Diskstation gehackt

[youthman]

Hallo Leute!

Ich habe ein Riesen Problem..
am Samstag wurde wohl meine Diskstation gehackt.
ich bekam eine Email das sich jemand eingeloggt hat..
Habe darauf gleich die Diskstation ausgeschalten.. leider zu spät.
Am nächsten Tag wieder gestartet und Passwort geändert.

Heute ist mir erst aufgefallen das meine ganzen wichtigen Ordner verschlüsselt worden sind.. Unsere ganzen Kinder Fotos weg.. Firmen Rechnungs Datenbank.. weg...
Ich habe schon dem Support eine Mail geschrieben und warte jetzt auf eine Antwort.
Die werden mir da aber wohl nicht weiterhelfen können oder?
Kann ich auch nicht auf die Daten zugreifen wenn ich die Festplatten ausbaue und in ein externen Case einbaue? Verdammt...

 

[Thonav]

Uiii - das tut mir leid.

Kannst Du hier mehr über Deine Konfiguration und nach außen offene Ports beri?
Viel Glück!

 

[Benares]

Lies mal hier. Du hattest vermutlich irgendwelche Portweiterleitungen aktiv oder hast auf einen Link in einer Mail geklickt

 

[Mahoessen]

Hi,

s.
https://www.synology-forum.de/threads/verschluesselungstrojaner.110018/
hoffentlich hast du ein Backup / Datensicherung...

vg
Mahoessen

 

[isch83]

Hi,

das klingt ja ziemlich dramatisch!
Kannst Du vielleicht auch in bisschen technischer werden und erklären wie sich die Verschlüsselung auswirkt bzw. Wie es zu erkennen ist?
Kannst Du dich noch anmelden?
Siehst Du eine Meldung womit deine DS/Ordner verschlüsselt sind?

Mein erster Vorschlag wäre Backup nutzen bzw. einspielen.

 

[Wollfuchs]

Nachdem wir einen gleichlautenden Fall ja gerade erst hatten ... waeren so viele Details wie moeglich, eine wichtige Sache.

Im letzhin aktuellen Fall waren nciht die Daten verschluesselt, wie bei einem Kryptotrojaner, sondern die "gemeinsamen Ordner"
waren alle encrypted. Also mit Bordmitteln verschluesselt.
Das Opfer in dem Fall, hat nach Zahlung von ~x00.- EUR in Bitcoin den Key zum decrypten erhalten.

Nicht um auf den eventuellen Fehlern rumzuhacken, sondern um ein Muster zu erkennen, welches anderen eventuell hilft
Praeventivmassnahmen zu ergreifen.

Diskstation:
DSM Version:
installierte Pakete:
Docker:
Ports offen nach aussen:
2FA:
schwaches Passwort:
Adminzugang immer genutzt:
Admin=Admin:

 

[Mahoessen]

Hi, auf der Schulverwaltungsseite des Landes NRW ist ein Link zu einer Seite, die die verschiedenen Arten Trojaner erklärt und, sofern vorhanden, einen Decryptor nennt. Da es die Empfehlung eines Ministeriums ist, sollte die Seite seriös sein:

https://www.bleib-virenfrei.de/it-sicherheit/ransomware-liste/

vg
Mahoessen

 

[Thonav]

Privater Service, auf Empfehlung eines Ministeriums? Steht das auf der Seite des Ministeriums?

 

[Mahoessen]

Hi @Thonav , sonst hätte ich hier den Link nicht gepostet:

"Ministerium für Schule und Bildung des Landes Nordrhein-Westfalen"
https://www.svws.nrw.de/online-doku/it-sicherheit
runterscrollen, dort sind die verschiedenen Empfehlungen
vg
Mahoessen

 

[Thonav]

Danke!
Da gibts auch andere Anbieter, wenn Du nur einen hier postest, bleibt bei mir ein Beigeschmack.
Verweis auf die behördliche Seite hätte gereicht...

 

[Synchrotron]

@youthman Das Problem ist NICHT auf deiner DS. Das Problem ist mit hoher Wahrscheinlichkeit auf deinem PC.

Wir wissen nicht, was du sonst noch alles in deinem Netzwerk hast. Als Sortierung:

Hohes Risiko: Jeder Windows-PC, Windows-Server
Mittleres Risiko: Andere Rechner, z.B. Linux (auch die DS ist ein Linux-Rechner), Mac (eher selten betroffen, aber nicht auszuschließen). Falls gerootet, Android-Smartphones
Geringes Risiko: Router, Drucker, iOS-Geräte, nicht gerootete Androiden

Da sich die Infektion fortpflanzen kann, würde ich alle PCs und alle Geräte in der mittleren Kategorie aktuell abschalten. Das heißt ganz aus, Strom weg, kein Ruhezustand oder so.

Mit uns reden geht über Mobilgeräte oder über einen anderen Rechner, der nie mit deinem Netzwerk verbunden war.

 

[Synchrotron]

Nächste Frage: Verfügst du über ein weiteres Backup, also eines, dass in der letzten Zeit (2-3 Wochen zurück) nicht mit deinem Netzwerk verbunden war ?

Nur um es zu wissen, auf keinen Fall aus dem Schrank holen und ausprobieren, ob es noch geht !

 

[Wollfuchs]

Das Problem ist NICHT auf deiner DS. Das Problem ist mit hoher Wahrscheinlichkeit auf deinem PC

genau hier habe ich aktuell noch Zweifel ...
der Fall klingt so aehnlich zu dem Thread Verschluesselungstrojaner.

Hinweise:

• es wurden nur Ordner verschluesselt
• es wurde sich auf der Diskstation angemeldet
• er hat eine Mail erhalten

alles passt zu dem Fall vorher .. und zwar um Laengen besser als zu einer Encryption aller Files wie es die
"klassischen Trojaner" machen. gerade so als suche jemand gezielt nach NAS mit offenen Ports und nutzt
Hintertueren oder nach aussen offene Apps wie vorig iobroker, um von da aus nach innen zu kommen.
Wenn nun noch DSM per Web erreichbar war .. herzlichen Dank auch ..

 

[Speicherriese]

War nicht auch in dem letzten Hacker Beitrag die Rede, das der Hacker noch mehrere Leute an der Angel hat? Denke mal, das wir hier demnächst noch mehr solcher Beiträge lesen werden.
Ich habe nur immer noch nicht eindeutig überrissen, woher der Hacker das PW hatte und wie er die 2 Stufen Verifizierung aushebeln konnte. ( Falls der User dies eingerichtet hatte). Wenn das nicht eindeutig geklärt ist, dann befürchte ich, wird demnächst hier eine Lawine von Meldungen gleicher Art eintrudeln. Da niemand weiß, wie er sich vorher zu 100% vor solchem Mist schützen kann. Erstmal alles Windows Gedöns aus der Wohnung werfen ist zwar schon mal der erste Schritt, aber das reicht ja Heutzutage bei weitem nicht.

 

[D_Espero]

in dem letzten Hacker Beitrag

Erstmal alles Windows Gedöns aus der Wohnung

Das hatte doch nichts mit Windows zu tun!

 

[the other]

Moinsen,
Naja... Indirekt auf jeden Fall schon, denn nach wie vor gibt es für dieses OS die meisten und umtriebigsten malware Programme, denn das ist eben die grosse Masse der Nutzer. Da lohnt sich der Aufwand für die pösen purchen eben eher.
Zwar fangen auch für Apple OS und Linux mehr und mehr schlechtere Zeiten an, aber nicht vergleichbar.
Dafür kann Windows ja auch nix, dass 95 Prozent (gefühlte wert!) der PC Nutzer Windows nutzen... Und da sind dann eben auch viele unbedarfte Zeitgenossen dabei. Apple und Linux ziehen ja oft auch Menschen an, die sich mit ein zwei Ebenen unter der bunten Oberfläche befassen wollen.
Es kann zumindest nicht schaden, sich mit seinem OS mal etwas auseinander zu setzen und ein paar wichtige basics zur Kenntnis zu nehmen, egal welches OS. Die heutigen Zeiten machen das imho nötig, denn die schlecht gesicherten Geräte und die User aus dem Tal der ahnungslosen von heute sind die mich angreifenden Teile des botnetzes von morgen...
Windows bietet da durchaus jede Menge mehr Sicherheit heute, aber eben für den 0815 User nicht offen. Da muss man dann auch wollen und machen. Meist ist der Keim des Übels aber nicht das OS allein, sondern der honk der es sorglos und Gedanken frei benutzt.
Jm2c

 

[Speicherriese]

Wie Synchrotron dies schon schön in Sicherheitskategorien unterteilte, was ich genauso sehe. Hier steht Windows an erster Stelle der Unsicherheit. Das ist Heute genauso, wie es schon vor 25 Jahren war. In größeren Firmen gibt es ganze gut bezahlte IT Abteilungen, die dies zumindest im Griff haben sollten, die Privatanwender sage ich mal salopp, haben hier in der großen Masse von wirklicher sehr tiefgreifender Sicherheit keinen blassen Dunst. ( Da zähle ich mich auch dazu). Um diese Schwachstelle eben zu eliminieren, habe ich alles Windows aus diesen Gründen seit zig Jahren aus meiner Wohnung verbannt. Ein Problem weniger. ( Nur eines aber das reicht mir schon mal). Was nicht heißen soll, das ich niemals von Hackern angegriffen werden könnte, aber eben ein Schloss mehr am Haus.

 

[Synchrotron]

So, dann wären wir damit erst mal durch.

Jedenfalls bis sich derjenige wieder meldet, der diesen Thread eröffnet hat, und nur genau diesen einen Post ganz am Anfang hier abgesetzt hat. Seitdem nichts mehr - warum auch immer.

 

[Schwarte]

Seit letzter Woche Montag kommen Anmeldeversuche per Feste-ip.net bei mir rein. Diverse Login versuche, bis die IP vom NAS gesperrt wird. Das ist jetzt merkwürdig, weil meine Freigabe nach wie vor per ipv6 Adresse erreichbar ist, per DDNS (Portmapper) nur, wenn ich die Sperre aufhebe. Also hat da jemand Scans am Laufen.

Port, PW und soweiter sind geändert und keine Adminrechte genutzt.

Möglicherweise kommts eben nicht über Windows rein, feste-ip.net lief Jahre bei mir mit den Einstellungen ohne Einträge in der Firewall oder automatischer Blockierung. Bis letzten letzte Woche Mo 17:00. Dauert keine 10 Minuten für 3 (fehlgeschlagene) Anmeldeversuche seitdem.

Sehr geehrter Benutzer,

die IP-Adresse [2a03:567:1::12] versuchte sich innerhalb von 5 Minuten 5 Mal erfolglos bei SSH auf NAS anzumelden und wurde um Mon Oct 19 17:34:03 2020 blockiert.

Von NAS

Sehr geehrter Benutzer,

die IP-Adresse [2a03:567:1::12] versuchte sich innerhalb von 5 Minuten 5 Mal erfolglos bei SSH auf NAS anzumelden und wurde um Tue Oct 20 08:12:52 2020 blockiert.

Von NAS

Sehr geehrter Benutzer,

die IP-Adresse [2a03:567:1::12] versuchte sich innerhalb von 15 Minuten 3 Mal erfolglos bei SSH auf NAS anzumelden und wurde um Wed Oct 21 07:53:03 2020 blockiert.

Von NAS

Habs dann auf 3 Versuche pro 15 Min gelassen und blockiert.

 

[Jagnix]

Da frgat man sich warum du SSH für extern aufgemacht hast.