Plötzlich kein Zugriff mehr (Verschlüsselung)

kernm23

Benutzer
Mitglied seit
02. Mrz 2010
Beiträge
200
Punkte für Reaktionen
1
Punkte
18
Ich kann auf meine Ordner auf meiner DS118 nicht mehr zugreifen.


Die Ordner waren bisher nicht verschlüsselt.


Ich habe gestern eine Sicherheitsmeldung von Synology bekommen. Die Anmeldeaktivitäten stammen nicht von mir.


Meine externe USB-Sicherungsfestplatte wird am Windows-Rechner nicht mehr erkannt.

Sicherheitsmeldung:

1653041234914.png


verschlüsselte Ordner:
1653041338492.png


Was soll ich machen? Zuerst alle Passwörter ändern, oder?
 

Rotbart

Benutzer
Sehr erfahren
Mitglied seit
04. Jul 2021
Beiträge
1.724
Punkte für Reaktionen
638
Punkte
134
Alle Systeme trennen,alles plattmachen, Fehler suchen wie die Zugang zu deinem System erlangen konnten, Passwörter ändern, System neu aufsetzen, eventuell auch Windowsclienten, Backup überprüfen, Backup neu einspielen. So in etwa in der Reihenfolge.
 

Jim_OS

Benutzer
Sehr erfahren
Mitglied seit
05. Nov 2015
Beiträge
5.069
Punkte für Reaktionen
2.268
Punkte
259
  • Like
Reaktionen: Synchrotron

kernm23

Benutzer
Mitglied seit
02. Mrz 2010
Beiträge
200
Punkte für Reaktionen
1
Punkte
18
Meine Backup USB Platte war auch angeschlossen an die DS118.
Habe versucht über HyperBackup Explorer zuzugreifen. Leider wird die USB-Platte nicht angezeigt. Kann ich hier etwas machen? Hatte aktuell leider kein offline backup.
 

Rotbart

Benutzer
Sehr erfahren
Mitglied seit
04. Jul 2021
Beiträge
1.724
Punkte für Reaktionen
638
Punkte
134
Das ist ungünstig 🙄
Du kannst versuchen ein LiveLinux von DVD zu starten, vielleicht erkennt das die Platte und die Daten darauf sind nicht verschlüsselt, aber viel Hoffnung mach ich dir da nicht, da war wohl einer gründlich.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
14.059
Punkte für Reaktionen
3.872
Punkte
488
@kernm23
Mich würde mal interessieren, welche Portleitung im Router du hast, äh hoffentlich hattest.
 

kernm23

Benutzer
Mitglied seit
02. Mrz 2010
Beiträge
200
Punkte für Reaktionen
1
Punkte
18
gibt’s eine Möglichkeit mit einem Tool zu versuchen, die Ordner zu entschlüsseln?
 

Rotbart

Benutzer
Sehr erfahren
Mitglied seit
04. Jul 2021
Beiträge
1.724
Punkte für Reaktionen
638
Punkte
134
Wenn du das Passwort dazu hast ;-) .Vielleicht bekommst du ja ein Angebot dazu gegen mehr oder weniger Geld.
 

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
14.084
Punkte für Reaktionen
6.092
Punkte
569
@kernm23 welche Ports waren am Router auf die DS weitergeleitet?
 

kernm23

Benutzer
Mitglied seit
02. Mrz 2010
Beiträge
200
Punkte für Reaktionen
1
Punkte
18
Habe eine readme Datei auf der DS118 und soll mich an eine email Adresse wenden um den Schlüssel zu erhalten.
Was würdet ihr tun? Wie sollte man vorgehen? Habe leider kein offline backup.
 

Rotbart

Benutzer
Sehr erfahren
Mitglied seit
04. Jul 2021
Beiträge
1.724
Punkte für Reaktionen
638
Punkte
134
Kannst dich ja dort melden und mal sehen wieviel sie haben wollen, ob dir deine Daten soviel wert sind.Garantie das du den Schlüssel bekommst hast du trotzdem nicht, d.h. evt. setzt du noch mal paar 100 Euro in Sand.
Ich persönlich würde es nicht machen , aber wenn du keine andere Wahl hast.
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.139
Punkte für Reaktionen
2.098
Punkte
259
Mal schauen, welche Gang da die Daten verschlüsselt hat. Das lässt sich manchmal am Anschreiben oder den Dateiendungen der verschlüsselten Dateien erkennen. Für einige ältere gibt es im Internet sozusagen den Generalschlüssel. Das war die damalige Generation von Ransomware-Erpressern, die haben einen Schlüssel verwendet für alle Hacks. War der bekannt, konnte man entschlüsseln.

Bei den neueren Gangs werden individuelle Schlüssel verwendet, und Algorithmen auf Militärniveau. Die sind in (endlicher) Zeit nicht mehr zu entschlüsseln. Da hilft wirklich nur das Backup (oder auch nicht …), oder bezahlen (auch das manchmal nicht).

Man unterstützt damit ein kriminelles Geschäftsmodell, und verursacht indirekt die nächsten Opfer.

P.S. Wer heute noch seine DS über geöffnete Ports ins Internet stellt, weiß hoffentlich sehr gut, was er da tut. Hilft in diesem Fall wohl nichts mehr, aber es sollte eine Warnung für unbedarfte Nachahmer sein.
 

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
6.057
Punkte für Reaktionen
1.855
Punkte
254
@kernm23
Eine Verkettung von mehreren Fehlern... leider...
die offenen Ports, dazu alles Standardports (kein Portmapping)
angeklemmte Backupplatte,
kein weiteres Backup

Nach den Screenshots zu urteilen ist der Angreifer über das DSM gekommen.
Wo waren die Zugangsdaten noch hinterlegt?

Zum Täter:
Wir hatten hier im Forum schon mehrere Fälle dieser Art. In einem Fall hat das Opfer an den Täter bezahlt (kleiner dreistelliger Betrag) und das Passwort zum Entschlüsseln bekommen. Es gibt also noch Hoffnung. Nimm Kontakt auf und frage. Mehr als nein sagen kann dir ja nicht passieren.
 

kernm23

Benutzer
Mitglied seit
02. Mrz 2010
Beiträge
200
Punkte für Reaktionen
1
Punkte
18
Hallo,
unten ein Screenshot der Readme Datei. Lässt daraus etwas erkennen über die Aussichten, wieder an die Daten zu kommen?

Ich habe gelegentlich Daten über ftp von extern kopiert. Die Zugangsdaten zur DS waren noch auf meinem Windowsrechner in einem Dateimanager hinterlegt, mit dem ich die ftp Verbindung hergestellt habe.

5F71FE4F-8C51-4293-8350-A7A204F85FEA.jpeg
 

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
6.057
Punkte für Reaktionen
1.855
Punkte
254
Fragen kostet nichts. Frage freundlich, was er sich vorstellt und wie er es geschafft hat.

Zugang vom Täter:
Im Grunde gibt es ja nur zwei Möglichkeiten. Entweder er hat sich irgendwo die Zugangsdaten abgegriffen oder eine Möglichkeit gefunden ein NAS von Synology zu "hacken", sprich einen Zugang über eine Lücke zu finden.

Die hinterlegten Zugangsdaten im Dateimanager sind die Admin-Zugangsdaten oder eines Users vom DSM?

Beim letzten Fall war es die Hinterlegung der Zugangsdaten (admin) vom DSM im ioBroker (Smarthome), dessen Adminoberfläche wiederum ungeschützt war. Und das hat damals der Täter dem Opfer sogar erzählt.
 

Sequoia

Benutzer
Mitglied seit
14. Dez 2017
Beiträge
1.026
Punkte für Reaktionen
92
Punkte
74
Ist das in so einem Fall so, dass der Angreifer sich auf die DSM eingeloggt hat, da „rum gestöbert“ hat, und dann die Ordner verschlüsselt?

Finde das ziemlich gruselig.
 

Jim_OS

Benutzer
Sehr erfahren
Mitglied seit
05. Nov 2015
Beiträge
5.069
Punkte für Reaktionen
2.268
Punkte
259
P.S. Wer heute noch seine DS über geöffnete Ports ins Internet stellt, weiß hoffentlich sehr gut, was er da tut. Hilft in diesem Fall wohl nichts mehr, aber es sollte eine Warnung für unbedarfte Nachahmer sein.
Ich würde das etwas abändern: Wer heute noch ein Gerät über geöffnete Ports ins Internet stellt, weiß hoffentlich sehr gut, was er da tut. ;)

Da ich ja auch ein wenig mit Smart Home unterwegs bin finde ich es immer interessant wie "naiv" und sorglos User für ihre Smart Home Geräte und Anwendungen irgendwelche Portfreigaben und Zugriffsmöglichkeiten aus dem Internet einrichten. Ebenso werden irgendwo und überall irgendwelche Zugangsdaten für irgendwelche Erweiterungen, Addons usw. hinterlegt, denn schließlich möchte man ja von unterwegs auch auf seine Kamera, den Google Kalender, den Router, das NAS usw. zugreifen. Ob und wie sicher diese Zugangsdaten dann wo gespeichert werden scheint nur die wenigsten User (noch) zu interessieren. Man könnte sagen: Die Leichtigkeit (oder ggf. auch Bequemlichkeit) siegt über die Sicherheit.

VG Jim
 

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
6.057
Punkte für Reaktionen
1.855
Punkte
254
Angreifer sich auf die DSM eingeloggt hat, da „rum gestöbert“ hat, und dann die Ordner verschlüsselt?
Das ist meine Vermutung, da das DSM von außen erreichbar ist, sowie der erste Screenshot die Unterseite "Gemeinsame Ordner" zeigt, wo an allen Ordnern ein Schloss (verschlüsselt) hängt. Daher gehe ich davon aus, dass der Täter die Zugangsdaten hatte, sich eingeloggt hat, die Verschlüsselung angestoßen, nach Fertigstellung (dauert je nach Größe ein paar Stunden) dann die Ordner ausgehängt hat. Er war also 2x im System.
Bequemlichkeit) siegt über die Sicherheit.
Das ist in allen Bereichen des Lebens (leider) so. Bequemlichkeit ist eine menschliche Schwäche, man geht immer den leichten Weg (wenn man nicht nacchdenkt). Und nachdenken tut man erst, wenn "das Kind in den Brunnen gefallen ist". Gebrannte Kinder scheuen das Feuer.

Das habe ich früher in der Datenrettung immer schön beobachten können: "Vor" dem Datengau konnte man sich den Mund fusselig reden, es wurde auf die Datensicherheit egal in welcher Hinsicht keinen Wert gelegt.
Ganz im Gegensatz zu den Kunden, die einen Datengau hatten: Die legten danach Wert auf Backups und weitere Sicherheiten. Die Unbequemlichkeit (finanziell und eigener Aufwand) waren da kein Thema mehr.
 
  • Like
Reaktionen: Rotbart


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat