Plötzlich kein Zugriff mehr (Verschlüsselung)

[kernm23]

Ich kann auf meine Ordner auf meiner DS118 nicht mehr zugreifen.


Die Ordner waren bisher nicht verschlüsselt.


Ich habe gestern eine Sicherheitsmeldung von Synology bekommen. Die Anmeldeaktivitäten stammen nicht von mir.


Meine externe USB-Sicherungsfestplatte wird am Windows-Rechner nicht mehr erkannt.

Sicherheitsmeldung:




verschlüsselte Ordner:



Was soll ich machen? Zuerst alle Passwörter ändern, oder?

 

[Rotbart]

Alle Systeme trennen,alles plattmachen, Fehler suchen wie die Zugang zu deinem System erlangen konnten, Passwörter ändern, System neu aufsetzen, eventuell auch Windowsclienten, Backup überprüfen, Backup neu einspielen. So in etwa in der Reihenfolge.

 

[Jim_OS]

Bezüglich der genannten IP: https://www.abuseipdb.com/check/104.244.77.235

VG Jim

 

[kernm23]

Meine Backup USB Platte war auch angeschlossen an die DS118.
Habe versucht über HyperBackup Explorer zuzugreifen. Leider wird die USB-Platte nicht angezeigt. Kann ich hier etwas machen? Hatte aktuell leider kein offline backup.

 

[Rotbart]

Das ist ungünstig
Du kannst versuchen ein LiveLinux von DVD zu starten, vielleicht erkennt das die Platte und die Daten darauf sind nicht verschlüsselt, aber viel Hoffnung mach ich dir da nicht, da war wohl einer gründlich.

 

[Benares]

@kernm23
Mich würde mal interessieren, welche Portleitung im Router du hast, äh hoffentlich hattest.

 

[kernm23]

gibt’s eine Möglichkeit mit einem Tool zu versuchen, die Ordner zu entschlüsseln?

 

[Rotbart]

Wenn du das Passwort dazu hast ;-) .Vielleicht bekommst du ja ein Angebot dazu gegen mehr oder weniger Geld.

 

[ctrlaltdelete]

@kernm23 welche Ports waren am Router auf die DS weitergeleitet?

 

[kernm23]

Portfreigaben:
Anhang anzeigen 71339

 

[kernm23]

Portfreigaben:

 

[kernm23]

Habe eine readme Datei auf der DS118 und soll mich an eine email Adresse wenden um den Schlüssel zu erhalten.
Was würdet ihr tun? Wie sollte man vorgehen? Habe leider kein offline backup.

 

[Rotbart]

Kannst dich ja dort melden und mal sehen wieviel sie haben wollen, ob dir deine Daten soviel wert sind.Garantie das du den Schlüssel bekommst hast du trotzdem nicht, d.h. evt. setzt du noch mal paar 100 Euro in Sand.
Ich persönlich würde es nicht machen , aber wenn du keine andere Wahl hast.

 

[Synchrotron]

Mal schauen, welche Gang da die Daten verschlüsselt hat. Das lässt sich manchmal am Anschreiben oder den Dateiendungen der verschlüsselten Dateien erkennen. Für einige ältere gibt es im Internet sozusagen den Generalschlüssel. Das war die damalige Generation von Ransomware-Erpressern, die haben einen Schlüssel verwendet für alle Hacks. War der bekannt, konnte man entschlüsseln.

Bei den neueren Gangs werden individuelle Schlüssel verwendet, und Algorithmen auf Militärniveau. Die sind in (endlicher) Zeit nicht mehr zu entschlüsseln. Da hilft wirklich nur das Backup (oder auch nicht …), oder bezahlen (auch das manchmal nicht).

Man unterstützt damit ein kriminelles Geschäftsmodell, und verursacht indirekt die nächsten Opfer.

P.S. Wer heute noch seine DS über geöffnete Ports ins Internet stellt, weiß hoffentlich sehr gut, was er da tut. Hilft in diesem Fall wohl nichts mehr, aber es sollte eine Warnung für unbedarfte Nachahmer sein.

 

[peterhoffmann]

@kernm23
Eine Verkettung von mehreren Fehlern... leider...
die offenen Ports, dazu alles Standardports (kein Portmapping)
angeklemmte Backupplatte,
kein weiteres Backup

Nach den Screenshots zu urteilen ist der Angreifer über das DSM gekommen.
Wo waren die Zugangsdaten noch hinterlegt?

Zum Täter:
Wir hatten hier im Forum schon mehrere Fälle dieser Art. In einem Fall hat das Opfer an den Täter bezahlt (kleiner dreistelliger Betrag) und das Passwort zum Entschlüsseln bekommen. Es gibt also noch Hoffnung. Nimm Kontakt auf und frage. Mehr als nein sagen kann dir ja nicht passieren.

 

[kernm23]

Hallo,
unten ein Screenshot der Readme Datei. Lässt daraus etwas erkennen über die Aussichten, wieder an die Daten zu kommen?

Ich habe gelegentlich Daten über ftp von extern kopiert. Die Zugangsdaten zur DS waren noch auf meinem Windowsrechner in einem Dateimanager hinterlegt, mit dem ich die ftp Verbindung hergestellt habe.

 

[peterhoffmann]

Fragen kostet nichts. Frage freundlich, was er sich vorstellt und wie er es geschafft hat.

Zugang vom Täter:
Im Grunde gibt es ja nur zwei Möglichkeiten. Entweder er hat sich irgendwo die Zugangsdaten abgegriffen oder eine Möglichkeit gefunden ein NAS von Synology zu "hacken", sprich einen Zugang über eine Lücke zu finden.

Die hinterlegten Zugangsdaten im Dateimanager sind die Admin-Zugangsdaten oder eines Users vom DSM?

Beim letzten Fall war es die Hinterlegung der Zugangsdaten (admin) vom DSM im ioBroker (Smarthome), dessen Adminoberfläche wiederum ungeschützt war. Und das hat damals der Täter dem Opfer sogar erzählt.

 

[Sequoia]

Ist das in so einem Fall so, dass der Angreifer sich auf die DSM eingeloggt hat, da „rum gestöbert“ hat, und dann die Ordner verschlüsselt?

Finde das ziemlich gruselig.

 

[Jim_OS]

P.S. Wer heute noch seine DS über geöffnete Ports ins Internet stellt, weiß hoffentlich sehr gut, was er da tut. Hilft in diesem Fall wohl nichts mehr, aber es sollte eine Warnung für unbedarfte Nachahmer sein.

Ich würde das etwas abändern: Wer heute noch ein Gerät über geöffnete Ports ins Internet stellt, weiß hoffentlich sehr gut, was er da tut.

Da ich ja auch ein wenig mit Smart Home unterwegs bin finde ich es immer interessant wie "naiv" und sorglos User für ihre Smart Home Geräte und Anwendungen irgendwelche Portfreigaben und Zugriffsmöglichkeiten aus dem Internet einrichten. Ebenso werden irgendwo und überall irgendwelche Zugangsdaten für irgendwelche Erweiterungen, Addons usw. hinterlegt, denn schließlich möchte man ja von unterwegs auch auf seine Kamera, den Google Kalender, den Router, das NAS usw. zugreifen. Ob und wie sicher diese Zugangsdaten dann wo gespeichert werden scheint nur die wenigsten User (noch) zu interessieren. Man könnte sagen: Die Leichtigkeit (oder ggf. auch Bequemlichkeit) siegt über die Sicherheit.

VG Jim

 

[peterhoffmann]

Angreifer sich auf die DSM eingeloggt hat, da „rum gestöbert“ hat, und dann die Ordner verschlüsselt?

Das ist meine Vermutung, da das DSM von außen erreichbar ist, sowie der erste Screenshot die Unterseite "Gemeinsame Ordner" zeigt, wo an allen Ordnern ein Schloss (verschlüsselt) hängt. Daher gehe ich davon aus, dass der Täter die Zugangsdaten hatte, sich eingeloggt hat, die Verschlüsselung angestoßen, nach Fertigstellung (dauert je nach Größe ein paar Stunden) dann die Ordner ausgehängt hat. Er war also 2x im System.

Bequemlichkeit) siegt über die Sicherheit.

Das ist in allen Bereichen des Lebens (leider) so. Bequemlichkeit ist eine menschliche Schwäche, man geht immer den leichten Weg (wenn man nicht nacchdenkt). Und nachdenken tut man erst, wenn "das Kind in den Brunnen gefallen ist". Gebrannte Kinder scheuen das Feuer.

Das habe ich früher in der Datenrettung immer schön beobachten können: "Vor" dem Datengau konnte man sich den Mund fusselig reden, es wurde auf die Datensicherheit egal in welcher Hinsicht keinen Wert gelegt.
Ganz im Gegensatz zu den Kunden, die einen Datengau hatten: Die legten danach Wert auf Backups und weitere Sicherheiten. Die Unbequemlichkeit (finanziell und eigener Aufwand) waren da kein Thema mehr.