Beiträge von dennydeutscher

Prinzipiell stimme ich zu: Die bloße Existenz von Internet Foren und dessen Nutzer implizieren nicht das Recht kostenlos Infos und Hilfestellungen zu erhalten. Vor allem wer zu faul zum Suchen ist und nur nimmt statt zu geben sollte sich nicht wundern.

Mir ging es nur darum, dass potentielle Opfer gewarnt werden. Immerhin handelt es sich bei dem eCh0raix Derivat um eine ganz frische Version und wie man in dem anderen Forum sehen kann (werden stündlich immer mehr betroffene NAS's gemeldet, von der Dunkelziffer ganz zu schweigen). Hier bietet der Thread eine gute Plattform und anstatt das Thema runterzuspielen und auf die Unbedarftheit der Nutzer zu verweise wäre es gut gewesen, dass ganz ein bisschen ernster zu nehmen.

Inzwischen läuft mein NAS wieder.
Zu meinem Fall: Es war lediglich Port 80 offen SONST NICHTS... Dieser wiederum führte ausschließlich zu einer WordPressinstallation (EinSeiter zu testzwecken)… Obendrein war QTS bei 4.4.1.1064 sowie alle anderen Anwendungen auf den aktuellsten Stand.

Da durch QNAP ein anderes Bild vermittelt wird an der stelle noch mal der Aufruf: MACHT EURE NASes VORERST DICHT... SÄMTLICHE PORTS ZU! Bis QNAP eine Stellungnahme zur Problematik abgegeben hat bzw. die Sicherheitslücke geschlossen wurde denn aktuell weiß man nicht wie die Ransomware auf das Gerät kommt es wäre gut das herauszufinden.

An alle Betroffenen:

1: baut euere HDDs aus
2: bei RAID1 Systemen bzw. JBOD können die HDDs am Windows Rechner eingelesen werden... mit dem Tool RLinux könnt ihr die auf die Daten zugreifen.
3: Sichert alles auf eine USB Platte o.ä.

4: Nach erfolgreicher Datensicherung -> Partitionen der Festplatten löschen (ich empfehle AOMEI)
5: NAS mit gelöschten Platten wieder starten und frisch einrichten.
6: Die Daten auf der USB Platte aufheben bis der Decrypter fertig ist.

Infos am Rande:

Images von Containern & Virtual Machines scheinen nicht verschlüsselt wurden zu sein...

OffTopic:

Eine Frage noch: Warum bietet den QNAP Apps wie PhotoStation, Videostation etc. an wenn diese am besten nicht genutzt werden sollten? Es gibt Leute die kaufen sich so NASes genau aus dem Grund.
Hier ist bei QNAP was Grundlegendes im Argen. Die Argumentation mit Klicki-Bunti ist nicht Stichhaltig... oder möchtest du mir jetzt auch sagen, dass man Smartphones nach Möglichkeit hier und dort absichern muss und falls was passiert und der Nutzer Schuld ist NUR weil die Teile einfach zu bedienen ist NEIN! QNAP NASes sind nun mal keine professionellen IT Devices sondern im besten Fall SOHO... und da sollte der Hersteller schon ein bisschen schauen dass der Kram den er anbietet einigermaßen sicher ist. Ich meine: Stellt euch mal vor sowas wäre bei iOS oder Android passiert... riesen Wellen hätte das geschlagen.

Zitat von Jagi

Sorry aber wenn man sein NAS ungeschützt dem Internet aussetzt muss damit rechnen das er eher früher als später gehackt wird.

Na super noch so'n Gscheithaferl…

In meinem Fall war lediglich der Port 80 zum NAS offen und der wiederum lag ausschließlich an einer WordPress Instanz an. Alles andere ist zu.

Ich wüsste da gern weshalb QNAP dienste wie WordPress PhotoStation etc. Pop. anbietet... wenn man es dann nicht einsetzten darf. Sorry aber da hat QNAP gepennt!

PS: Die Überheblichkeit in diesem Forum ist erschreckend (Wink mit dem Zaunpfahl an dr_mike) immerhin konnte ich das Thema anhand des originalen Titel wenigstens finden... anscheinend liegt hier die Priorität darin Nutzer zu erziehen und deren Integrität in Frage zu stellen anstatt zu Helfen.

UND NOCHMAL: An alle die kein Backup haben: https://www.bleepingcomputer.c…l=%2Bmuhstik#entry4878879

hier wird bereits an einer Lösung gearbeitet: Die Tage wird das Decrypter-Tool angepasst und ihr könnt euere Dateien wieder entschlüsseln... daher bitte die Daten vorher sichern (per USB-Adapter am PC oder Filestation an externe HDD) bevor ihr eure Partitionen löscht etc. pp.

PS: Lieber dr_mike Google doch mal nach .muhstik und qnap … du wirst festellen die Ergebnisse sind überschaubar... daher ist die Aktion kontraproduktiv und unnötig.

1.) kann dir das genauso passieren, da es sich um eine Sicherheitslücke in QTS handelt. Also Schadenfreude mal ein / Sarkasmus bisschen stecken lassen.
2.) Ist das kein Trojaner sondern Ransomware
3.) wir hier bereits daran gearbeitet: Click

Alle die noch nicht betroffen sind sollte als erstes mal unter Sicherheit -> Netzwerkzugangschutz aktivieren. Da die Ransomware per bruteforce Passwörter probiert.

4.) Mir ist aufgefallen, dass (sollte man sein Webinterface nur per SSL erreichen können, man nach einer Zeit keinen Zugriff hat. Außerdem ist der Virenscanner nicht mehr nutzbar. Hier wäre eine Vorgehensweise hilfreich um das Betriebssystem zu reinigen. Jemand einen Tip an der stelle?

Vielen Dank!