Vorgehen nach Deadbolt Befall

  • Hallo an alle,

    ich bin nun auch betroffen. Ich habe auch viele Informationen dazu gelesen. In diesem Forum, und in anderen internationalen Foren. Ich habe auch den Service von QNAP kontaktiert. Alles hat mich nicht wirklich weitergebracht.

    Ja, die NAS (TS-453A) hatte nicht das neuste Update und war auch zum Netz offen. Mein Fehler. Das Thema Deadbolt und Qlocker ist komplett an mir vorbeigegangen.


    Das NAS habe ich sofort, nachdem ich den Befall von Deadbolt gemerkt habe, heruntergefahren. Somit hoffe ich, dass noch nicht alle Dateien verschlüsselt sind. Ich habe dann den Support von QNAP kontaktiert. Die Antwort ist, dass ich selber schuld bin und ich ja das Geld bezahlen könnte???! Dann gab es noch diverse Links auf englische Webseiten. Eine Hilfe vom QNAP-Support hätte ich mir anders vorgestellt.


    Wie gehe ich jetzt vor? Wenn ich die NAS starte weiß ich, wie ich mich wieder anmelden kann, ohne die Startseite von Deadbolt zu sehen. Wie kann ich dann schnell Deadbolt abschalten, ohne dass dieser noch zusätzlich weiter Daten verschlüsselt. Laut QNAP-Support geht das nicht, obwohl ich das nicht glauben kann. Man muss doch Prozesse sofort abschalten können. Was mache ich danach? Die Firmware auf die neuste Version Updaten? Wie kann ich Deadbolt auf der NAS isolieren/löschen? Dann versuchen mit Qrescue Daten wieder herzustellen? Ich habe ein Backup, möchte die Festplatte aber nicht anschließen, bevor ich nicht sicher bin. Oder gleich alles formatieren?


    Hier nun meine Fragen, die sich ja aus den oben genannten Angaben ergeben:

    1) Wenn ich das NAS wieder hochfahre und mich über den Link angemeldet habe, wie kann ich umgehend sicherstellen, dass keine weiteren Dateien mehr verschlüsselt werden.

    2) Sofort die neue Firmware drauf?

    3) Entfernen der Deadbolt Software/Dateien. Mit welchen Mitteln?

    3) Alle Verbindungen zum Internet trennen!

    5) Es mit Datenrettung mit Qrescue versuchen oder gleich die NAS neu aufsetzen. Ein Backup habe ich (2 Monate alt).


    Wenn ich hier nach etwas frage, was schon mal beantwortet wurde, tut es mir leid. Aber eine genaue Vorgehensweise habe ich nirgendwo gefunden. Und, ich bin Laie. Von SSH habe ich keine Ahnung.


    Ich freue mich auf Eure Rückmeldungen. Gerne auch Links, wenn ich was übersehen haben sollte.

    Vielen Dank.

    Gruß

    Arnold

  • 1) Nach neustart ist deadbolt inaktiv..keine Dateien werden mehr verschlüsselt

    2) Vom Netz nicht mehr erreichbar machen(Port Weiterleitungen und upnp abstellen im Router)..alles Andere ist jetzt egal

    3) NAS neu aufsetzen ...geht kein Weg drann vorbei (mögliche Backdoors neuer Varianten)

    4) s.2)

    5) Falls Qrescue versucht werden soll, ist das maximale Priorität, jede Nutzung des NAS vorher verringert die Chancen der Datei Wiederherstellung

  • Mit dem Backup bist du schon mal besser als so manche andere. Ist das backup in Ordnung, oder hat es während des Deadbolt-Angriffs am NAS gehangen?


    In Ergänzung zu Dolbymans Beitrag:

    - Die Dateien aus dem Backup haben Vorrang. Überall dort, wo sich seit der Erstellung des Backups nichts mehr geändert hat, die Datei aus dem Backup nehmen. Dateien auf dem NAS können durch den Angriff beschädigt sein, und bei den Dateien, die QRescue findet, ist eine Beschädigung relativ wahrscheinlich.

    - Je nachdem, wie lande Deadbolt Zeit zum Verschlüsseln hatte, sind vielleicht noch nicht alle Dateien verschlüsselt. Schau nach, ob du noch was wichtiges findest, bevor du das Ding plattmachst.

    - Qrescue zuerst versuchen, wie Dolbyman schon schrieb, weil der Weiterbetrieb des NAS die Chancen verringert.

  • Danke auch dir für den Tipp. Nein, die Festplatte mit dem Backup hing nicht an der NAS. Die letzte Sicherung ist leider ein paar Tage her, aber das ist ja das kleinere Übel.

    Wichtig war für mich zu Wissen, dass Deadbolt durch einem Neustart gestoppt wird. Bzw., dass keine weiteren Dateien mehr verschlüsselt werden.

    Ich werde mich dann mit dem alternativen Link auf die NAS einloggen und dann mal eine Schadensanalyse machen.

    Wenn ich euch richtig verstehe soll ich erst nach noch nicht verschlüsselten Dateien suchen und die wegsichern. Dann soll ich QRescue drüber laufen lassen. Und dann erst alles platt machen und neu aufsetzen. Oder soll ich auch erst mal die Firmware aktualisieren und den Malware Remover drüber laufen lassen?


    Bei QRescue muss ich mich jetzt erst mal einlesen. Wenn ich es richtig verstehe benötige ich eine externe Festplatte mindestens in der Größe der Daten die auf dem NAS liegen. Werde ich schon irgendwie hinbekommen.


    Ich halte euch auf dem Laufenden.

  • Wie gesagt...qrescue hat vorrang..da ist die aktuelle Firmware egal (nur halt das NAS vorher aus dem Netz nehmen)

  • Hallo zusammen,

    mein NAS wurde vor einer Woche ebenfalls mit der ransome deadbolt befallen. Leider habe ich eszu spät bemerkt so dass alle Dateien mit Ausnahme von gespeicherten Mails befallen wurden.

    Zu guter letzt habe ich bei der letzten Sicherung die ext. Platte nicht getrennt so dass auch die Sicherung verschlüsselt wurde. Vom QNAP support habe ich auch nicht wirklich Unterstützung erhalten.

    Bisher wurde mir geraten auf keinen Fall die Forderung von 0,05 Bitcoin zu zahlen - eine sichere Datenrettung ist dadurch gegeben.

    Von einer Datenrettungsfirma wurde mir diese für € 3T bzw. € 5T angeboten. (Dies für ca. 1 TB private Dateien!)

    Hat jemand einen Rat oder kennt eine seriöse Datenrettungsoption.

    Es sind auch hunderte von privaten Fotos verschlüsselt und das ist ja doch ein Teil seines Lebens.


    Ich danke Euch

  • Die Datenrettungsfirma wird die 1135Euro Lösegeld bezahlen .. der Rest wird als Service einbehalten .. so geht das (weil zaubern koennen die auch nicht)


    Also außer Zahlen oder auf die Daten verzichten gibts nix ..

  • Die Datenrettungsfirma wird die 1135Euro Lösegeld bezahlen .. der Rest wird als Service einbehalten .. so geht das (weil zaubern koennen die auch nicht)

    ist das inzwischen wirklich so ein doppel "Geschäft"?


    Früher war es ein Glücksfall, ob man nach Zahlung wirklich wieder seine Daten bekommen hat.

  • Schon des öfteren so gelesen .. aber wie gesagt .. für 3000 Euro reisen die nicht in die Zukunft und benutzen nen UltraSuperMegaQuanten (™) Computer um die Verschluesselung zu knacken. (oder ggf. in die Vergangenheit um mal eben ein Backup zu ziehen) 8o

  • Sicher, man liest auch immer öfter von Leuten, die das Lösegeld bezahlen, aber ihre Dateien dann doch nicht entschlüssln können.

    Ich würde das Lösegeld nicht zahlen, ich gehöre zu der Fraktion Menschen, die niemals ein Lösegeld zahlen würde. Egal für wen oder was.

  • Du gehörst ja auch zu denen die ein aktuelles Backup haben und sich notfalls einfach ne neue Schwiegermutter beschaffen :S

  • Komisch, ich habe eine Mail vom Qnap Service erhalten in der mir die Möglichkeit der Bezahlung der 0,05 Bitcoin empfohlen wird, bzw. als Option genannt wird.

    Mod: Nicht deklariertes Zitat ohne Quellenangabe ... korrigiert! :handbuch::arrow: Forenregeln beachten und Die Zitat Funktion des Forums richtig nutzen

    Zitat von QNAP Support

    Wenn sie über ein Backup verfügen, können sie Den Virus in die Quarantäne stecken und das Backup aufspielen. Eine andere Möglichkeit wäre das Geld oder Bitcoin zu bezahlen, um den Key zu bekommen.


    Bei feelgood hat das Support-Team ja explizit darauf hingewiesen nicht zu bezahlen.


    Ich hatte ja schon oben erwähnt, dass ich nicht ganz mit dem Support zufrieden bin.

    Es wäre ja mal gut, wenn es eine einheitliche Linie bei QNAP gibt. Oder ein wirklicher Workflow angeboten wird. Ich habe jetzt diverse Links vom Support bekommen, die auf verschiedene internationale Seiten linken, aber alle nicht von QNAP betrieben werden. Ich habe mir die teilweise mal angeschaut. Ich müsste mich stundenlang durch die Informationen kämpfen, die ich dort finde, und verstehen tue ich nur die Hälft.


    Status bei mir: Ich warte auf eine bestellte große Festplatte. Die Anleitung von QRescue besagt, dass ich das 1,5fache bzw. 2fache der auf der NAS belegten Kapazität benötige. Solch eine große Platte hatte ich jetzt nicht mehr im Schrank.

  • Mich hat es heute erwischt und das, obwohl ich das NAS nur wenige Stunden über Port 443 zum externen, dezentralen Backup offen hatte. Naja, initialisiert ist das NAS schon, Restore der Daten von einem sauberen Backup läuft schon.

    Überraschend war, dass ich die aktuellste (nach qsa-22-19 (Stand 26.08.22) eigentliche sichere) Firmware 5.0.0.2131 und alle Apps auf aktuellem Stand hatte.


    Ich habe mal ein Support-Ticket geschrieben, mal sehen ob überhaupt eine Reaktion kommt:


    Zitat von meinem Ticket an den QNAP Support

    "Heute wurde ich von Deadbolt angegriffen, obwohl ich Firmware 5.0.0.2131 und alle Apps auf dem aktuellen Stand hatte. Aus diesem Grund sollten Sie Ihren Rat qsa-22-19 auf ALLE aktuellen Firmwares aktualisieren und über ECHTE Lösungen für IHRE Probleme nachdenken. Ich denke, der Ratschlag, alle beworbenen und verkaufssteigernde Dienste vom Internet abzuklemmen, zeugt von Unfähigkeit.

    Die Kunden werden Ihnen davonlaufen, wenn nichts passiert.

    Ich benötige keine weitere Unterstützung, da ich zuverlässige Backups habe, aber Sie sollten aufwachen!"


    Viele Grüße

    Vanished

  • Ich denke, der Ratschlag, alle beworbenen und verkaufssteigernde Dienste vom Internet abzuklemmen, zeugt von Unfähigkeit.

    Nein..das Einzige was man hier machen kann, ist keine Ports weiterzuleiten..Ende, Aus, Schicht im Schacht. Da hilft kein Poltern oder Zetern..NAS raus aus dem Netz

  • Ist ja kein Poltern oder Zetern gegenüber der Community und den bisherigen Beiträgen hier.


    Vielleicht wurden die Anführungszeichen übersehen. Zwischen den Anführungszeichen steht der Text des Tickets an Qnap. Und da bleibe ich dabei. Qnap verdient Geld damit, die NAS mit den von beworbenen Fähigkeiten zu verkaufen. Da sollte Qnap es auch hinbekommen, die Webdienste sicher zu bekommen anstatt in dem genannten Supportartikel Anwender mit aktueller Firmware in falscher Sicherheit zu wiegen - und an anderer Stelle eben zum Abschalten von 3/4 der Funktionalität der Geräte aufzufordern.


    Viele Grüße

    Vanished

  • Autobauer bewerben Ihre Autos auch immer mit ganz tollem Verbrauch, ich habe es noch NIE nahe in diese Region gebracht.


    Lernt man das nicht mehr... dass man der Werbung nie glauben darf?

  • Ist aber schon ein Unterschied, ob das Auto fährt und "nur" etwas mehr verbraucht oder ob es nach dem Kauf nicht in der Lage ist, überhaupt zu fahren.

    Eine gewisse Fehlertoleranz habe ich ja auch, aber wenn man alles einfach nur laufen lässt, dann kann man sein Geld auch verschenken/spenden.


    Viele Grüße

    Vanished

  • Jeder Vergleich hinkt. Aber bleiben wir dabei: das NAS ist noch vollumfänglich nutzbar! Neuinitialisieren und Daten aus dem Backup holen - fertig!

    Ein fehlendes Backup liegt nicht in QNAPs Verantwortung!


    Gruss

  • Wir sind ja inhaltlich gar nicht so weit voneinander entfernt. Funktioniert es weiter? Ja! Vollumfänglich? Nein! Ein Teil der vorhandenen (und bezahlten) Funktionen können nicht genutzt werden - und da kommt es sehr darauf an, zu welchem Zweck man das Gerät gekauft hat. Dieses Problem hat Qnap nunmal seit einem halben Jahr nicht in den Griff bekommen - und gibt dazu noch heute falsche Informationen dazu heraus.


    Viele Grüße

    Vanished