Hilfe - Daten plötzlich alle verschlüsselt

ArvidBlixen

Benutzer
Mitglied seit
29. Jul 2022
Beiträge
6
Punkte für Reaktionen
0
Punkte
1
Hallo, nachdem ich heut auf meine DS215+ zugreifen wollte musste ich leider feststellen das alle Daten verschlüsselt sind...

In jedem Ordner befindet sich eine README_FOR_DECRYPT.TXTT Datei (Ja "TXTT" ) mit folgendem Inhalt:

All your data has been locked(crypted).
How to unlock(decrypt) instruction located in this TOR website: <URL entfernt>
Use TOR browser for access .onion websites.
https://duckduckgo.com/html?q=tor+browser+how+to

Außerdem sind alle Dateien von *.* in *.*.encrypt umbenannt worden...

Mein Sicherheitsberater hat außerdem vor ein paar Tagen ein "neues Anmeldeverhalten erkannt" das wird dann wahrscheinlich die Ursache sein?

Kann mir jemand hier helfen, bzw. gibt es noch Hoffnung

Vielen Dank soweit schon mal...
 
Zuletzt bearbeitet von einem Moderator:

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
3.439
Punkte für Reaktionen
1.062
Punkte
194
Dürfte schwierig werden. Erstmal solltest du das Ding vom Netz trennen.
Hast du zufällig eine Smarthome-Steuerzentrale bei dir installiert? ioBroker?
 

ArvidBlixen

Benutzer
Mitglied seit
29. Jul 2022
Beiträge
6
Punkte für Reaktionen
0
Punkte
1
Vom Netz hab ich die direkt danach genommen...
Smarthome habe ich nicht...
Die DS215+ hängt an meinen Router (Digitalisierungsbox Premium von der Telekom)
In dem Netzwerk sind alle meine Geräte (PC, Laptop, Tablet, Handys, TV, AV Reciever, Drucker,...)
Die DS215+ habe ich mit WebDAV für Externen Zugriff freigeschaltet, damit ich von der Arbeit aus darauf zugreifen kann... wird warscheinlich der Angriffspunkt gewesen sein...
 

Thonav

Benutzer
Sehr erfahren
Mitglied seit
16. Feb 2014
Beiträge
7.886
Punkte für Reaktionen
1.509
Punkte
274
Die leidige Frage: Du hast ein Backup Deiner Daten?
 

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
3.439
Punkte für Reaktionen
1.062
Punkte
194

Yippie

Benutzer
Mitglied seit
01. Feb 2011
Beiträge
643
Punkte für Reaktionen
54
Punkte
54
Im Link steht jedoch
Keines der Produkte von Synology ist von CVE-2022-32745 betroffen, da diese Sicherheitslücke nur Samba 4.13 und höher betrifft.
 

geimist

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
04. Jan 2012
Beiträge
5.488
Punkte für Reaktionen
1.325
Punkte
234

Yippie

Benutzer
Mitglied seit
01. Feb 2011
Beiträge
643
Punkte für Reaktionen
54
Punkte
54
Ja, stimmt...
 

mördock

Benutzer
Mitglied seit
04. Jan 2012
Beiträge
804
Punkte für Reaktionen
17
Punkte
44
  • Like
Reaktionen: Ulfhednir

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.065
Punkte für Reaktionen
2.053
Punkte
259
Die einzig relevante Frage wurde schon gestellt: Backup vorhanden ?

Ansonsten musst du dir überlegen, ob du zahlst.

Es gibt eine kleine Chance, dass der Schlüssel bekannt ist, der benutzt wurde. Einfach mal mit dem Inhalt der Read.me googeln.

Alle Geräte vom Netzwerk trennen, und möglichst so lange nicht nutzen, bis weiterer Befall nicht geklärt ist. Für Recherchen mobile Geräte nutzen, die sind weniger gefährdet.
 

Sequoia

Benutzer
Mitglied seit
14. Dez 2017
Beiträge
1.019
Punkte für Reaktionen
88
Punkte
74
Das hatten wir doch vor ein paar Wochen / Monaten schon mal genau so?

Und auch damals kam leider leider nicht zum Tragen, wie es geschehen konnte. Das interessiert mich extrem, denn so kann man präventiv selbst schauen, ob man evtl. gefährdet ist. Das ist meine große Sorge. Ich habe zwar die Ports mit (nach meiner Meinung) bedacht offen, und auch 2FA und sichere Kennwörter bei den Anmeldungen, aber man weiß ja nie.

Irgendwie müssen die ja an die Anmeldedaten kommen, um auf die Syno zu gelangen und dort die Platten zu verschlüsseln?
 

DMHas

Benutzer
Mitglied seit
24. Okt 2014
Beiträge
127
Punkte für Reaktionen
4
Punkte
24
... Das interessiert mich extrem, denn so kann man präventiv selbst schauen, ob man evtl. gefährdet ist. Das ist meine große Sorge. Ich habe zwar die Ports mit (nach meiner Meinung) bedacht offen, und auch 2FA und sichere Kennwörter bei den Anmeldungen, aber man weiß ja nie.
...

Ich denke, es werden einfach Zugangsdaten durch getestet. Seit dem 26.07. zeigt das Protokollcenter folgende Einwahlversuche bei mir:
 

Anhänge

  • Screenshot1.jpg
    Screenshot1.jpg
    136,8 KB · Aufrufe: 126
  • Screenshot2.jpg
    Screenshot2.jpg
    227,8 KB · Aufrufe: 118
  • Screenshot3.jpg
    Screenshot3.jpg
    231,1 KB · Aufrufe: 87
  • Screenshot4.jpg
    Screenshot4.jpg
    225,4 KB · Aufrufe: 116

Sequoia

Benutzer
Mitglied seit
14. Dez 2017
Beiträge
1.019
Punkte für Reaktionen
88
Punkte
74
Ach krass. Danke. Dann muss ich da auch mal rein schauen.

Aber ich habe „admin“ auch gar nicht aktiv, und mein Admin (anderer Name) hat 2FA.

Bei mir ist nichts auffälliges im Protokoll.
Kann man einstellen, dass solche Warnungen irgendwie per Mail kommen oder so? Verdächtiges (= erfolgreiches) Anmelden wird ja per Mail signalisiert (Sicherheitsberater).
 

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.226
Punkte für Reaktionen
3.356
Punkte
344
Seit dem 26.07. zeigt das Protokollcenter folgende Einwahlversuche bei mir:
Da geht es aber ganz schön zu bei Dir, ja aber es schaut schon nach vermutlich auch viel verwendeten Standart-Usernamen aus, auch der klassische admin ist oft dabei
 

DMHas

Benutzer
Mitglied seit
24. Okt 2014
Beiträge
127
Punkte für Reaktionen
4
Punkte
24
Aber ich habe „admin“ auch gar nicht aktiv, und mein Admin (anderer Name) hat 2FA.
Habe ich ebenfalls so gemacht! Zusätzlich lasse ich nur Verbindungen aus Deutschland zu (auch wenn das nur ein kleiner Schutz ist).
 

Sequoia

Benutzer
Mitglied seit
14. Dez 2017
Beiträge
1.019
Punkte für Reaktionen
88
Punkte
74
Jetzt muss ich mal recherchieren, welche IP genutzt wird, wenn ich im Ausland mit dem Handy unterwegs bin. Ich meine, es läuft dennoch über die deutsche IP? Dann könnte ich die Verbindungen auch auf DE beschränken. Wäre eine Idee, denn ich bin beruflich permanent im weltweiten Ausland unterwegs.
 

Sequoia

Benutzer
Mitglied seit
14. Dez 2017
Beiträge
1.019
Punkte für Reaktionen
88
Punkte
74
Jetzt muss ich schnell noch mal fragen.

Wenn ich die Firewall so einstelle:

Ort - Deutschland, Schweiz - Zulassen

Dann können diese rein, und alle anderen sind automatisch blockiert, oder?
 

Anhänge

  • E6629B0B-86AA-4441-B96F-BC0D153A2F58.jpeg
    E6629B0B-86AA-4441-B96F-BC0D153A2F58.jpeg
    175,5 KB · Aufrufe: 45
  • FE38CB83-697C-4509-8572-80EF655A591E.jpeg
    FE38CB83-697C-4509-8572-80EF655A591E.jpeg
    97,3 KB · Aufrufe: 52

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.226
Punkte für Reaktionen
3.356
Punkte
344
Jetzt muss ich mal recherchieren, welche IP genutzt wird, wenn ich im Ausland mit dem Handy unterwegs bin.
Dann hast Du keine deutsche mehr, Du nützt ja auch einen Provider der in diesem Land ansäsig ist.
 

Sequoia

Benutzer
Mitglied seit
14. Dez 2017
Beiträge
1.019
Punkte für Reaktionen
88
Punkte
74
Nein, wenn ich mit dem Deutschen Handy z.B. in Spanien bin, zeigt es mir noch immer die deutsche IP Adresse an. Da die Einwahl ja weiterhin über den deutschen APN läuft.

Aber wäre die Einstellung der Firewall oben dann so korrekt, dass nur noch DE und CH IPs zugreifen können?
 

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.226
Punkte für Reaktionen
3.356
Punkte
344
Aber nur, wenn Du kein W-Lan benützt
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat