Deadbolt - Homescreen- Key to pay

    Salüt zusammen

    Habe eine TS453A mit der firmware 5.0.0.2131 und Photo Station 6.0.22


    Habe einen Deadbolt angriff bekommen trotz der hohen Sicherheit naja nichts zur Sache

    nun 1mal sah ich den Screen von Deadbolt und den Key den man haben muss! und beim erneuten Start nachdem er vom Internet Isoliert wurde ruft das NAS die Seite nicht mehr auf!

    Wo ist dieser Code abgelegt oder Seite? damit man diese Sehen kann und auch den Key zahlen und danach bekommen kann um die Dateien zu entschlüsseln?


    Danke für eure Hilfe


    Suche mal nach Deadbolt hier im forum... Da gibt es sicherlich ein paar Ergebnisse aus den letzten Tagen

    Mod: Unnötiges Volltext-/Direktzitat entfernt! :handbuch::arrow: Forenregeln beachten und Die Zitat Funktion des Forums richtig nutzen

    Ja den bin ich am durchlesen!

    Da mein system am freitag angegriffen wurde und sich selbständig aktualisiert wie empfohlen von Qnap habe ich keinen Screenshot machen können in dieser kurzen zeit!

    tja glaube die daten sind weg! sind nur Bilder von den letzten 40 Tagen ca. 1TB

    Danke euch für die Mühe


    Auszug aus:

    Zitat von dosborne, QNAP Forum: Re: [RANSOMWARE] Deadbolt

    SCHÜTZEN SIE IHRE RANSOM-SEITE

    - Deaktivieren Sie die „Nach neuen Firmware-Versionen suchen“ auf Ihrem NAS (um zu verhindern, dass die BTC-Adresse gelöscht wird)
    . um zu verhindern, dass die BTC-Adresse gelöscht wird)

    - Deaktivieren Sie die Autoupdate-Option "neueste Version" (um zu verhindern, dass die BTC-Adresse gelöscht wird)

    - Deaktivieren Sie die Anwendung "Malware Remover" (um zu verhindern, dass die BTC-Adresse gelöscht wird)

    - Deaktivieren Sie alle qnapcloud-Optionen

    Denke wenns so ist war es dies! ausser man hat einen Master-Key

    Angeblich hat die aktuelle Deadbolt Variante doch den Hash Key zum bezahlen in jeder Datei!?

    Jedenfalls laut dem "netten" Anschreiben der Hacker.


    Gruss

    Hier nur ein paar Themen von den letzten Tagen zu Deadbolt aus diesem Forum:


    Thema
    DEADBOLT: Recovery nach Bezahlung erfolgreich? Erfahrungsberichte!
    Hallo liebe QNAP User,

    wie die meisten wissen, greift DEADBOLT auch FW 5.x an und die letzten Tage gabs wieder massive erfolgreiche Attacken. Es gibt viele technische Threads, ich würde gerne das Thema auf folgenden Fokus legen:
    Wer von euch hat tatsächlich bezahlt und wie erfolgreich war das?

    - wann wurde bezahlt? (Datum)
    - habt ihr dann auch wirklich ein Passwort bekommen?
    - wie lange hat es gedauert, bis das Passwort kam?
    - wie erfolgreich war die Entschlüsselung?
    - gabs irgendwas besonders zu…
    pipsen
    Thema
    Deadbolt Vorgehen vor Befall : Qsync Pro
    Hallo zusammen,
    ich synchronisiere ein paar Dateien über QSYNC Pro zwischen NAS PC und Handy.
    Wenn ich
    https://www.qnap.com/de-de/security-advisory/qsa-22-24
    richtig lese, muss ich ja zuerst alle Basics abschalten, damit QSYNC Pro überhaupt funktioniert?
    Ist mein Englisch ausreichend oder habe ich das missverstanden?
    Plattfisch
    Thema
    Vorgehen nach Deadbolt Befall
    Hallo an alle,
    ich bin nun auch betroffen. Ich habe auch viele Informationen dazu gelesen. In diesem Forum, und in anderen internationalen Foren. Ich habe auch den Service von QNAP kontaktiert. Alles hat mich nicht wirklich weitergebracht.
    Ja, die NAS (TS-453A) hatte nicht das neuste Update und war auch zum Netz offen. Mein Fehler. Das Thema Deadbolt und Qlocker ist komplett an mir vorbeigegangen.

    Das NAS habe ich sofort, nachdem ich den Befall von Deadbolt gemerkt habe, heruntergefahren. Somit…
    Arnold22
    Thema
    xxx.xxx.xxx.xxx/cgi-bin/ Automatische weiterleitung Abschalten
    Hallo,

    komme nur noch mit xxx.xxx.xxx.xxx/cgi-bin/ auf mein NAS.
    Möchte aber so zugreifen: http://NAS_IP:8080

    Dürfte dies mit klicken auf Automatischen Router Konfiguration eingestellt haben.
    Stellt sich hier mein A1 Router um oder die eisntellungen vom NAS WEbServer?

    danke
    sascha.bitt
    Thema
    Deadbolt / Angriff
    Hallo zusammen ich bin auch ein Opfer von Deadbolt angriff geworden alle wichtige dateien sind verschlüsselt weis jemand ein rat?


    forum.qnapclub.de/wsc/attachment/36011/
    Arik7


    Vielleicht hilft da was weiter.

    Zitat von Gwaagg

    Sorry Ja mein Seutsch ist nicht Muttersprache komme aus der Schweiz - Graubünden...

    Schwitzerdütsch zählt im weitesten Sinne auch zu Deutsch. Oder bist Du ein Rätoromanischer Bündner?


    >> Edit <<

    Deadbolt scheint wieder mehr als nur ein Wenig sein Unwesen zu treiben. :cursing:

    Zitat von FSC830

    die aktuelle Deadbolt Variante doch den Hash Key zum bezahlen in jeder Datei!?

    Ja stimmt, aber funktioniert der normale Decryptor dann noch ? Oder haben Dateien nen variablen Payload am Anfang/Ende und der Decryptor kann damit umgehen

    Welcher Decryptor, der vom Emissoft (oder wie die heissen)?

    Keine Ahnung.


    Gruss

    Ja genau der, den gibt's ja jetzt seit ein paar Monaten und wird von den Kriminellen auch verlinkt.(Ransomnote)

    Dann wird er hoffentlich doch auch noch funktionieren. X/


    Gruss

    Hi... nachdem mich der DEADBOLT erwischt hatte habe ich den Hauptserver platt gemacht.... Reset-Knopf 10sec auf der Rückseite... Die Platten wurden auch neu aufgesetzt... schei.... Der DEADBOLD-Seite lächelt mich immer noch an (im lokalen Cache ist nichst) wnénn ich den Server mit seiner IP-Adresse aufrufe..???... Im welchen Systemverzeichnis steht diese Seite ???? oder gibt es eine andere Möglichkeit außer bezahlen ??? :cursing: :cursing: :cursing: :cursing: :cursing:

    Der 10s Reset löscht keine Daten!

    Platten aus dem NAS, am PC alle Partitionen entfernen, neu aufsetzen!


    Das ist der Weg!


    Gruss

    Hiermit bekommt man die Bitcoinadresse zum zahlen.

    Code in leere html Datei kopieren und öffnen.


    HTML
    <!DOCTYPE html><html lang="en"><head><meta charset="UTF-8"><meta http-equiv="X-UA-Compatible" content="IE=edge"><meta name="viewport" content="width=device-width,initial-scale=1"><title>DEADBOLT Payment Information Tool</title><style>body{background:#222;color:#fff;font-family:"PT Mono",courier}input[type=file]{display:none}.fu{border:1px solid #ccc;display:inline-block;padding:6px 12px;cursor:pointer;color:#ccc}.fu:hover{border:1px solid red;color:#fff}.db{color:#30db97}center>p{width:600px;text-align:left}#main{position:absolute;top:50%;left:50%;transform:translateX(-50%) translateY(-50%);width:50em;background:#444;padding:15px;border:2px solid #139a43;border-radius:4px}</style></head><body><div id="main"><h1 style="text-align: center"><span class="db">DEADBOLT</span> Payment Information Tool</h1><p>Select encrypted (<b>.deadbolt</b> extension) file to retrieve the payment info in case you lost access to the <span class="db">DEADBOLT</span> portal page.</p><p>Please note: this only works for files encrypted by the <b>latest version</b> of <span class="db">DEADBOLT</span>. This tool will tell you if your file is compatible.</p><center><label class="fu"><input type="file" id="filebox" onchange="pf(event);"> 📄 select encrypted file</label></center><p id="fi"></p><p id="pi"></p></div><script>function $(e){return document.getElementById(e)}function bp(e){let n=[996825010,642813549,513874426,1027748829,705979059],i=1;return e.forEach(e=>{let t=i>>25;i=(33554431&i)<<5^e,[0,1,2,3,4].forEach(e=>{t>>e&1&&(i^=n[e])})}),i}function bc(e){let t=[],n=1^bp([3,3,0,2,3].concat(e).concat([0,0,0,0,0,0]));return[0,1,2,3,4,5].forEach(e=>t.push(n>>5*(5-e)&31)),t}function rc(t){let n=BigInt(0);for(let e=0;e<20;e++){var i=BigInt(t[e]);n=(n<<BigInt(8))+i}let r=[0];for(let e=0;e<32;e++)r.push(Number((n>>BigInt(160-5*(e+1)))%BigInt(32)));r=r.concat(bc(r));let a="bc1";return r.forEach((e,t)=>a+="qpzry9x8gf2tvdw0s3jn54khce6mua7l"[e]),a}function fi(e){$("fi").innerHTML=e}function pi(e,t=!1){t&&(e="<font color='red'>error: "+e+"</font>"),$("pi").innerHTML=e}function pf(e){pi(""),fi(""),1!=e.target.files.length?pi("too many/few files selected.",!0):(fi("filename: "+(e=e.target.files[0]).name+"<br />filesize: "+e.size+" bytes"),e.size<128?pi("file is too small.",!0):e.slice(e.size-128,e.size).arrayBuffer().then(t=>{let n=new Uint8Array(t),i=n.slice(0,8);"DEADBOLT".split("").forEach((e,t)=>{i[t]!=e.charCodeAt(0)&&(ok=!1)});var r=n.slice(112,116);if(0==r[0]&&0==r[1]&&0==r[2]&&0==r[3])pi("this file was encrypted with an older version of DEADBOLT. please contact your vendor for assistance in recovering the portal.",!0);else{r=rc(n.slice(16,36));let e=new DataView(t);pi("payment address: <b><span class='db'>"+r+"</span></b><br />\npayment amount : <b><span class='db'>"+parseFloat(e.getFloat32(112).toFixed(4))+" BTC</span></b>")}}))}</script></body></html>

    Sehr schön in deadbolt Optik gehalten .. wenn ich in einer Sandbox das Ding aufmache und ganz normale unverschlüsselte Dateien öffne bekomme ich auch ne Bitcoin Adresse .. irgendwas stimmt da nicht


    deadbolt_paymen.jpg

    Einmal editiert, zuletzt von dolbyman ()

    Sehr grenzwertig, dafür noch gross Werbung zu machen!

    Der Emissoft entschlüsselt auch bis auf Videos (laut US Forum).


    Lieber beiss ich mir ein Autogramm in den Allerwertesten, bevor die einen Cent von mir kriegen würden!

    Mancher hat eben 1'000.- Euro einfach so herumliegen. Beim plätscher Flüsschen bekommt man dafür 10x 4 TB oder 4x 12 TB USB-Festplatten. Mehr als ausreichend für ein ordentliches Backup.