Verschlüsselungstrojaner auf NAS

    • Neu

    Hallo Forum,

    wir haben auf einem NAS einen Verschlüsselungstrojaner.


    Folgende zum NAS:

    - QNAP TS-420, QTS Version 4.3.3.2644, Zugriff aus dem Internet war eingerichtet

    Was haben wir festgestellt:

    - Dateien auf Netzwerkshares werden rekursiv verschlüsselt, die Dateinamen und Ordnerstruktur werden beibehalten, es wird die Endung "lotus" angehangen.

    - Die Netzwerkshares sind weiterhin erreichbar.

    - In vollständig verschlüsselten Ordnern wird eine Textdatei mit einem Link zur Bezahlwebseite abgelegt (Tornetzwerk).

    - Die Lösegeldforderung beläuft sich auf 0,025 Bitcoin.

    - Das Verschlüsseln dauert offensichtlich sehr lange. Wann der Verschlüsselungsprozess begonnen hat lässt sich nicht mehr nachvollziehen.

    Der Verschlüsselungsprozess ist aber noch nicht abgeschlossen (insgesamt ca. 8 TB auf dem NAS).

    - Das NAS ist über den Adminaccount nicht mehr erreichbar (Passwort falsch).

    - Der Verschlüsselungsproßess läuft auch wenn das NAS nicht mit einem Netzwerk verbunden ist (starke Festplattenaktivität).

    Wir vermuten daher, dass kein PC im Netzwerk, sondern direkt das NAS angegriffen wurde.

    - Die PCs im Netzwerk zeigen keine Auffälligkeiten (vollständiger Virenscan ergebnislos, keine Daten verschlüsselt, etc.)

    Was haben wir bis jetzt gemacht:

    - NAS ausgeschaltet und vom Netz genommen.

    - Mit separatem Notebook auf das (dann wieder eingeschaltete) NAS zugegriffen und versucht uns als Admin anzumelden -> geht nicht (siehe oben).

    - Eine verschlüsselte Datei und eine Textdatei mit Zahlungsinformationen kopiert zwecks Recherche.


    Bis jetzt haben wir nichts über einen Trojaner der sich wie oben beschrieben verhält im Internet gefunden.

    Qnap scheint ja gelegentlich das Ziel von Angriffen zu sein, aber weder die bei Qnap beschriebene Ransomware (Qlocker, etc) passt zu dem was auf diesem NAS passiert,

    noch sind wir an anderer Stelle fündig geworden..

    Hat jemand eine Idee mit was wir es zu tun haben könnten?

    Das NAS resetten und aus einer Sicherung wiederherstellen ist die eine Sache.

    Es wäre aber trotzdem schön wenn wir wüssten was uns da besucht hat.


    Kleines Problem:

    Das NAS ist für uns nicht täglich physikalisch erreichbar und in der aktuellen Situation ist Fernwartung am NAS nicht machbar.


    Für gute Tipps bedanke ich mich.


    DH

    • Neu

    Hmm, um zumindest den Zugriff auf das NAS zurückzubekommen, könntet ihr den 3 Sekunden Reset machen, dazu benötigt ihr jedoch physischen Zugriff auf das NAS.

    Wenn das NAS für eine Firma genutzt wurde, würde ich persönlich das Ding nicht mehr versuchen, wiederzubeleben und direkt eine Neuanschaffung in Betracht ziehen, da ich einem einmal kompromittierten Gerät nicht mehr trauen würde.

    Ansonsten Zugriff von außen natürlich abstellen und zügig ein vpn einrichten.


    Edit: NAch einer kleinen Internet-Recherche gehört die Ransomware zur Familie Dharma. Ein Entschlüsselungstool gibt es derzeit wohl nicht, also solltet ihr das Backup wieder einspielen.

    Einmal editiert, zuletzt von UdoA ()

    • Neu

    NAS Plattmachen (Platten frei von Partitionen machen und autorun.sh checken) und das NAS halt nie nie nie wieder offen ins Netz stellen .. leider zu oft gesagt.. mal sehen ob Lotus/Dharma ne neue Welle wird.

    • Neu

    Zumindest scheinen bisherige Infektionen via Spam-Mail auf PCs gelangt zu sein und dann von dort aus ihren Schaden angerichtet zu haben.

    Wenn das jetzt direkt die QNAPs infizieren kann, wäre das was Neues.

    • Neu

    Hab mich in die spezifische Malware nicht eingelesen .. aber wen es Ransomware auf dem Client war , dann gibts auf dem NAS nix du desinfizieren.


    Aber NAS definitiv raus aus dem Netz!