Beiträge von LLEngin

Hallo Leute,

leider habe ich ein problem, wobei hier nicht fündig geworden bin. Da ich auch nicht genau weiß nach was ich die suche bzw. eingrenzen kann.

Ich habe neulich den iobroker auf meine Container Station installiert. Soweit funktionierte auch alles. Das problem was ich aber hatte war, dass ich mich nur über die ip einloggen kann. Aber die ändert sich ja ständig, somit musste ich jedes mal im virtuellen Switch nachschauen mit welche ip der iobroker online ist. auch habe ich das problem, dass der adapter für meine HM ip auch nicht on geht. Da die ip nicht stimmt. Also musste ich dann auch jedes mal den adapter umstellen.

Dann der versuch das ganze auf meine ddns umzustellen. Allein die url und dann :port einzugeben führte zu keinem Ergebnis. (Die Antwort von ****.myqnapcloud.com hat zu lange gedauert). Deswegen habe ich mal ein bisschen im internet gesucht. Gefunden habe ich, dass im docker unter den Einstellungen; erweiterte Einstellungen; Netzwerk; Netzwerkmodus: von Bridge auf Nat umstellen soll. Bei portweiterleitung wusste ich nicht genau, was ich eintragen soll. Deswegen habe ich mal Host: 8081, Container: 8081 und Protokol TCP eingegeben. Dann den container neu gestartet. Seitdem bekomme ich in der Konsole permanent die Fehlermeldungen ( Error: listen EADDRNOTAVAL: address not available 192.168.178.147:12010)

Das problem ist, dass ich das ganze nicht mehr rückgängig machen kann. Wenn ich in den Einstellungen Das Nat auf Bridge umstelle, kann ich es nicht übernehmen. (egal ob der docker aus oder an ist) Vielleicht kann mir da jemand helfen, so dass ich das ganze nicht nochmal neu installieren muss. Denn ich habe schon einiges an Zeit investiert. Vielleicht könnte auch jemand erklären wie ich das ganze über meine ddns laufen kann

pasted-from-clipboard.pngpasted-from-clipboard.pngpasted-from-clipboard.pngpasted-from-clipboard.pngpasted-from-clipboard.png

Hi. Klar. Bin leider Leihe in diesem Gebiet. Da ich mich mit Linux befehlen und SSH eigentlich gar nicht auskenne. Deswegen war es für mich schwer erst überhaupt darein zu kommen. Das schwierigste war über ssh meine platte zu finden. Als ich das alles raus hatte, ging der Rest leicht. Als ich den code zum Entschlüssen eingegeben habe hat plötzlich angefangen das Nas mal so richtig zu arbeiten. Da wusste ich Anfang nicht was er macht. Den sehen konnte ich nichts. Deswegen sagte ich ich mir entweder klappt es oder alles ist weck. Nach ca.4 stunden schaute ich nochmal. Und siehe da alles war entschlüsselt. Jetzt lade ich alles von dem Nas runter. Damit ich das extern nochmal sichere. Ich konnte die ganze zeit das Helpdesk nicht installieren. Das ging dann wieder als das entschlüsseln fertig war. Doch eben schaute ich auf den nas und bemerkte das helpdesk sich wieder deinstalliert hatte. Ich konnte es wieder nicht installieren. Deswegen habe ich erst mal den Stecker gezogen. Und hoffe das ich alles aus dem Nas runter kopieren kann, bevor wieder alles verschlüsselt ist. Ich gehe mal von aus das die Malware immer auf dem Nas ist. Deswegen muss ich wissen wie man das NAS Auf null setzt und den DOM reinigt.

Hallo, Danke an alle für die hilfe. Bei mir hat alles geklappt und endlich habe ich meine Dateien wieder. Eine Frage habe ich noch. So wie es verstanden habe Löscht der befehl "curl https://download.qnap.com/Storage/tsd/utility/cleanme.sh | sh" auch alle Dateien. Oder habe ich da was falsch verstanden? Den ich möchte alles behalten. und nur säubern und das Nas richtig zum laufen bekommen.

ich kann nur sage das bei mir alle Dateien frei sind. Jetzt bin ich dabei die malware zu entfernen

Anmerkung 2019-10-07 17154912.png

ganz unten im bild habe ich den befehl eingegeben. dabei kommt aber nichts raus. Im Laufwerk Aktenordner habe ich viele Ordner und Dateien rumliegen. Von denen sehe ich nichts. Anscheinen schaffe ich es nicht mal in das Laufwerk rein zu kommen

Habe es raus gefunden wenn ich "ls /share/cachedev1_data/Aktenordner" sehe ich alles was im Ordner drin ist und die decrypt datei auch.

Danach habe ich mal versucht:

"ls /share/cachede1_data/Aktenordner/chmod +x decrypt" einzugeben. dann steht das er die file nicht findet

Anmerkung 2019-10-07 171549.png

was mache ich den Falsch ? den Ordner ( Laufwerk konnte ich finden ) ich habe die Datei in in das Laufwerk Aktenordner drin. doch wenn ich die befehle eingebe findet er die Datei nicht.

Anscheinen wenn ich "ls /share/aktenordner" eingegeben habe bleibe ich nicht in diesem Ordner den wenn ich danach "ls" oder "ls -all" eingebe bekomme ich was anderes zu sehen und nicht das was im Laufwerk Aktenordner zu sehen ist

aber nur wie.

Hi, ich glaube das ich eine gute nachricht habe. so eben habe ich erfahren das es einen Ausweg gibt.

Bin schon seit einiger zeit auf dem https://www.bleepingcomputer.c…stik-support-topic/page-9

Jetzt konnte sich einer auf den Ihrer Seite Hacken und alle Codes Klauen

Zitat

hey guys,

good news for you all, bad news for me cause i paid already... maybe someone can give me a tip for my hard work

my wallet: 1JrwK1hpNXHVebByLD2te4E2KzxyMnvhb

i hacked back this criminal and get the whole database with keys, here it is:

https://pastebin.com/N8ahWBni

decryption software:
https://mega.nz/#!O9Jg3QYZ!5Gj…PE7JpzqdUaeUa5m9kL5fEmkVs

manual:
upload to nas:
"chmod +x decrypt"
"sudo ./decrypt YOURDECRYPTIONKEY"

and yeah, i know it was not legal from me too but he used already hacked servers with several webshells on it... and im not the bad guy here

but its really sad, i lost 670 € to this criminal

cheers

battleck aka tobias frömel

Alles anzeigen

im nächsten schritt schreibt er zur Benutzung

Zitat

your nas should not connected to web, so download the file "decrypt" from mega.nz, then put it on a usb stick, put that stick in your nas, copy it to any folder you like, make "chmod +x decrypt" as executable and then search in the list for your id and use the decryption key behind like above said with "sudo ./decrypt YOURDECRYPTIONKEY"

das habe ich aber nicht ganz verstanden. muss ich in ssh was machen? Jetzt brauche eure Hilfe.

habe ich gerade mal gemacht. Das steht dann da

Anmerkung 2019-10-04 185141.png

So alt finde ich das jetzt nicht. Den von Qnap ist ja seit dem nichts mehr veröffentlicht. Aus diesem Grund gehe ich mal von aus das die noch dran sind um eine Lösung zu finden.

Das andere Problem was ich zur zeit habe ist, dass ich die Helpdesk nicht zum starten bekomme. Da die von Qnap Zugriff auf mein Nas haben wollen. Doch die Malware blockiert dies. Hat vielleicht einer eine Idee. Das Antivirus und Malware Remover gingen ebenfalls nicht. Nach dem ich aber die Firmware neu installiert habe ging es. Das Helpdesk spukte nur eine Fehler Meldung, das er keine Daten finden konnte. Laut Qnap kundendienst sollte ich ein Reset durchführen und es dann probieren. Leider konnte ich ich die App danach garnicht mehr installieren. Auch nachfolgendes Advanced System Reset brachte nichts. Jetzt muss wieder warten bis die zurück schreiben.

Anmerkung 2019-10-04 124125.png

Hi, mich würde nur mal interessieren was die verlangt haben. Den ich habe das gleiche Problem. Nur bei mir wollen sie schlappe 2900 Bitcoins. Da ein bitcoin zurzeit bei ca. 8000€ brauche ich ja nicht schreiben über was für eine summe wir hier reden. Das mit der Anzeige habe ich mir auch schon überlegt. Die hatte mir ein Kumpel von der Polizei geraden. Doch kann ich mir sehr schlecht vorstellen das die zu einem Ergebnis kommen.

In zwischen weis ich, dass es anscheinend nicht wichtig ist welche Firmware man hat. Der Befall kommt von mit höhter Wahrscheinlichkeit durch einen Standard-Port. Den Qnap empfiehlt die ports 443 und 8080 nicht zu benutzen. Ändern unter Systemsteuerung und Allgemeine Einstellungen. Nur weis ich leider nicht welche ports man benutzen sollte. Den Beispiele werden nicht genant. Somit weis ich nicht welche kompatibel sind.

Lesen kann man das ganze auch unter der Adresse:

https://www.qnap.com/de-de/news/2019/erklärung-von-qnap-zu-ransomware-angriffen-durch-ech0raix

ich vermute mal das wir uns auch gedulden müssen bis qnap was findet das das Problem behebt.

Auf der Seite:

https://sensorstechforum.com/de/muhstik-virus-remove/

habe ich was gefunden wie man es entfernt. Doch leider nur für einen Windows Rechner. Deswegen gehe ich mal davon aus das bald auch eine Lösung von Qnap kommt. Derweil bin ich auch in permanenten Kontakt mit qnap. Nur wegen der Zeitverschiebung dauert es immer einen Tag. bis ich eine Antwort bekomme.

Falls dennoch jemand ein Lösungsansatz hat Bitte ich es zu teilen. Den so wie ich es sehe kommen jeden tag immer mehr Geräte hinzu die befallen worden sind.

Anmerkung 2019-10-01 193758.pngSo genau weis ich leider nicht ob es aktive war. Habe mal ein bild eingefügt. Vielleicht kannst du mir das sagen. Falls es doch aktive gewesen ist. Wie hole ich die Dateien wieder?

4.4.1.1064 ist die aktuelle Software. Muss auch bei dieser version passiert sein den vor 2 Tagen ging noch alles. Gestern ist mir aufgefallen das das Internet und der Rechner für eine zeit ziemlich lahm war. Gehe mal von aus das es da passiert ist. Konnte aber nichts feststellen.

Das Nas war bis eben aus dem Internet erreichbar. ( Habe dein tipp gefolgt und aus der Fritz gelöscht.)

nun hat es mich auch erwischt. Doch leider konnte ich auch nichts richtiges hier im Forum Finden. Sondern nur auf anderen seiten das Hacker es durch eine unbekannte Lücke geschafft haben, zugang zum Server zu bekommen.

Eine richtige Abhilfe habe ich leider nicht gefunden. Manche dinge die hier beschrieben werden, funktionieren auch nicht ganz oder sind kompliziert beschrieben.

Alle Dateien auf meinen Server haben eine Endung .muhstik und in jedem ordner ist eine .txt datei in dem steht:

All your files have been encrypted.

You can find the steps to decrypt them in any the following links:
http://13.234.89.185/.unlock/payment/c54df8f7-6d4c-4756-9d25-c6061481b124   Could go offline at any time
http://51.38.231.30/.unlock/payment/c54df8f7-6d4c-4756-9d25-c6061481b124   Could go offline at any time

Or use TOR link, guaranteed Online 100% of the time:
http://5mngytmdpeyyp6xk.onion/payment/c54df8f7-6d4c-4756-9d25-c6061481b124   Use TOR browser to access .onion websites.
https://duckduckgo.com/html?q=tor+browser+how+to

Do NOT remove this file and DO NOT remove last line in this file!

Your ID: c54df8f7-6d4c-4756-9d25-c6061481b124

Ich habe versucht das Programm Malware Remove zu installieren. Bekomme bei starten der app die meldung

Error
Page not found or the web server is currently unavailable. Please contact the website administrator for help.

hatte auch gelesen das man es direkt aus dem Internet von der Qnap Seite runterladen soll und dann zu installieren. Als Ergebnis bekomme ich aber die Selbe Fehlermeldung.

Nun weis ich leider nicht weiter. Alles auf null setzten kann ich nicht, da ich zu viele wichtige Dateien habe.

Hatte auch gelesen das Qnap davon weis, sich aber bis dato nicht geäußert hat. Vielleicht haben die ja doch was gefunden. Vielleicht hatte hier auch jemand das Problem und konnte es beheben. In einem anderen Beitrag hatte man ein Link gepostet wobei man angeblich dran ist eine Lösung zu finden. Doch war alles auf Englisch und nicht verständlich. Würde mich um jede Hilfe freuen.

Als nas habe ich das TS-251B

Hi einen Tip habe ich leider nicht aber habe soeben das gleiche Problem. Nun sind auf meinem Server auch wichtige daten, die ch nicht verlieren will. Im Netzt habe ich nur gefunden das eine Malware ist so das die Daten verschlüsselt werden um Lösegeld zu fordern. würde mich freuen wenn einer einen Tipp hat und vielleicht weis auch jemand ob das auf meine Rechner übergreifen kann.?