Meine Daten sind nur teilweise verschlüsselt, was jetzt?

[tangulas]

Ich hatte die NAS gleich ausgesteckt, was kann ich jetzt machen?
Kann ich die Dateien die aufrufbar sind auf meinen PC kopieren und sichern?
Ich habe verschiede Nutzer und Rechte auf meiner NAS, und so wie es aussieht, sind derzeit nur die Daten meiner Frau betroffen. Besteht die Gefahr dass alles weiter verschlüsselt wird, über verschiedene Rechte, Laufwerke und Benutzer?

Welche Formate sind betroffen? Sind auch meine Bilder und Musik betroffen oder nur Excel Dateien?
Vielen Dank für das beantworten meiner Fragen

 

[tangulas]

Hallo,
weiss keiner eine Antwort oder habe ich das falsch eingetragen? Ich bin neu in diesm Forum und würde gerne wissen was ich wegen SynoLocker machen kann, wenn meine Daten nur teilweise verschlüsselt wurden! Kann ich die noch funktionierenden Daten auf meinen PC speichern, oder besteht dann auch die Gefahr das ich SynoLocker auf den PC bringe?

 

[Frogman]

...Kann ich die noch funktionierenden Daten auf meinen PC speichern, oder besteht dann auch die Gefahr das ich SynoLocker auf den PC bringe?

Nein, Du kannst Deine noch nicht verschlüsselten Daten problemlos auf Deinen PC kopieren. Der Schädling läuft so nicht auf Deinem PC.
Solange sich der Schädling allerdings auf Deiner DS befindet und diese angeschaltet ist, wird vermutlich nach und nach der gesamte Datenbestand verschlüsselt - dazu zählen neben den internen Volumes wohl auch alle extern angeschlossenen Datenträger sowie u.U. auch eingehängte Freigaben mit Schreibrechten.

Weitere Details kannst Du in diesem Thread nachlesen.

 

[Hubble]

Du musst auf jeden Fall die Festplatte ausbauen und in einen PC einbauen (oder mit einem Gehäuse anschliessen).
Die DS mit den alten Platten einschalten ist tabu.

 

[Peter_Lehmann]

Hallo tangulas,

und willkommen im Forum!
Dir hatte so lange keiner geantwortet, weil ja noch niemand "praktische Erfahrungen" mit diesem Sachverhalt hat. Und wer will schon einen Rat geben, welcher das Problem vielleicht nur noch mehr verschlimmert?
(An dieser Stelle müsste jetzt ein Disclaimer stehen, welcher mich von jeglicher Haftung ausschließt ... . Aber ich denke mal, es lesen genug andere User mit, die bei einem groben Denkfehler meinerseits schon warnen werden.)

Du hast mit dem harten Ausschalten der DS auf jeden Fall das Richtige gemacht. Die Probleme, welche mit einem harten Ausschalten entstehen, sind IMHO geringer, als wenn alle Dateien in aller Ruhe "durchverschlüsselt" werden. Dass du die DS jetzt nicht wieder einschalten darfst, sollte auch klar sein.

Für das weitere Vorgehen ist wichtig, wie du dein(e) Festplatte ins System eingebunden hast. Hast du nur eine einzige HD in der DS drin oder bei mehreren, diese als Einzel-Datenträger (also nicht als RAID) eingebunden, dann sehe ich kein Problem diese per PC auszulesen. Ich würde wie folgt vorgehen:

- In einem PC die vorhandene HD (zur Sicherheit!) abstecken und an deren oder einen anderen SATA-Anschluss die HD aus dem NAS anstecken.
- Weiterhin an diesen Rechner einen ausreichend großen USB-Datenträger anstecken.
- Den Rechner mit einem von DVD bootenden LINUX-System (vorrangig "desinfec´t", auch "Knoppix", o.a.) booten. Die HD aus dem NAS nur lesend, den ext. Datenträger schreibfähig einbinden.
- Mit dem unter dem laufenden Linux vorhandenen Dateimanager (oder natürlich auch per cp-Befehl auf der Konsole) den eigentlichen Datenbestand auf den ext. Datenträger kopieren.
- Wenn der Kopiervorgang beendet ist, die HD (NAS) entmounten.
- Mit den vier in "desinfec´t" vorhandenen AV-Scannern den kompletten Datenbestand auf der ext. HD scannen lassen. Das dauert sehr lange, und ich kann dir auch nicht sagen, ob die Scanner überhaupt etwas erkennen können. Aber ich würde es auf jeden Fall tun!
- Jetzt, ebenfalls mit diesem gebooteten System, die Daten auf Lesbarkeit prüfen. Alles, was verschlüsselt ist, löschen.
- Die lesbaren Dateien danach auf den wieder vom Windows gebooteten Rechner kopieren.

Sicher ist das eine umständliche Methode. Aber ich würde niemals einen aus einem verdächtigen System entnommenen Datenträger "einfach so" in einen meiner Rechner stecken. Auch wenn der Schädling mit einer gewissen Wahrscheinlichkeit nicht auf der Architektur und dem BS eines PC laufen sollte. Wer es schafft, derartigen Schaden an NAS anzurichten, der kann auch so ganz nebenbei noch ein paar Ostereier für die Freunde der WinDOSe verstecken.


MfG Peter

 

[jony]

Wie schon geschrieben ist wieder einschalten Tabu es sei denn du nimmst es in Kauf dass weitere Daten verschlüsselt werden. Ich habe als auch betroffener eine HD von zwei (gespiegelt) ausgebaut um den "Ist" Stand zu sichern und danach wieder eingeschaltet um zu sehen wie hoch der Schaden ist, ich hatte das Nas aber auch vom restlichen Netzwerk und Internet isoliert und mit einem alten "Schrott Rechner" verbunden. Ich wollte kein Risiko eingehen, zum Zeitpunkt des wiedereinschalten waren bereits ca. 50% aller Daten verschlüsselt, wobei SynoLocker sich zuerst die kleinen Arbeitsdateien vorgenommen hatte und erst am Schluss die grossen Mediendateien. SynoLocker ist aber so frech dir ein Logfile als .txt anzubieten was er bereits verschlüsselt hat. Wie gesagt bin auch kein Experte aber durch das ausbauen der zweiten HD hatte ich ja den Stand gesichert und es wurde nur die eine verbleibende Platte weiter verschlüsselt. Hängt natürlich immer von deinem Nas und Einstellungen ab ob das bei dir gleich wäre.