Vorgehen nach Deadbolt Befall

    Zitat von Vanished

    Ein Teil der vorhandenen (und bezahlten) Funktionen können nicht genutzt werden

    Welche wären das Deiner Meinung nach?


    Gruss

    Ich bin Hobbyfotograph und stelle denjenigen, für die ich Fotos mache (Feiern, Feste, Familien), die Bilder als Alben über Photostation zur Verfügung und später, wenn sie ausgewählt haben, über persönliche Freigabeordner in QFile die Daten zum Download bereit.

    Ohne Zugriff von außen ist das Gerät daher für mich ziemlich nutzlos...


    Viele Grüße

    Vanished

    nextcloud via container/Vm installieren..alles gratis und es ist wieder nutzbar


    Und bei Befall der VM ist nicht das ganze NAS verschlüsselt...

    Zitat von Barungar

    Autobauer bewerben Ihre Autos auch immer mit ganz tollem Verbrauch, ich habe es noch NIE nahe in diese Region gebracht.


    Lernt man das nicht mehr... dass man der Werbung nie glauben darf?

    Ist es nicht traurig, dass man in der EU als Konsument so gut wie keinen Schutz hat? Zumindest vor solcher Werbung. Genauso finde ich als Konsument es als Frechheit, wie klein die Aufschriften auf der Produktverpackung ist. Das kann doch kein Mensch lesen. Und das Ganze ist bei uns zumindest erst so, seitdem wir in der EU sind.


    Die EU ist einfach nur ein Lobbyist Verein für die Wirtschaft. Der Konsument fällt unten durch.


    Wen ein Privatmann solche Lügen verbreitet, wird er verurteilt. Wen die Wirtschaft mit Werbung solche Lügen verbreitet, passiert genau gar nichts. Nein, das stimmt auch nicht ganz, den dann bekommt der Konsument selbst die Schuld, weil er solchen Versprechen ja glaubt.

    Das war leider auch schon vor der EU so.

    Man denke nur an "...wäscht weißer als weiß".


    In der Nahrungskette der Werbung steht der Verbraucher leider ganz unten. :(


    Gruss

    Da gebe ich dir recht. Das war vorher auch schon so. Aber nicht so schlimm wie seit dem EU-Beitritt. Vorher gab es bei uns Vorschriften, die eingehalten werden müssen.


    Seit dem EU-Beitritt gelten da viel lockere Vorschriften und die dafür in der ganzen EU. Es braucht nur ein Land mit lascheren Vorschriften und jede Firma kann ihr Produkt dann in der EU auf den Markt bringen.


    Aber das spielt ja eh keine Rolle mehr, den in der EU selbst wird ja nicht mehr viel selbst erzeugt. Sieht man ja auch seit Corona. Der neueste Trennt ist vollmundig, mit dem Slogan Designed in Germany oder ähnlichem zu werben. Und erzeugt wird es in China. Ganz billig und dann ganz teuer bei uns verkauft.


    Ich habe ja noch die Hoffnung, dass die EU das ganze Thema mal überdenkt, aber so langsam wie sie ist dauert das noch Jahrzehnte und dann gibt es mich schon vielleicht nicht mehr.

    Was Langsameres als die EU habe ich in meinem ganzen Leben noch nicht gesehen.


    So jetzt aber gute Nacht.

    Klar ist das Thema mit der Werbung ein Unding, mich interessiert es aber herzlich wenig, ich weiß ja dass man nicht alles glauben darf und hinterfragen und überprüfen muss. Dafür finde ich es immer wieder amüsant zu sehen, wie man versucht uns Bären aufzubinden.


    Bei solch Ransomware wie Deadbolt sieht es ganz ähnlich aus: mir egal, ich weiß ja wie ich mich schütze. Ich finde es keinesfalls amüsant, wenn ich lese dass jemand betroffen ist (wohl aber wenn die Gefahr bekannt ist und man trotzdem fahrlässig handelt), aber ich finde es sehr beruhigend, dass es den bösen Buben so einfach gemacht wird und sie dafür entlohnt werden... Das bedeutet nämlich auch, dass sie keine neuen, schweren Geschütze auffahren müssen, die mich dann auch erwischen könnten.

    :)

    Vanished

    Zitat von Vanished

    Ich bin Hobbyfotograph und stelle denjenigen, für die ich Fotos mache (Feiern, Feste, Familien), die Bilder als Alben über Photostation zur Verfügung und später

    Siehst Du und das offene Bereitstellen der Photo Station war "Dein Fehler".

    Laut dem neusten Security Advisory werden von Deadbolt aktuell QNAPs angegriffen, die die Photo Station "öffenen".

    DeadBolt Ransomware - Security Advisory
    QNAP designs and delivers high-quality network attached storage (NAS) and professional network video recorder (NVR) solutions to users from home, SOHO to…
    www.qnap.com

    Es soll aber auch schon einen Fix - ein Update der Photo Station (?) - geben.

    Ja, das letzte Update ist heute erschienen. Ist ein Sicherheitsfix, aber es wird nicht näher spezifiziert.

    Photo Station - Release Notes for Apps - QNAP
    QNAP entwickelt und liefert hochqualitative Network Attached Storage Systeme (NAS) und professionelle Netzwerk Video Rekorder (NVR) für Anwendungen im…
    www.qnap.com

    Da war QNAP ausnahmsweise mal fix mit dem Patch.

    Ist ja auch erst die 3.(?) Deadbolt Welle. ?(


    Und die wievielte Malware in den letzten 3 bis 4 Jahren?

    Die 5. oder 6. oder noch mehr?


    Deadbolt, Qlocker, Qsnatch, ...???


    Und es würde mich sehr überraschen, sollte es die letzte gewesen sein.


    Photostation, Videostation, x- Station und y-App, da ist sicherlich noch reichlich Potential für Malware. :rolleyes:


    Daher: NAS nicht offen ins Internet!!!


    Gruss

    Hallo,


    mich hat es leider auch erwischt. Als ich beim einloggen auf dem NAS die Deadbolt Seite gesehen habe, habe ich das NAS über die alternative Möglichkeit ausgerufen und mich eingeloggt, dann habe ich in Filestation mal geschaut, da waren eigentlich alle Dateien, die ich auf die schnelle angeschaut habe noch nicht verschlüsselt.
    Dann habe ich es ausgeschalten und erstmal vom Strom genommen.


    Ist es denn sicher, wenn ich es jetzt wieder einschalte, dass keine weitere verschlüsselung stattfindet und ich so in Ruhe schauen kann, was ggf. verschlüsselt wurde?

    Es steht zwar hier, dass es so sein soll, aber so richtig kann ich mir das nicht vorstellen, wieso sollte die Software einfach aufhören und nicht von alleine wieder starten?

    Kann ich das irgendwie überprüfen nach dem Starten, ob sie wirklich aus ist

    Bin Windows Nutzer und habe von Linux und SSH nicht wirklich Ahnung.


    Backup der wichtigsten Daten habe ich online bei Hidrive tagesaktuell, da ist nichts verschlüsselt bisher gesehen und die restlichen Daten habe ich das meiste gesichert, leider nur etwas älter, aber sollten sich wieder beschaffen lassen, nichts persönliches.


    Würde mich freuen, wenn ihr mir weiter helfen könntet. Vielen Dank.

    Mod: Unnötiges Volltextzitat gekürzt! :handbuch::arrow: Forenregeln beachten und Die Zitat Funktion des Forums richtig nutzen

    Zitat von Barungar

    Laut dem neusten Security Advisory werden von Deadbolt aktuell QNAPs angegriffen, die die Photo Station "öffenen".

    https://www.qnap.com/en-au/security-advisory/qsa-22-24

    Ja, das SA erschien ca. eine Stunde nachdem ich das oben zitierte Support-Ticket erstellt hatte - bestimmt nur ein Zufall 8o.

    Mein Fehler war vor allem, dass ich dem SA vom 26.08. Glauben geschenkt habe, dass ich mit der FW 5.0.0.2131 "sicher" wäre. Die Deadbolt-Angriffe waren mir ja bekannt und mein System daher permanent auf aktuellem Stand. Mehr kann man nun mal vor der bestimmungsgemäßen Nutzung des Geräts nicht machen.

    Das NAS nicht ins Netz ist zwar schlussendlich die Lösung, dann sollte Qnap die Geräte aber nicht zu diesem Zweck verkaufen und die dazu vertriebene Software zurückziehen.

    Schlussendlich ist ja nix passiert - bis darauf, dass das Rückspielen der Daten immer noch andauert (mehr als 6 TB in kleinen Dateien dauert halt...)


    Viele Grüße

    Vanished

    Es wurde - zuletzt heute im US Forum - berichtet, das nach dem Reboot der Malware Prozess nicht wieder gestartet wurde.

    Herausfinden kannst Du das nur auf der Linzx Shell.

    Der Befehl ist ps -ef, wenn ein Prozess mit einer Nummer angezeigt wird, dann ist Deadbolt vermutlich aktiv.


    Wenn Du alle wichtige Daten gesichert hast, dann würde ich nicht lange fackeln, alles platt machen und neu aufsetzen.


    Als wichtigstes zuerst alle Portweiterleitungen und Upnp deaktivieren.


    Gruss

    Mod: Unnötiges Volltextzitat gekürzt! :handbuch::arrow: Forenregeln beachten und Die Zitat Funktion des Forums richtig nutzen

    Zitat von super81

    Ist es denn sicher, wenn ich es jetzt wieder einschalte, dass keine weitere verschlüsselung stattfindet und ich so in Ruhe schauen kann, was ggf. verschlüsselt wurde?

    Mit Deiner Frage bist Du in diesem Thread (englisch) glaube ich besser aufgehoben: https://forum.qnap.com/viewtopic.php?f=45&t=164797


    Viele Grüße

    Vanished

    Vanished

    Zitat von Vanished

    Mein Fehler war vor allem, dass ich dem SA vom 26.08. Glauben geschenkt habe, dass ich mit der FW 5.0.0.2131 "sicher" wäre.

    Das stimmt ja sogar. Mit der FW 5.0.0.2131 bist Du sicher... unsicher wurdest Du einzig und allein durch die Photo Station.

    Hättest Du also das QNAP mit der FW 5.0.0.2131 aber ohne Photo Station betrieben wäre Dir nichts passiert.

    Was für mich wieder einmal ein Grund ist, das auf einem NAS keinerlei "unnötige Apps" laufen müssen.

    Jede App ist ein zusätzliches Sicherheitsrisiko.

    Wie bereits an anderer Stelle gesagt, auch hier liegen wir nicht weit auseinander. Was "unnötige Apps" sind, liegt halt im Auge des Betrachters. Die von mir genutzte Photo Station ist bei Hobbyfotografen gar nicht so unbeliebt, weil Sie inhaltlich ihren Zweck zur Distribution von Bildern super erfüllt. Das kombiniert mit einem großen Speicherplatz ist perfekt für seinen Zweck. Und war exakt der Grund für meine Anschaffung. Wer es nicht glauben möchte: Es wird auch gerade jetzt noch so von Qnap beworben.

    Und in dem SA vom 26.08. war nicht nur eine Aussage zur FW sondern explizit auch zu den Anwendungen - und dieser Aufforderung zum Aktualisieren komme ich (praktisch) immer nach:

    Zitat von Security Advisory: DeadBolt Ransomware

    To secure your NAS, we strongly recommend updating QTS or QuTS hero and all applications in App Center to the latest version immediately.

    Viele Grüße

    Vanished

    Als Neuling hätte ich da auch noch ein paar Fragen ;)

    Meine TS-453D ist weder in der Qnap Cloud noch sonst wo angemeldet und stellt nur die Daten im Windows Netzwerk zu Verfügung

    Der Fernzugriff erfolgt über einen Draytek VPN Router. An sonsten komme ich von außen nicht an die Daten.

    Kann es ein Problem sein die Portweiterleitungen zum VPN Router zu haben oder sollte man da nachbessern.

    Das ganze habe ich mal vor 6+ Jahren eingerichtet als ich mit ESXi angefangen hatte (gab nie Probleme) und bin ich bei QNAP gelandet ;)


    Gruß
    Dogma

    Zitat von Dogma2k

    Der Fernzugriff erfolgt über einen Draytek VPN Router.

    Erfolgt der Zugriff denn auch über VPN? Hatten wir schonmal, dass vermeintlich über VPN zugegriffen wurde, in Wikrlichkeit aber eine Portfreigabe genutzt wurde.

    Zitat von Dogma2k

    Kann es ein Problem sein die Portweiterleitungen zum VPN Router zu haben

    ZUM Router? Hängt davor noch ein Router/ Firewall? Ansonsten gehen Portweiterleitungen VOM Router zu anderen Geräten bzw. es wird ein Port auf dem Router selbst freigegeben, wie es zB der Fall sein muss, wenn man darauf ein VPN Server betreibt.