Beiträge von DoppelHai

  • Verschlüsselungstrojaner auf NAS

    Hallo Forum,

    wir haben auf einem NAS einen Verschlüsselungstrojaner.


    Folgende zum NAS:

    - QNAP TS-420, QTS Version 4.3.3.2644, Zugriff aus dem Internet war eingerichtet

    Was haben wir festgestellt:

    - Dateien auf Netzwerkshares werden rekursiv verschlüsselt, die Dateinamen und Ordnerstruktur werden beibehalten, es wird die Endung "lotus" angehangen.

    - Die Netzwerkshares sind weiterhin erreichbar.

    - In vollständig verschlüsselten Ordnern wird eine Textdatei mit einem Link zur Bezahlwebseite abgelegt (Tornetzwerk).

    - Die Lösegeldforderung beläuft sich auf 0,025 Bitcoin.

    - Das Verschlüsseln dauert offensichtlich sehr lange. Wann der Verschlüsselungsprozess begonnen hat lässt sich nicht mehr nachvollziehen.

    Der Verschlüsselungsprozess ist aber noch nicht abgeschlossen (insgesamt ca. 8 TB auf dem NAS).

    - Das NAS ist über den Adminaccount nicht mehr erreichbar (Passwort falsch).

    - Der Verschlüsselungsproßess läuft auch wenn das NAS nicht mit einem Netzwerk verbunden ist (starke Festplattenaktivität).

    Wir vermuten daher, dass kein PC im Netzwerk, sondern direkt das NAS angegriffen wurde.

    - Die PCs im Netzwerk zeigen keine Auffälligkeiten (vollständiger Virenscan ergebnislos, keine Daten verschlüsselt, etc.)

    Was haben wir bis jetzt gemacht:

    - NAS ausgeschaltet und vom Netz genommen.

    - Mit separatem Notebook auf das (dann wieder eingeschaltete) NAS zugegriffen und versucht uns als Admin anzumelden -> geht nicht (siehe oben).

    - Eine verschlüsselte Datei und eine Textdatei mit Zahlungsinformationen kopiert zwecks Recherche.


    Bis jetzt haben wir nichts über einen Trojaner der sich wie oben beschrieben verhält im Internet gefunden.

    Qnap scheint ja gelegentlich das Ziel von Angriffen zu sein, aber weder die bei Qnap beschriebene Ransomware (Qlocker, etc) passt zu dem was auf diesem NAS passiert,

    noch sind wir an anderer Stelle fündig geworden..

    Hat jemand eine Idee mit was wir es zu tun haben könnten?

    Das NAS resetten und aus einer Sicherung wiederherstellen ist die eine Sache.

    Es wäre aber trotzdem schön wenn wir wüssten was uns da besucht hat.


    Kleines Problem:

    Das NAS ist für uns nicht täglich physikalisch erreichbar und in der aktuellen Situation ist Fernwartung am NAS nicht machbar.


    Für gute Tipps bedanke ich mich.


    DH