Ransomware "Deadbolt" hat mein System verschlüsselt

Bis letzte Woche gibt es zahlreiche Berichte von Betroffenen, denen nach Zahlung der Entschlüsselungscode zugesandt wurde.

Seit einigen Tage häufen sich im US-Forum aber Berichte, wonach auch nach Zahlung des Lösegelds nichts mehr passiert ist.

Gruss

QNAP Forum.

Gruss

Nach neuesten Infos gibt es wohl doch noch Hoffnung das es einen Dechiffrierschlüssel gibt.

Gruss

Man liest ja immer wieder, dass trotz Schlüssel die Daten auch garnicht oder nur teilweise wieder hergestellt werden können. Wie sieht es da bei Deadbolt aus?

SirKlaus

Dir ist schon bewusst, dass solange alle schön brav zahlen, dies mit den Kryptotrojanern nie ein Ende haben wird. So ist dies einfach zu lukrativ für die Hersteller. Ich meine, mir tut dies ja nicht weh, denn meine NAS laufen in einem vom Internet getrennten Netzwerk.

Ich hab ja die Hoffnung das Leute aus Erfahrung klug werden. Wobei ja im Englischen Topic das erste deadbolt Opfer ein vorheriges Qlocker Opfer war (mega ooof)

Oh, ein Fan. Der ist auf dem Geschmack gekommen.

Schon klar, wie wahrscheinlich ist es, dass man ein 2. Mal mit einer Malware verseucht wird. Wenn man nicht entsprechend handelt gleich groß wie bei 1. Mal, also 100%.

Hallo

Weiss jemand, wohin die Erpresser-Seite verschoben wird, wenn die Firmware updatet wird? Mein NAS ist auch verschlüsselt, habe das zu spät festgestellt und die Firmware updatet - jetzt kann ich mich zwar anmelden, auf die Daten zugreifen geht auch, sind aber halt alle verschlüsselt. Ich kann nun mit dem Erspresser nicht mal in Kontakt treten, weil ich keine Adresse habe...

Danke für die Info.

Ticket beim Support aufmachen, die konnten in einigen Fällen weiterhelfen (nicht in allen!).

Gruss

Helfen da die Snapshots nicht weiter?

Dazu müsste man erstmal Snapshots haben

Und dann weiß ich nicht ob es Deadbolt oder Qlocker (oder beide) war, der die Snapshots einfach löscht...

Hallo

Ich habe das Script für die Wiederherstellung der Erpresser-Seite erhalten. Nun findet dies aber keine index.html, wie beschrieben. Hat jemand dies auch schon gehabt?

Danke und Gruss

Ich probiere ja gerne und öfter mal was Neues aus. Aber Erpresser-Trojaner? Nö, nein Danke.

Es ist bekannt, dass das "Entschlüsseln" des öfter nicht oder nur teilweise funktioniert. Würde nur schon deshalb nie zahlen (mal abgesehen davon, dass dieses Elend so nie ein Ende findet, solange die ein Bombengeschäft damit machen).

Möglicherweise hängt dies mit Deinem ungewollten Firmware-Update zusammen.

Ehrlich gesagt verstehe ich den blinden Aktionismus nach einem Ransomwarebefall sowieso nicht!

Warum ein FW Update? Was will man dadurch erreichen?

Die allererste Maßnahme wäre IMHO das NAS zu isolieren!

Dann würde ich mich ausführlich umsehen, ob es Lösungen gibt.

Und erst dann würde ich das NAS anfassen und versuchen zu retten, was zu retten ist!

Aber alles wäre überflüssig, hätte man ein vernünftiges Backup!

Gruss

Zitat von FSC830

Ehrlich gesagt verstehe ich den blinden Aktionismus nach einem Ransomwarebefall sowieso nicht!

Warum ein FW Update?

Zitat von backpacker74

Mein NAS ist auch verschlüsselt, habe das zu spät festgestellt und die Firmware updatet

Nicht Aktionismus, sondern einfach nur Pech und schlechtes Timing. Also das mit Firmware-Update. Der Befall als solches steht auf einem anderen Blatt.

Ok, in diesem Fall. Gab aber auch schon oft genug andere Aussagen.

Gruss

Vielleicht hätte - wie ich dann und wann so schon ein paar Mal empfohlen habe - vor dem Update ein Blick in die Logs und das Kontroll-Zentrum schlimmeres verhindern können. Aber hinterher weiß man es immer besser.

Aber was nun machen? Wo die index.html hin ist ... Vermute eben, die ist dem Firmware-Update zum Opfer gefallen.