Daten vom Hacker verschlüsselt

Jim_OS

Benutzer
Sehr erfahren
Mitglied seit
05. Nov 2015
Beiträge
5.068
Punkte für Reaktionen
2.260
Punkte
259
Das ist zwar schlecht für Dich aber so ein "Warnung" ohne weitere Infos bringt (hier) niemanden etwas. :rolleyes:
 

LarsTC

Benutzer
Mitglied seit
06. Apr 2010
Beiträge
215
Punkte für Reaktionen
2
Punkte
18
Danke für den Hinweis.
Mehr Infos, wie die NAS angebunden war und vielleicht falls bekannt, wie er auf das System kam wäre noch besser.
Portfreigsben?
quickconnet?
router?
irgendwelche Auffälligkeiten?

ich drücke die Daumen das es ein backup gibt !,

VG
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.104
Punkte für Reaktionen
545
Punkte
154
Moinsen,
tja, mein Beileid. Dann mal ne Strafanzeige aufgeben (bringt nix konkret, sollte aber sein), nichts zahlen.
Dann solltest du natürlich auch erstmal dein GESAMTES System (nicht nur NAS) kritisch prüfen, denn bei dieser angedeuteten (gerne mehr Infos) Angriffsvariante sitzt der Mist meist nicht nur auf dem NAS, sondern ist idR via Email-Anhang gekommen.

War dein NAS von extern erreichbar?

https://www.heise.de/tipps-tricks/R...n-Sie-Verschluesselungs-Trojaner-3907507.html
 

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
6.057
Punkte für Reaktionen
1.855
Punkte
254
@Fitti
Herzlich Willkommen im Forum!

Neben den wirklich wichtigen Infos, z.B. wie, wann, über was, welches NAS, was ist verschlüsselt, usw. wäre es ratsam die E-Mailadresse vom Täter aus dem Posting zu nehmen.

Und nu die wichtigste Frage: Hast du ein Backup oder war das 2. NAS dein Backup?
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.105
Punkte für Reaktionen
2.073
Punkte
259
Du hast dich wohl sofort vom Internet getrennt (Router aus) und die Geräte hart abgeschaltet, vermute ich mal ? Wahrscheinlich sitzt der Trojaner nicht auf einer DS selbst, sondern eher auf einem Windows-PC in deinem Heimnetzwerk. Also alles aus, nicht nur die DSen.

Hast du Backups deiner Synologies und anderer Rechner in deinem Netz ? Wenn ja, erst mal Geduld, aber das hilft. Nur nicht irgendwo einstecken, bevor die Infektion nicht beseitigt wurde, und zwar gründlich.

Wenn nein, kannst du Glück haben, und es ist ein Trojaner, dessen Schlüssel bekannt ist. Dafür gibt es Tools im Internet. Siehe den verlinkten Artikel. Häufig ist die Verschlüsselung aber gut, das heißt schlecht für dich, weil nicht geknackt.

Im nächsten Schritt: Es gibt Trojaner, die die Daten angeblich verschlüsseln, tatsächlich aber zerstören. Da bringt Zahlen nichts. Ob es so ist, lässt sich am Dateiinhalt auf Bitebene erkennen. Wenn da kein Inhalt mehr vorhanden ist (alles auf 0 oder 1 gesetzt), wurde nicht verschlüsselt, sondern gelöscht. In wohl den meisten Fällen können die Daten zurück geholt werden, aber gegen Zahlung, um den Schlüssel zu erhalten.

Fakt ist, wer zahlt fördert ein kriminelles, zunehmend gravierendes Sicherheitsproblem, das inzwischen mehr als nur lästig ist.

Wenn du weißt, wo du stehst, musst du diese Entscheidung selbst treffen.

Egal wie es ausgeht, auch wenn du deine Daten zurück bekommst, musst du dein gesamtes System als durchseucht betrachten. Da ist nicht nur der eine Trojaner drauf - nach dem Befall werden zig weitere Schadprogramme nachgeladen, die sich tief in das System eingraben. D.h. unabhängig von den Daten steht eine schwierige Bereinigung ins Haus.

Das ist jetzt mal so der grobe Fahrplan.
 

servilianus

Benutzer
Mitglied seit
26. Dez 2017
Beiträge
898
Punkte für Reaktionen
244
Punkte
63
Ominöser Post. Seit 2014 dabei, jetzt der erste Eintrag, keine Reaktion mehr nach so einem tiefgreifenden Vorfall... mmmh.
 
  • Like
Reaktionen: Lextor

Fitti

Benutzer
Mitglied seit
03. Feb 2014
Beiträge
7
Punkte für Reaktionen
4
Punkte
53
Hallo,
habe erstmal Schadensbegrenzung betrieben. Wahrscheinlich ist der Hacker über iobroker eingedrungen. Daten hatte ich glücklicherweise gesichert.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484
iobroker ... Dazu gab's ja kürzlich erst hinreichend Austausch und Warnung hier. Bist also nicht der erste, den es erwischt hat.
 

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
6.057
Punkte für Reaktionen
1.855
Punkte
254
Der betreffende Thread ist hier:
Link => https://www.synology-forum.de/threads/diskstation-gehackt.110286/

Aus diesen Gründen bin ich etwas weg von der Idee ein NAS als "eierlegende Wollmilchsau" zu sehen und für viele Dienste zu nutzen. Inzwischen habe ich Dienste (u.a. Iobroker, Pi-hole, cups, usw.) auf einen Raspberry Pi4 ausgelagert, der das tadellos macht. Kostet kaum Strom und das NAS macht nur noch das, wofür es gebaut worden ist. Das wäre die Daten vorzuhalten und zu beschützen (so wenig Ports offen halten wie max. nur nötig ist).

Ok, mein NAS (DS716+II) langweilt sich seitdem zu Tode. Das nächste NAS wird wieder eine Nummer kleiner.
 

servilianus

Benutzer
Mitglied seit
26. Dez 2017
Beiträge
898
Punkte für Reaktionen
244
Punkte
63
Das Problem am ioBroker ist - und dies wusste ich seinerzeit auch nicht -, dass der https-Zugriff sowie ein Admin-Account erst nachinstalliert werden muss. Bei der blanken Erst-Installation ist alles offen und von jedermann via http bedienbar. Und wenn dann noch der ioBroker-Port nach außen freigegeben wird - tja, lässt sich die Synology ganz leicht kapern.
 

synfor

Benutzer
Sehr erfahren
Mitglied seit
22. Dez 2017
Beiträge
9.036
Punkte für Reaktionen
1.618
Punkte
308
Das Problem war aber nicht allein, das ioBroker offen war, sondern dass in ioBroker auch noch ein Plugin für den Zugriff auf NAS installiert und Adminlogindaten hinterlegt waren.
 
  • Like
Reaktionen: peterhoffmann

servilianus

Benutzer
Mitglied seit
26. Dez 2017
Beiträge
898
Punkte für Reaktionen
244
Punkte
63
stimmt, da war auch ein Plugin-Installiert, korrekt
 

Flessi

Benutzer
Mitglied seit
14. Sep 2012
Beiträge
468
Punkte für Reaktionen
62
Punkte
34
@Fitti / Kannst du die Endungen der verschlüsselten Dateien benennen?
 

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
6.057
Punkte für Reaktionen
1.855
Punkte
254
@Fitti
Ein paar mehr Infos zur Geschichte wären wirklich toll. Einerseits lernen wir daraus und andererseits schärft es auch die Wahrnehmung für solche möglichen Probleme.
 
  • Like
Reaktionen: Lextor

Fitti

Benutzer
Mitglied seit
03. Feb 2014
Beiträge
7
Punkte für Reaktionen
4
Punkte
53
Um 15:00 Uhr war ich noch auf dem NAS. gegen 16:00 Uhr hatte ich plötzlich keinen Zugriff mehr auf einige Ordner. Es gab einen neuen Ordner 1_readme. Darin war seine Nachricht, dass er die Ordner verschlüsselt hat und seine Kontakt Adresse. Im Log der Synology war zu sehen, dass er sich als Administrator angemeldet hat.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Najo, wird ja nicht von ungefähr kommen... Ich weiss, den Fehler sucht man i.d.R. sowieso erstmal bei anderen und nicht bei sich selbst, hört sich aber irgendwie ein bisschen an wie: "Achtung Autodiebe! Habe meinen Schlüssel stecken lassen und jetzt ist die Karre weg!"

Admin-Benutzer irgendwo gespeichert gehabt (bestenfalls direkt im Browser, Smartphone, etc.), oder Anmeldedaten generell in einer Word-Datei auf einem Gerät rumliegen, oder ähnliches? ??
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat