NAS gelöscht von einem Angreifer, wie wiederherstellen?

[p4killer]

Hallo,

ich habe das Problem das wohl durch browser Highjacking die Zugangsdaten zu einem NAS abgegriffen wurden.
Nun steht das Gerät auf dem Status "nicht Installiert" im Asistant.
Was kann ich tun ? nein, das Nas ist das Backup, es gibt kein weiteres.
Das system war im SHR1 mit Btrfs

Danke für jede Hilfe.


mfg Peter

 

[Iarn]

Okay, Du schreibst, das NAS ist das Backup. Also sind alle Daten auf dem jeweiligen Original Gerät noch vorhanden?

 

[ottosykora]

vielleicht einfach mal versuchen DSM zu installieren, aber wenn es dann fragt ob Daten gelöscht werden sollen, dann eben nicht sagen

 

[p4killer]

Hallo,

schonmal Danke für die Antworten.
Die Nas wurde gelöscht als das quell System verschlüsselt wurde von einer Malware, also keine quelldaten mehr.
ohne löschen der Festplatten geht es nicht weiter, der Assistent ist hier sehr engstirnig. Gibt es einen Guru der aus dem Init system wieder ein ganzes Nas Herstellen kann?

mfg Peter

 

[weyon]

Keine Snapshots auf dem Daten NAS vorhanden? Evtl. wurden die übersehen.

 

[RichardB]

Wird nichts nützen, wenn bei der Einrichtung die HDDs platt gemacht werden.

@p4killer Wenn alles so ist, wie Du beschreibst, würde ich eher in Richtung Datenrettungsfirma gehen. Wird teuer und hat keine Garantie.

 

[p4killer]

Hallo,

kann jemand eine Datenrettungsfirma empfehlen? am besten welche die auf Synology spezialisiert sind.

Danke.

 

[RichardB]

Wende Dich mal an @nas-central.de Vielleicht hat er eine Idee, bzw. kann Dich weiterleiten.

 

[Benie]

Ontrack ist auf Daten Rettung Spezialisiert
https://www.ontrack.com/de-de/ressourcen

 

[heavy]

Und fürs nächste mal ein Backup ist nur ein Backup nach der Regel 3,2,1 (3 Kopien, auf mindestens 2 unterschiedlichen Medienarten [Festplatte, Blu Ray- die kann man nicht verschlüsseln, Flash] davon eine wo anders gelagert) das was ihr hattet war maximal eine "Datensicherung" sprich eine einfache Kopie. Die in deiner Konstellation aber ja maximal den Ausfall der Hardware kompensiert hätte.

 

[heavy]

Ach so @p4killer trotz allem. Willkommen im Forum

 

[p4killer]

@heavy nein das war schon das Backup. Die Daten auf dem System waren lokal in einem Backup, und die Nas war zusätzlich zu dem lokalen Backup. Die Angreifer haben das System übernommen, und Zugangsdaten aus dem Browser genutzt, und sind so auf die NAS gekommen, und haben Sie dann gelöscht.

 

[Benie]

Hattest Du die Zugangsdaten im Browser hinterlegt?

 

[p4killer]

@Benie leider ja

 

[heavy]

Nochmal ein Backup ist es nur nach der 3-2-1 Regel und wenn die richtig befolgt wird dann sind 2 Sicherungen nicht erreichbar außer es findet gerade die Sicherung statt und eine davon ist nicht wieder beschreibbar. Dann kann ein Trojaner so viel löschen und verschlüsseln wie er will. Ich habe hier privat sogar die 4-3-1 Regel. 2 Produktive NAS (USV gesichert), die werden auf 2 Nas gesichert die nur während der Sicherung an sind (müssen manuell hochgefahren werden, kein WOL). Auch stehen sie schon mal in einem anderen Raum. Dann steht ein NAS im Keller (kann im Bedarf per WOL geweckt werden) auf das werden beide gemeinsam gesichert. Dann habe ich die "wichtigen" Daten auch noch mal auf mehreren externen Platten (mehrfach als Versionierung damit auch ein schlafender Trojaner eventuell nicht alle Versionen infiziert) und die absolut wichtigsten Daten habe ich noch mal auf Blu Ray. Und was ich mit meinem Vater noch "diskutiere" ist ob wir unsere Backup NAS nicht jeweils beim anderen platzieren und so sie auch die Räumliche Trennung noch vergrößern als nur in den Keller.

 

[Uwe96]

Ein Trojaner auf dem PC kann sich ins Webinterface einloggen und da Dateien verschlüsseln?
OK, PW aus dem Browser rauslesen kann ich mir vorstellen. Aber dann die DS verschlüsseln?
So gut proramierte Trojaner gibt es? Und welchen Sinn ergibt das?
Und wie umgeht der die 2FA?

 

[ctrlaltdelete]

wenn sich das Schadprogramm per SMB verbindet, braucht es keine 2FA.

 

[Benie]

Und wie umgeht der die 2FA?

Überhaupt nicht, offensichtlich war 2FA ja gar nicht aktiviert.

 

[Uwe96]

wenn sich das Schadprogramm per SMB verbindet, braucht es keine 2FA.

OK, dann wird es also von Windows verschlüsselt und nur die Freigegebenen Ordner.
Dann braucht es aber eigentlich auch nicht das PW vom Browser

 

[patrickn]

... das würde aber nicht zum Status "nicht installiert" des NAS führen