Dateien per Verschlüsselungs-Trojaner CryptoLocker/Cyrypt0L0cker verschlüsselt

Status
Für weitere Antworten geschlossen.

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
14.160
Punkte für Reaktionen
407
Punkte
393
Hallo,
@JackOh
bitte keine Vollzitate und erst recht nicht wenn Du direkt antwortest.
Danke.

Gruß Götz
 

elevator

Benutzer
Mitglied seit
30. Mai 2015
Beiträge
137
Punkte für Reaktionen
0
Punkte
22
Ein Snapshot auf einem Btrfs Volume würde helfen die Daten wiederherzustellen oder sehe ich das falsch? Meine das jetzt allgemein und nicht speziell auf diesen Fall bezogen.
 

tschortsch

Benutzer
Mitglied seit
16. Dez 2008
Beiträge
1.645
Punkte für Reaktionen
34
Punkte
74
Hmm, aber: Wenn die Dateien in irgendeiner Art und Weise verändert werden, sollte die Versionierung greifen und die noch unverschlüsselte Version bieten. Hyper Backup hat ja 12 Stunden vorher gesichert und zeigt die letzte Sicherung zumindest als Datum an. Aber sonst sieht man das Backup nirgends im HB Fenster.
Stimmt soweit aber der Cryptolocker hat scheinbar nicht deine Dateien angegriffen sondern die Backupdatenbank. Und in dieser Datenbank sind nicht nur die zuletzt verschlüsselten Dateinen sonder auch die zuvor unverschlüsselten Dateien.

Und soviel ich verstanden habe, geht der Trojaner hin und kopiert die Datei vor dem Verschlüsseln und löscht dann das Original. Aber bin mir da nicht sicher.
Schon möglich aber siehe oben.

Derjenige, der Admin-Rechte hat, ist ja ein User, der die DSM bedient. Die Win-User haben keine Admin-Rechte, dass die einfach auf die USB Platte können.
Kann schon sein aber das Problem kann auf der Windows Clienten Seite liegen:
Wenn sich irgendwann mal ein Admin (zb beim Einrichten und ausprobieren) mit seinen Admin Zugangdaten von einem Windows User Account einloggt speichert meistens Windwos diese Zugangsdaten zu dem unpriviligierten User.
Nach der Einrichtung wird darauf vergessen.
Wenn dann ein Windows User glaubt er meldet sich an der DS mit seine (unpriviligierten) Zugangsdaten an nimmt Windows in wirklichkeit aber die Admin Zugangsdaten und hat dann vollen Zugriff. Ein Trojan hat ebenfalls die gleichen (schreib)Recht.
Kontrolierne kannst du das in der Windows Benutzerkontensteuerung bei den Usern (gespeicherte Anmeldedaten oder so)
 

AndiHeitzer

Benutzer
Sehr erfahren
Mitglied seit
30. Jun 2015
Beiträge
3.332
Punkte für Reaktionen
624
Punkte
174
Wenn ich mir den ScreenShot aus #1 ansehe, dann ist das kein typisches DB-basierendes Backup, sondern als Filecopy.
Ergo keine Versionierung und letztes Backup ist vermutlich mit den "verschlüsselten" Files gemacht worden?
Da sind die Daten wohl futsch :confused:

BTW:
Hier im Verein, wo wir mit Dropbox eine gemeinsame Ablage haben, hatte ich dieser Tage ebenfalls diesen Crypto-Mist am Hals.
Jedoch hat es irgendein Dropbox-Mechanismus verhindert, die originalen Dateien zu löschen.
Also musste ich nur die parallel verschlüsselten Files "entsorgen" und die Geschichte war für mich erledigt.
Die Dateien auf dem verursachenden PC waren wie gewohnt "kaputt" und mußten aus einem Backup hergestellt werden.
 

independence2206

Benutzer
Mitglied seit
30. Nov 2013
Beiträge
560
Punkte für Reaktionen
24
Punkte
38
Hmm, aber: Wenn die Dateien in irgendeiner Art und Weise verändert werden, sollte die Versionierung greifen und die noch unverschlüsselte Version bieten. Hyper Backup hat ja 12 Stunden vorher gesichert und zeigt die letzte Sicherung zumindest als Datum an. Aber sonst sieht man das Backup nirgends im HB Fenster. Und soviel ich verstanden habe, geht der Trojaner hin und kopiert die Datei vor dem Verschlüsseln und löscht dann das Original. Aber bin mir da nicht sicher.

Ich sehe das eher so: Zu jedem HyperBackup gibt es ja auch ein paar Systemdateien, welche in dem Zielverzeichnis angelegt werden. Die sind sicherlich wichtig und essentiell um den Restore durchzuführen oder aber über den Hyper Backup Explorer auf die Daten zu zugreifen. Da diese nun aber wahrscheinlich auch verschlüsselt sind, da sie ja im Zielverzeichnis liegen ist das komplette Backup korrupt und für die Tonne.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484

AndiHeitzer

Benutzer
Sehr erfahren
Mitglied seit
30. Jun 2015
Beiträge
3.332
Punkte für Reaktionen
624
Punkte
174
Das täte schon stimmen, Puppetmaster, aber der TE hat nur eine "lokale Datenkopie" eingerichtet, soweit ich das aus dem Screenshot sehe.
=> keine Versionierung
=> keine Container-Files

Die Daten sind nun mal futsch :(
 

dil88

Benutzer
Contributor
Sehr erfahren
Mitglied seit
03. Sep 2012
Beiträge
30.694
Punkte für Reaktionen
2.105
Punkte
829
Ist das in diesem Fall nicht wurscht? Wenn die externe Platte sich vom Rechner aus einbinden ließ, wurden die Dateien darauf verschlüsselt. Das macht die DB-Files eines HyperBackups ebenso unbrauchbar wie die direkt im Filesystem abgelegten Dateien der "Lokalen Datenkopie".
 

PsychoHH

Benutzer
Mitglied seit
03. Jul 2013
Beiträge
2.967
Punkte für Reaktionen
4
Punkte
78
Wenn man einzelne Versionen übers Netzwerk hätte sollte das theoretisch kein Problem sein, da man ja dann einfach eine ältere Version nutzen könnte.

Aber lokal wird dann halt einfach alles verschlüsselt und das war es.

Selbst ein pi + Platte sollte da versioniert schon ein guter Schutz sein.
Ich sicher abwechselnd auch per Netzwerk auf zwei verschiedene Geräte. Am besten dann immer entsprechend einen Puffer einplanen, damit nicht alles zur selben Zeit betroffen ist. Aber selbst versioniert bzw. Recycle per rsync (Netzwerk) sollte eine gute Maßnahme dagegen sein.
 

AndiHeitzer

Benutzer
Sehr erfahren
Mitglied seit
30. Jun 2015
Beiträge
3.332
Punkte für Reaktionen
624
Punkte
174
Hallo dil

Hmmmm, ich fürchte, ich muss mich präziser ausdrücken, was nicht wirklich meine stärke ist :eek:

Ich bin bisher davon ausgegangen, dass die Datensicherung täglich rennt.
Desweiteren unterstelle ich, die externe Disk ist ständig angeschlossen.
Ein User hat zusätzlich Admin-Rechte.
Sein PC konnte das Backuplaufwerk "sehen" und der Trojaner somit sich austoben.
Ja, Containerfiles würden vermutlich auch zerstört werden.

Von daher halte ich das bei mir so, dass das Backup-Share im Netz nicht sichtbar ist. Hyperbackup kann nur unter DSM dort arbeiten und auf das Share zugreifen. Es werden ausschliesslich Containerfiles des HB genutzt.

Von daher stammt meine Sichtweise auf dieses Thema hier.
 

PsychoHH

Benutzer
Mitglied seit
03. Jul 2013
Beiträge
2.967
Punkte für Reaktionen
4
Punkte
78
Ja das meine ich ja. Selbst wenn eine versionierung genutzt wird, hätte das wahrscheinlich nichts gebracht, da alles verschlüsselt wird.

Ist aber auch so ein Grund warum ich mit UB fromssh und andere Sicherungen. So kann es nicht passieren, dass alles verschlüsselt wird egal ob admin Rechte oder nicht.
 

TeXniXo

Benutzer
Mitglied seit
07. Mai 2012
Beiträge
4.948
Punkte für Reaktionen
100
Punkte
134
mit UB fromssh und andere Sicherungen. So kann es nicht passieren, dass alles verschlüsselt wird egal ob admin Rechte oder nicht.

Das musst und solltest du uns bitte näher erläutern? Das kann ich nicht so ganz nachvollziehen, da dies auch Systemdateien angreift, nicht?

Ich bin jetzt mal auf der Suche nach der vernünftigen Lösung vor solchen Trojanern. Nur ein User X ohne Adminrechte hätte Zugriff auf z.B. externe HDD - aber da kann HyperBackup die Daten ja ohnehin dort sichern. Ergo: es nützt ja gar nichts?
 

independence2206

Benutzer
Mitglied seit
30. Nov 2013
Beiträge
560
Punkte für Reaktionen
24
Punkte
38
Du solltest für deine Backupjobs mit Hyper Backup dann einen eigenen User ohne Adminrechte anlegen. Dieser sollte dann nur auf den gemeinsamen Ordner Zugriff haben wo die zu backupenden Daten liegen. Dann hat der User noch Berechtigung für das Backup Ziel als möglicherweise das externe USB Laufwerk. Das soll es dann aber gewesen sein. Diesen User solltest du nie zb auf dem Windows Rechner nutzen um über die Netzwerkfreigabe auf deine DS zuzugreifen. Dann ist das schon "sicher" vor dem Trojaner..
 

TeXniXo

Benutzer
Mitglied seit
07. Mai 2012
Beiträge
4.948
Punkte für Reaktionen
100
Punkte
134
Ok, hatte da einen kleinen Denkfehler.

Also mit diesem Benutzer-Account extra via DSM einloggen und Backup-Jobs einrichten. Dann soll's gehen!
Werde ich dann auch via Push benachrichtigt, wenn die Jobs erledigt sind, wenn ich extra einen Eintrag in DS Finder mit diesem Benutzer-Account anlege (neben anderen mit meinem "regulären" Account)?
 

Perry2000

Benutzer
Mitglied seit
05. Nov 2012
Beiträge
829
Punkte für Reaktionen
16
Punkte
44
Du solltest für deine Backupjobs mit Hyper Backup dann einen eigenen User ohne Adminrechte anlegen. ....... Diesen User solltest du nie zb auf dem Windows Rechner nutzen um über die Netzwerkfreigabe auf deine DS zuzugreifen. Dann ist das schon "sicher" vor dem Trojaner..

Bist Du da sicher?
Das nützt aber nix, wenn der Windoof User Admin Rechte auf der DS besitzt. Ein Admin hat doch überall Rechte. Oder stehe ich auf dem Schlauch?
 

independence2206

Benutzer
Mitglied seit
30. Nov 2013
Beiträge
560
Punkte für Reaktionen
24
Punkte
38
Warum sollte der Windows Account denn (in einer normalen Umgebung ohne Active Directory, LDAP, etc) automatisch Adminrechte auf der DS haben? Du legst ja "normal" in der DS einen Account an. Wenn du dann über Windows zu deinem Netzlaufwerk "\\dsxxx\beispiel_gemeinsamer_ordner" navigieren willst musst du ja den Account und das Passwort des Users eingeben, welchen du in der DS angelegt hast.. Also in meiner Umgebung zuhause ist es daher so, dass ich den Windows Account und den DS-Account von einander getrennt habe..
 

Perry2000

Benutzer
Mitglied seit
05. Nov 2012
Beiträge
829
Punkte für Reaktionen
16
Punkte
44
O.K. Ich bin von AD ausgegangen. Da passiert es schon einmal, dass beim Gebastel Admin Rechte vergeben werden.
 

PsychoHH

Benutzer
Mitglied seit
03. Jul 2013
Beiträge
2.967
Punkte für Reaktionen
4
Punkte
78
Das musst und solltest du uns bitte näher erläutern? Das kann ich nicht so ganz nachvollziehen, da dies auch Systemdateien angreift, nicht?

Du brauchst ja nur einen rsync nutzen und die Daten von einer DS ziehen und dann lokal Versionieren.
Wenn man es ganz streng ist lässt man nur die gewünschten Befehle zu.

Gibt einige Lösungen, jeder muss nur die beste für sich finden.
 

TeXniXo

Benutzer
Mitglied seit
07. Mai 2012
Beiträge
4.948
Punkte für Reaktionen
100
Punkte
134
Ja, das kann ich nachvollziehen. DS hat eigenes AD-System und Windows ebenfalls. Also sollte es passen! :)
 

JackOh

Benutzer
Mitglied seit
27. Mai 2015
Beiträge
188
Punkte für Reaktionen
3
Punkte
24
Also um weiteren Spekulationen vorzubeugen. Leider habe ich den Rechner sofort ausgeschaltet und ohne damit weiter zu werkeln direkt platt gemacht und Windows neu installiert. Daher kann ich nicht 100% sagen, ob der User von Win aus Zugriff auf das USB Laufwerk hatte. Es kann aber sehr wahrscheinlich sein, da der User ziemlich viel durfte. Ich gehe jetzt einfach davon aus, dass die USB Platte von diesem Client aus wohl erreichbar war. Wenn nicht als verbundenes Netzlaufwerk, dann dennoch erreichbar unter Netzwerk im Explorer. Also hier sollte man zukünftig unbedingt die Normal-User keinen Zugriff auf die USB Platte von Win aus erlauben. Das sollte explizit unterbunden werden.

Die Sicherung, die auf der DS eingerichtet wurde war noch aus Zeiten vor dem Hyper Backup. Wie man in dem Screenshot sieht, findet R-Studio Dateien, die anscheinend HB gehören. Und ja, diese wurden verschlüsselt. Der Angriff fand am 02.02.2017 ca. gegen 12:00 Uhr statt, was man aus dem Screenshot unter der Spalte "Verändert" auch erkennen kann.

Egal ob Filecopy oder Datenbanksicherung mit Versionierung. Alles auf der DS und der USB HDD wurde verschlüsselt. Was ich nicht verstehe ist, warum R-Studio keine Dateien vom 01.02.2017 um 20:00 Uhr findet. Weder die Dateien als solche oder die HB-Datenbank. Der Trojaner hat doch die Dateien entweder nach dem Verschlüsseln gelöscht oder die Dateien verschlüsselt und umbenannt bzw. der Erweiterung noch Hyroglyphen hinzugefügt. Aber R-Studio müsste doch an diese Dateien in der vorherigen Version oder im gelöschten Zustand finden. Ich habe die Platte sofort getrennt, damit auch keine weiteren Schreibvorgänge darauf möglich sind, um den Verlust minimal zu halten. Sonst hat das bei vergangenen Datenrettungsversuchen immer funktioniert? Kennt jemand die Software? Wo kann man denn genau nur nach gelöschten Dateien suchen? Den Support kann man nicht so gut erreichen. Es gibt nur eine Tel. Nr. in USA, was ich bisher fand.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat