Ransomeware - kein Speicherpool, keine Volumes mehr da

[Hubert_Vienna]

Hallo,

ich bin verzweifelt.

Ich habe in meinem Netz mehrere Synology NASen, zwei davon nutze ich nur zur Datensicherung. Sowohl auf Dateiebene, als auch mit ActiveBackup.

Nun wurde meine IT verschlüsselt. UND - bei allen NASen, die Backup beinhaltet haben, ist der Speicherpool gelöscht. Bei allen anderen NICHT.
Ich hoffe zutiefst, dass die Daten noch auf den Platten sind, aber ich bin überhaupt kein Linux-Mann. Kann man den Speicherpool bzw. das Volume auf Linux-Ebene irgendwie wieder herstellen?

Kann mir da bitte wer helfen?

Beste Grüße
Hubert

 

[Synchrotron]

Erst mal alles runter fahren / abschalten.

Dann bitte mal eine konkrete Liste posten, welche Geräte im Netzwerk sind, und was darauf läuft.

Hattest du auf jeder DS eigene Admin-Benutzer, jeder mit einem eigenen Passwort, und 2-Faktor-Authentifizierung ?

Gab es für die Backup-Nutzung ebenfalls eigene User, mit eigenen Passwörtern ?

Sind Windows-PCs im Netzwerk ? Iot-Geräte ?

Gibt es noch einen vertrauenswürdigen Computer, den man später für einen DS-Zugriff verwenden kann ?

 

[Hubert_Vienna]

Hallo,

Erst mal alles runter fahren / abschalten.
--schon geschehen--

Dann bitte mal eine konkrete Liste posten, welche Geräte im Netzwerk sind, und was darauf läuft.
--das Netzwerk ist schon "aufgelöst", es geht nur mehr um die beiden (ehemaligen) BackupNAS--
1 x DS2419+
1 x DS3018xs
Interessant ist, dass nur die Speicherpools von diesen beiden NAS gelöscht wurden, bzw. nicht mehr da sind, auf denen die Backups lagen und ActiveBackup gelaufen ist. Auf DSM kann ich bei beiden zugreifen, die Web-oberfläche funktioniert.

Hattest du auf jeder DS eigene Admin-Benutzer, jeder mit einem eigenen Passwort, und 2-Faktor-Authentifizierung ?
--Ja, eigene Admin Benutzer gibt es, keine 2-Faktor-Authentifizierung. Wollte ich demnächst umstellen.---

Gab es für die Backup-Nutzung ebenfalls eigene User, mit eigenen Passwörtern ?
--Ja, gab es--

Sind Windows-PCs im Netzwerk ? Iot-Geräte ?
--Windows Geräte waren im Netzwerk, mittlwerweile sind die beiden NAS nicht mehr im Netz. Keine Iot-Geräte--

Gibt es noch einen vertrauenswürdigen Computer, den man später für einen DS-Zugriff verwenden kann ?
--Ja, gibt es--

 

[maxblank]

Externes Backup vorhanden?
Ist das o.a. Szenario geschäftlich?

 

[Hubert_Vienna]

Hi,

externes Backup - ja, aber unbrauchbar alt. Laufwerk für externe Sicherungen ist uns vor einiger Zeit kaputt gegangen, wollte es dieses Wochenende tauschen. Ich könnte mich .....

Ja, ist geschäftlich. Wir sind eine kleine Elektrikerfirma mit zwei Leuten. Ohne den Daten, bzw. zumindest einem Teil davon schaut es düster aus.

 

[ctrlaltdelete]

www.ontrack.de
Nimm professionelle Hilfe in Anspruch!

 

[niklas]

Hallo,
Gibt es in Wien:
https://www.attingo.at/symptome/datenrettung-bei-ransomware/

 

[maxblank]

Auch wenn das jetzt wahrscheinlich nicht das ist, was du hören möchtest:
-Ruhe bewahren, jede ungeplante Aktion kostet jetzt noch mehr Geld und rächt sich später
-Datenschutzbeauftragten informieren (falls vorhanden, bei 2-Mann-Betrieb wahrscheinlich eher nicht)
-Datenschutzbehörde informieren
-Anzeige bei Polizei erstatten
-Dienstleister einschalten
-altes Backup sichten wie dort der Datenstand ist (altes Backup ist besser wie gar keins)

Bitte das alles in einem Kontext bzw. Zusammenhang sehen, mit Bedacht und Überlegung handeln und nicht überstürzt nach dem Motto: "Wir müssen direkt weiter arbeiten, jede Minute kostet uns Geld".

Habt ihr intern eine IT-Administration? Sind Wiederanlaufpläne bzw. ein Disaster Recovery vorhanden?

 

[Synchrotron]

Waren die gelöschten Speicherpools verschlüsselt (Volume-Verschlüsselung) ?

Vom Angriffsszenario her muss jemand Zugriff auf die Admin-Passwörter bekommen haben. Das ist wahrscheinlich auf einem der Clients passiert (Windows-PC). Nur mit diesen Zugriffen lässt sich ein Speicherpool löschen. Vermutlich sind die Daten noch da, aber auch das läßt sich eben nur vermuten. Wir hatten im Forum auch schon Fälle, bei denen die Daten zuerst noch verschlüsselt wurden.

Die Angreifer konnten sich vermutlich einige Zeit im Netzwerk bewegen, wenn sie so gezielt die Backups angegriffen haben. Sie hatten daher auch Zeit, weitere Schweinereien anzurichten. Der Speicherpool ist schnell gelöscht, vielleicht wird damit aber nur eine andere Aktion verdeckt, die vorher durchgeführt wurde.

Daher schließe ich mich meinen Mitforisten an: Ohne eine professionelle Unterstützung wird sich hier nichts ausrichten lassen. Zumal die Gefahr besteht, dass bei Rettungsversuchen per Forumsdiskussion noch etwas zerschossen wird.

Das kostet jetzt, aber nicht arbeiten können kostet im Zweifel mehr.

 

[Hubert_Vienna]

Vielen Dank an alle für die Hinweise und Tips!!!

 

[metalworker]

Konntest du bei dir schon heraus bekommen wie die Angreifer reingekommen sind?

 

[Hubert_Vienna]

Nein, das ist in Arbeit

 

[metalworker]

Es würde uns freuen wenn du uns da bisl auf dem laufen hälst.
Das hilft immer sehr um unsere eigene Netze auch zu schützen.


Ach und ich wünsche dir da auch viel erfolg und starke nerven.
Und den Verbrechen wünsche ich die Pest an den Hals

 

[Hubert_Vienna]

Alles klar. Was momentan feststeht ist, dass die schon lange in unserem Netz aktiv waren, und die entsprechenden Passworte abgecheckt haben. Und dann gnadenlos den Speicherpool gelöscht haben.

 

[metalworker]

Sowas ist echt gruselig .
Und als keine Firma wie Ihr hast da eigentlich kaum eine Chance so jemanden zu erkennen

 

[Hubert_Vienna]

Jein, wir sind eigentlich recht gut ausgestattet... Firewall mit den notwendigen Apps, keine EndpointSecurity, kein Scanner, nichts hat angeschlagen. Völlige Machtlosigkeit...
Aber Fehler wie - keine 2FA, keine lokale Verschlüsselung, keine Kontrolle der Offline Sicherung, keine regelmäßigen Tests der Rücksicherung etc passieren mir nicht mehr. Wird halt alles mittlerweile echt aufwändig.

 

[metalworker]

Wie viele Clients habt Ihr denn?
Das Problem ist ja , FIrewall , EndpointSec und co sind gut . Helfen aber nur bedingt bei guten Hackern.
Da brauchst schon eine rechte Einbruchserkennung . Und sehr scharfe Regeln.

Was ich bei mir noch gemacht hab.
Ich hab nen einzelne Synology . Die per Pull Backup nochmal sich alle Wichtige Daten zieht.
Dort ist aber per Firewall der DSM Zugriff aus dem Netzwerk blockiert.
Ich muss da über den 2. LAN Port direkt drauf zugreifen.
Das mach ich dann mit nem älteren Laptop den ich nur nehme um das Gerät zu überprüfen ob alles läuft.

Ist zwar vom Handling echt nervig , aber so hat aus dem Netzwerk keine ne Chance drauf zu zu greifen.

 

[Hubert_Vienna]

Gute Idee! Aber auf Basis der derzeitigen Erfahrungen - offline Backup!

 

[metalworker]

Ich hab noch 2 Externe Platten , die ich immer mal anschließe und die dann wieder im Safe verschwinden.

Das ist dann aber auch eher die Angst platte um ruhig zu schlafen.

Irgendwann hat man auch alles getan was möglich ist

 

[Hubert_Vienna]

Habe noch einen kleinen HA-Cluster im Netz, der runtergefahren wurde, bevor er verschlüsselt wurde. Zumindest glaube ihc das, konnte noch auf die Daten zugreifen. Ich trau mich jetzt nicht, beide hochzufahren. Würde gerne einen hochfahren, und versuchen, die Daten runter zu kopieren. Und den anderen noch ausgeschalten lassen, falls er doch schon befallen ist. Gibt es da Erfahrungen, nur das aktive oder passive NAS hochzufahren?