-02-27 17:03 ./ drwxrwxrwx 45 admin administrators 4.0K 2022-02-27 18:16 ../ drwxrwxr-x 2 admin administrators 4.0K 2021-12-03 19:11 3213/ drwxr-xr-x 2 admin administrators 4.0K 2021-11-30 19:10 bluetooth/ drwxr-xr-x 9 admin administrators 4.0K 2022-02-27 17:02 data/ -rw-r--r-- 1 admin administrators 379 2022-02-27 17:03 dircfg.json -rw-rw-rw- 1 admin administrators 767 2022-02-27 17:03 idbserver.conf -rw-r--r-- 1 admin administrators 428K 2022-02-27 03:00 kmsg_backup.1.gz -rw-r--r-- 1 admin administrators 424K 2022-02-14 06:04 kmsg_backup.2.gz -rw-r--r-- 1 admin administrators 420K 2022-01-27 06:04 kmsg_backup.3.gz drwxr-xr-x 2 admin administrators 4.0K 2022-02-19 15:28 log/ drwxr-xr-x 2 admin administrators 4.0K 2022-02-19 14:53 mediaconverter/ -rw-rw-rw- 1 admin administrators 109 2022-02-27 17:02 mlindexdir.json drwxrwxrwx 2 admin administrators 4.0K 2022-02-19 15:28 music/ -rw-r--r-- 1 admin administrators 0 2022-02-19 15:27 MyDB -rw-r--r-- 1 admin administrators 0 2022-02-19 15:28 mymediadbserver_crit.log drwxrwxr-x 2 admin administrators 4.0K 2022-02-17 10:12 ncd/ drwxr-xr-x 2 admin administrators 4.0K 2022-02-19 14:53 qtranscode/ drwxr-xr-x 3 admin administrators 4.0K 2021-11-30 19:08 root_cert/ drwxrwxrwx 3 admin administrators 4.0K 2022-02-19 18:34 thumbnail/ drwxr-xr-x 3 admin administrators 4.0K 2022-02-27 17:08 tmp/ drwxrwxrwx 2 admin administrators 4.0K 2022-02-27 17:06 wfm/ -rw-rw-rw- 1 admin administrators 64 2022-02-19 14:53 xcodesvr.xmlRatlos???
Danke.
-
Du bist noch ein Verzeichnis zu hoch.
Bitte eingeben
Codell $(getcfg SHARE_DEF defVolMP -f /etc/config/def_share.info)/.system/3213 -
ok, kannst du mir ev. die Reihenfolge der Code schicken, was ich machen sollte:
Wenn ich den Code:
ll $(getcfg SHARE_DEF defVolMP -f /etc/config/def_share.info)/.system/3213
kommt:
Codedrwxrwxr-x 2 admin administrators 4.0K 2021-12-03 19:11 ./ drwxr-xr-x 14 admin administrators 4.0K 2022-02-28 06:04 ../ -rw-rw-r-- 1 admin administrators 0 2021-12-03 19:11 2.log -rw-rw-r-- 1 admin administrators 0 2021-12-03 19:11 2.ps.logWas bedeutet das, wenn dort 0Byte steht?
Die Daten sind alle als .7z gespeichert, allerdings kann ich die Daten mit Betterzip oder Unarchiver öffnen und lesen. bin ich jetzt von dem Mist betroffen, gibt es ein tool, welches das ganze Rückgängig macht, mir scheint die Daten sind nicht verschlüsselt.
-
Was bedeutet das, wenn dort 0Byte steht?
Dann sollte die betreffende Datei leer sein.
Gruss
-
ok, aber was wäre jetzt zu tun?
Das NAS neu initialisieren und alten Backup Bestand zurückspielen, und die 7z Dateien auf eines externen HDD sicher?
Oder gibt es eine andere Möglichkeit?
-
Ich habe mich nur rudimentär damit befasst, daher solltest Du auf eine Antowrt von Anthracite warten.
Soviel ich mitbekommen habe, sollte man die 7z Dateien auf ein anderes Medium kopieren. Wenn noch genügend Platz auf dem Volume war, konnte man mit einer Recovery Software gelöschte Daten wieder herstellen.
Denn die Malware hat die Datei kopiert, dabei verschlüsselt und dann das Original gelöscht. Soweit mein Kenntnisstand, ist aber wie gesagt nichts genaues, warte ab, bis sich Anthracite meldet, bevor was schief läuft.
Gruss
-
ok, danke.
-
Was bedeutet das, wenn dort 0Byte steht?
Das heißt, dass die Datei leer ist und nichts geloggt wurde. Auf dem Wege kommst du nicht an den Schlüssel zum entschlüsseln.
Das Skript, was den Aufruf inklusive der Parameter mit Schlüssel loggt, wurde von Qnap kurzfristig bei der ursprünglichen QLocker-Attacke vom letzten April ausgeliefert. Vermutlich haben sich die Kriminellen mittlerweile daran angepasst und löschen die Log-Datei oder sie rufen direkt das originale 7z auf, womit gar nicht erst was geloggt wird. Deshalb hat es bei allen aktuellen Fällen auf diesem Wege leider keinen Schlüssel zum Entschlüsseln gegeben.
ok, aber was wäre jetzt zu tun?
Das NAS neu initialisieren und alten Backup Bestand zurückspielen, und die 7z Dateien auf eines externen HDD sicher?
Wenn du ein altes Backup hast: Ja, genau so.
Wenn dein Backup reichlich alt ist oder wenn gar kein nutzbares Backup vorliegt, dann empfehle ich, zuerst photorec zu versuchen (Siehe Link aus Beitrag #14), und zwar bevor irgendetwas anderes gemacht wird.
Die 7z-Dateien brauchst du natürlich nur für die Dateien zu sichern, für die kein oder kein aktuelles Backup vorliegt. (Die Dateien sind aber wohl nicht so wichtig? Beim nächsten Defekt der Festplatte wären sie ohnehin weg gewesen.)
-
hey danke.
ich habe das Qnap jetzt neu initialisiert. Das Backup war relative aktuell mit dem Bestand auf den jeweiligen Rechnern und der iCloud vermerzbar.
Über welchen Dienst sind die Hacker ins Netz reingekommen?
-
ber welchen Dienst sind die Hacker ins Netz reingekommen?
Zusammengefasst:
Photo Station, QTS Webserver, QVPN, exponierte QTS Admin Oberfläche im WAN.
Also alles an Zugriffen über WAN kann zu einer Kompromittierung führen.
Willst du also in Zukunft von extern auf das NAS zugreifen können, ohne große Risiken einzugehen, verwende einen externen VPN Router und wenn das ein Pi4 mit Wireguard Installation ist. Hast du eine Fritzbox, wird das für Clients in Zukunft auch Einzug erhalten.
-
@Crasyhorse
Sorry, ich bin in der Thematik kein Experte: Könntest Du die Aussage Deines letzten Satzes noch mal für Laien verständlich umformulieren?
-
AVM integriert in Zukunft Wireguard für einfache VPN Zugriffe von mobilen Geräte ins Heimnetz:
https://avm.de/fritz-labor/fri…bau-von-vpn-verbindungen/
Sprich, kurz in der Fritz einrichten, App installieren, QR Code Scannen und mit dem Handy den Tunnel aufbauen.
Auf einem PC wird dann die exportiere Datei importiert und dann ist der VPN Client startklar.
Einfacher gehts kaum.
-
Einfacher gehts kaum.
nur das Wireguard noch nicht in allen versionen drin ist
