Ransomeware - kein Speicherpool, keine Volumes mehr da

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.077
Punkte für Reaktionen
561
Punkte
194
1. Syno vom Internet trennen
2. Mit einem "sauberen" PC direkt per Kabel wieder Verbindung zur Syno herstellen und einschalten. Wenn jemand Zugriff auf die Syno erlangt hat dann via einem PC in deinem Netzwerk. (Daher musst du ausnahmslos alle PCs als kompromittiert ansehen, heisst ohne Rücksicht komplett neu installieren!!!! Erst wenn alle PCs neu installiert sind das Netzwerk wieder in Betrieb nehmen.)
3. Alle Adminpasswörter in der Syno ändern.
4. Wenn die Backups gelöscht wurden, kann dies nur mittels Admin Account der Syno passiert sein.
In diesem Fall muss im Protokoll nachvollziehbar sein welcher Account was wann gemacht hat! Das würde schon mal Klarheit verschaffen.
Wenn da nichts zu sehen ist mal auf Linuxebene die Festplatten überprüfen wo die Backupdateien geblieben sind.
Ein simples Löschen ermöglicht immer noch ein Wiederherstellen!

Was für mich keinen Sinn macht ist, dass die Speicherpools gelöscht sin sollen! Damit beraubt sich der Hacker der Grundlage seiner Erpressung, nämlich kostenpflichtige Wiederherstellung des Datenbestandes.
Das hier sieht mehr nach Unvermögen oder Racheakt aus dich um den gesamten Datenbestand zu bringen. Ist schon seltsam.

Datenwiederherstellung geht vermutlich mit Ontrack zB, aber da muss eine Fachfirma ran, denn innerhalb der Syno wird das nicht gehen.....oder hast du vielleicht eine deiner Synos nur im Raid1 mit 2 HDs betrieben? Dann wird es einfach!

Dann noch ein Rat: Da es gar nicht so teuer ist wenn man keine riesigen Datenmengen sichern muss C2 Backup als Cloudspeicher buchen! Dann wärst du jetzt aus dem Schneider.
 
Zuletzt bearbeitet:

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
13.432
Punkte für Reaktionen
5.663
Punkte
524
Speicherpool, Anzahl HDDs?
 

Hubert_Vienna

Benutzer
Mitglied seit
16. Mai 2023
Beiträge
16
Punkte für Reaktionen
12
Punkte
3
Ja, das dachte ich mir auch. Nur über einen cleanen PC drauf zugreifen und mal die Passorte zu ändern habe ich auch vor.
Konfig: RAID6 + Hotspare

Bin leider überhaupt kein Linux Mensch. Abgesehen davon gehe ich davon aus, dass die Dateien auch verschlüsselt sind, wenn man direkt drauf zugreift.

Die Backups einfach zu löschen, finde ich auch seltsam, für die Erpressung eher kontraproduktiv.
 

maxblank

Benutzer
Contributor
Sehr erfahren
Mitglied seit
25. Nov 2022
Beiträge
4.041
Punkte für Reaktionen
2.126
Punkte
289

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
13.432
Punkte für Reaktionen
5.663
Punkte
524
ok, 5 HDDS Raid6 kannst du schwierig an einem anderen PC auslesen. Ich würde einen der beiden Server isoliert starten oder wie gesagt alles einem Profi anvertrauen.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.077
Punkte für Reaktionen
561
Punkte
194
Noch eines nach einem Feldtest, den ich mit einigen Admins mal vor 3 Jahren gemacht habe, indem wir eine phishingmail aktiviert hatten:
Die Malware verschlüsselt vom PC aus das, was an Ordnerfreigaben im Zugriff ist.
Dazu gehört nicht die Hyperbackupdatei. Die liegt im NAS ausserhalb der Dateiordner. Ich vermute mal, wenn ansonsten auf deiner Syno die Daten verschlüsselt wurden, dass der Hacker den Backupauftrag nur via Hyperbackup gelöscht aber nicht verschlüsselt hat. Diese Datei liesse sich also problemlos auf Linuxebene wiederherstellen.
Die Verschlüsselung erfolgte wie erwähnt dabei NICHT mittels tool auf der Syno sondern wurde über den befallenen PC durchgeführt.
Der Zugriff via Admin auf das NAS wurde dem Hacker möglich, weil von dem befallenen PC mit dem Adminaccount auf die Syno zugegriffen wurde. Dies wurde im PC von der Malware protokolliert und an den Hacker gesendet. Damit war der Server verloren.

Diese ganze Aktion war höchst interessant unter wireshark zu beobachten und lief insgesamt von der Infektion bis zum Ende fast eine Woche, bis die Verschlüsselung durchgeführt wurde.
Für dich also wichtig in den HB Protokollen nachzusehen, was mit dem Backup und durch wen passiert ist!
 

Hubert_Vienna

Benutzer
Mitglied seit
16. Mai 2023
Beiträge
16
Punkte für Reaktionen
12
Punkte
3
Danke für den Tip!! Meinst Du die Ereignisse im PC (Ereignisanzeige)? Weiss Du noch, in welcher das gestanden ist?
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.077
Punkte für Reaktionen
561
Punkte
194

patrickn

Benutzer
Sehr erfahren
Mitglied seit
07. Apr 2016
Beiträge
742
Punkte für Reaktionen
290
Punkte
83
Alle Protokolle sichern und exportieren wäre auch kein Fehler, sofern noch vorhanden.
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.083
Punkte für Reaktionen
2.060
Punkte
259
Zwei Anmerkungen zu @NSFH :

Dass der Einbruch fast immer über einen Client (Windows PC) erfolgt ist so. Die Verschlüsselung läuft automatisch auf die Freigaben. Wir hatten hier aber auch schon einen Fall, wo die Synology-eigene Verschlüsselung genutzt wurde. Das lief dann auf der DS lokal.
Sind die Dateien einzeln verschlüsselt und haben noch eine seltsame Dateiendung, dann war es die Malware selbst. Ordnerverschlüsselung könnte auch die DS-eigene Software.

Was ich hier vermute (und nur @Hubert_Vienna bestätigen kann) ist, dass der gleiche Admin-User für alle Server im Netz benutzt wurde. Das hätte dann den Angriff auf die Backups ermöglicht.
 

Hubert_Vienna

Benutzer
Mitglied seit
16. Mai 2023
Beiträge
16
Punkte für Reaktionen
12
Punkte
3
Zwei Anmerkungen zu @NSFH :

Dass der Einbruch fast immer über einen Client (Windows PC) erfolgt ist so. Die Verschlüsselung läuft automatisch auf die Freigaben. Wir hatten hier aber auch schon einen Fall, wo die Synology-eigene Verschlüsselung genutzt wurde. Das lief dann auf der DS lokal.
Sind die Dateien einzeln verschlüsselt und haben noch eine seltsame Dateiendung, dann war es die Malware selbst. Ordnerverschlüsselung könnte auch die DS-eigene Software.

Was ich hier vermute (und nur @Hubert_Vienna bestätigen kann) ist, dass der gleiche Admin-User für alle Server im Netz benutzt wurde. Das hätte dann den Angriff auf die Backups ermöglicht.
Ja, ActiveDirectory
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.064
Punkte für Reaktionen
1.086
Punkte
194
oh das ist natürlich ungünstig.

Bei mir ist alles was mit Backup zu tun hat getrennt vom AD .

Allgemein ist das so ein Nachteil von ner Domäne
 

maxblank

Benutzer
Contributor
Sehr erfahren
Mitglied seit
25. Nov 2022
Beiträge
4.041
Punkte für Reaktionen
2.126
Punkte
289
Jepp, ohne 2FA geht es leider dann dahin…

Daher solche Geräte für Backup nie ins AD einbinden!
 
  • Like
Reaktionen: metalworker

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.064
Punkte für Reaktionen
1.086
Punkte
194
@Hubert ,

das bitte nicht Persönlich nehmen . Wir versuchen hier nur die Fehler zu erkennen ums dann
in Zukunft für andere zu empfehlen . Damit sowas nicht wieder passieren kann.
 
  • Like
Reaktionen: Synchrotron und dil88

maxblank

Benutzer
Contributor
Sehr erfahren
Mitglied seit
25. Nov 2022
Beiträge
4.041
Punkte für Reaktionen
2.126
Punkte
289
Sehr korrekte Einstellung von dir! 👍🏻
Umso mehr tut mir die Situation leid in der ihr steckt wegen solcher Ar…..cher. 😡
 

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
1.765
Punkte für Reaktionen
719
Punkte
128
@Hubert_Vienna : Auch ich wünsche dir viel Erfolg beim Restore, auf welchem Weg auch immer. Im Nachgang hier gern noch einmal melden, damit wir zusammenfassen noch Tipps zusammenstellen können.

Ich für meinen Teil, nutze für ALLE Nutzer, welche mit Laptops, PCs und Handys darauf zugreifen die 2FA. Meine Familie (Frau, Kinder, ich) nutzt Yubikeys als Hardware-Key und mit der App von Yubico auch die OTP Codes. Restliche Empfehlungen später, da es hier im Moment nur stört und nicht zur Lösung beiträgt.

(y) nochmals viel Erfolg.
 
  • Like
Reaktionen: maxblank

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.077
Punkte für Reaktionen
561
Punkte
194
Egal ob Admin oder ad\Admin, wenn der PC befallen ist und die Malware schon den Datenverkehr und das Anmeldeverhalten belauscht gibt man irgendwann auf diesem PC ein Admin Passwort ein. Da die Eindringlinge Zeit haben und sich unauffällig verhalten kann man darauf auch 4 Wochen warten.
Genau so ist es im bekannten Fall der CT Redaktion gelaufen. Ein verseuchter PC der entdeckt wurde und dann der kapitale Fehler, dass sich der Admin genau an diesem PC angemeldet hat um zu prüfen was los ist.
Was in einem professionellen Netzwerk Usus ist, nämlich ein rein administrativer PC für die Admins ist leider nicht auf Heimanwender und kleine Installationen anwendbar.

Vielleicht noch der Tipp das aktuelle CT Sonderheft mit dem Virenscanner zu kaufen und mit CT Desinfekt mal die PCs überprüfen.
Dazu dann gleich noch ein Tipp: Keinen normalen USB Stick für sowas nutzen sondern einen SD-Kartenstick, also die leere Hülle wo man eine vollwertige SD-Karte reinsteckt. Diese kann man nach der Installation der Analyse- und Rettungssoftware mit einem kleinen Schiebeschalter schreibschützen. Dann trägt man nicht den Virus mit dem Rettungstool gleich noch zu den anderen PCs.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat