Plötzlich kein Zugriff mehr (Verschlüsselung)

[Rotbart]

Daher gehe ich davon aus, dass der Täter die Zugangsdaten hatte, sich eingeloggt hat, die Verschlüsselung angestoßen, nach Fertigstellung (dauert je nach Größe ein paar Stunden) dann die Ordner ausgehängt hat. Er war also 2x im System.

Das geht sicherlich auch mit einem Script in einem Abwasch, ich würde jeden Ordner sofort aushängen nachdem er verschlüsselt wurde, nicht das dem TE die Last auffällt und er sich noch seine Daten herunterzieht.

Wenn ich die Screenshots richtig deute bestand ja einmal Zugriff auf das Synology-Konto direkt und zusätzlich auf das Nas. Ich kann ja nicht vom Synology-Konto aus das Nas verschlüsseln. Also wahrscheinlich für beide Accounts die gleichen Zugangsdaten, keine 2FA o.ä..
Alternative wäre noch zugriff auf eine private Passwortliste, oder Trojaner auf dem PC der dir über die Schulter schaut beim Passwort eingeben.
Oder sehe ich das falsch ?

 

[kernm23]

In der Filestation finde ich unter usbshare2 nur noch das Readme Verzeichnis. Andere Verzeichnisse sind dort nicht zu sehen. Am Windows Rechner wird die USB Platte nicht mehr erkannt.
Hatte mit HyperBackup auf USB-Platte gesichert.
Hatte die Hoffnung, dass ich da noch dran komme? Vielleicht sind dort die Daten nur „gelöscht“.

Kann man dann evtl. noch an gelöschte Daten rankommen oder eher aussichtslos?

 

[peterhoffmann]

Solange gelöschte Daten nicht überschrieben worden sind, kann man da noch rankommen. Alles eine Frage des Aufwands und der eigenen Erfahrung.

 

[Synchrotron]

An gelöschte Daten kannst du eventuell heran kommen. Du kannst allerdings auch dabei alles endgültig überschreiben.

Die sichere(re) Variante ist eine professionelle Datenrettung. Viele Laufwerkshersteller bieten das an, und auch Dienstleister. Die sind oft teurer.

 

[kernm23]

Hast du eine Empfehlung für professionelle Datenrettung?

 

[Rotbart]

Nur mal so interessehalber, haben diejenigen mal Preiswünsche geäußert, ich geh mal davon aus dein NAS ist privat ?

 

[kernm23]

Nein. Haben noch nicht auf meine Mail Anfrage geantwortet.

Ja. NAS ist privat.

 

[peterhoffmann]

Wie wichtig waren die Daten?
Gibt es noch ein älteres Backup?

 

[Rotbart]

Du kannst versuchen ein LiveLinux von DVD zu starten, vielleicht erkennt das die Platte ...

Hast du das mal versucht oder traust du dich da nicht ran ?

 

[kernm23]

Hast du vlt. eine Anleitung hierfür? Hab’s noch nicht versucht.

 

[Rotbart]

Naja ist eigentlich nicht kompliziert, ich weis aber auch nicht inwieweit du dich mit linux auskennst und ich will ja auch nicht das der Schaden hinterher grösser als vorher ist.
Hier ist eine Anleitung wie du z.b. Ubuntu auf einem Stick erstellen kannst:
Wichtig das du nicht Ubuntu installierst sondern nur vom Stick aus startest.
https://www.ionos.de/digitalguide/server/tools/ubuntu-von-einem-usb-stick-installieren/
Wenn das läuft hängst du die USB-Platte an, startest Gparted und dann sehen wir erstmal weiter

 

[Synchrotron]

Hast du eine Empfehlung für professionelle Datenrettung?

Nein, leider nicht. Habe ich noch nie benötigt. Einfach mal die Suchmaschine deines Vertrauens benutzen.

Bei mir läuft der externe Zugang ausschließlich über VPN.

 

[synfor]

Am Windows Rechner wird die USB Platte nicht mehr erkannt.

Davon kannst du erst sprechen, wenn die externe Platte außer im Explorer auch noch in der Datenträgerverwaltung und im Gerätemanager fehlt. Ist das so?

 

[Rotbart]

Da ja niemand weis ob auf der Platte nicht noch irgendwelche bösen Tools drauf sind wäre ich vorsichtig die in einem WindowsPC zum laufen zu bekommen, zumindest wenn ich die Daten auf dem PC noch brauche.

 

[Stationary]

Screenshot der Readme Datei.

Ich würde den Fall vor allem auch der Polizei melden und auch an Protonmail. Protonmail ist ein schweizerischer Anbieter von verschlüsselten e-mail-Diensten, aber es kann nicht in deren Interesse sein, strafbare Tätigkeiten zu decken. Als Nutzer von Protonmail würde ich zumindest in solchen Fällen eine Zusammenarbeit mit Strafverfolgungsbehörden erwarten.

 

[kernm23]

Habe mir die USB-Platte unter Windows nochmal genauer angeschaut.
Im Gerätemanger wird mir die USB-Platte (Toshiba 4TB) angezeigt. Siehe Eigenschaften und Ereignisanzeige.
In der Datenträgerverwaltung erschient die Festplatte mit komplett freiem Speicher. Allerdings ist die Festplatte nicht mehr in NTFS formatiert.

Wurde wahrscheinlich neu formatiert, oder?
Wie schätzt Ihr die Erfolgsaussichten einer Datenwiederherstellung ein?

 

[synfor]

In der Datenträgerverwaltung erschient die Festplatte mit komplett freiem Speicher.

Nein, schaue noch einmal genau hin.

Wurde wahrscheinlich neu formatiert, oder?

ja

 

[heavy]

Nur weil Windows das behauptet muss sie nicht leer sein. Wenn Windows die Formatierung nicht erkennt zeigt es schon mal leer an. Ich würde dir auch raten es mit Linux zu probieren. Und wieder zeigt sich EINE Kopie ist KEIN Backup.

 

[synfor]

Nur weil Windows das behauptet muss sie nicht leer sein. Wenn Windows die Formatierung nicht erkennt zeigt es schon mal leer an.

Windows zeigt da aber nichts leer an. Schaue dir doch mal seinen Screenshot von der Datenträgerverwaltung an. Die sagt da, dass da eine Partition existiert.

 

[Sequoia]

@kernm23 was mich freuen würde, wenn Du auch mal, anstatt das, was Du aktuell hast, schreiben würdest, "was Du falsch gemacht hast", sodass das Ganze passieren konnte.

Denn auch das ist ganz wichtig für den Thread, damit ggf. andere User nicht die gleichen Fehler machen.

Hier wurde ja schon mehrmals vermutet:
- Zugangsdaten irgendwo gespeichert
- Computer (Windows?) mit Trojaner, somit ggf. ein noch größerer Schaden vorhanden
- offene Ports
- keine 2FA
- überall die gleichen Passwörter

usw.

Das wäre dann sehr hilfreich (denn hier bekommst Du für Dein Problem ja auch schon Hilfe) für die anderen Nutzer.