Ransomeware - kein Speicherpool, keine Volumes mehr da

[NSFH]

1. Syno vom Internet trennen
2. Mit einem "sauberen" PC direkt per Kabel wieder Verbindung zur Syno herstellen und einschalten. Wenn jemand Zugriff auf die Syno erlangt hat dann via einem PC in deinem Netzwerk. (Daher musst du ausnahmslos alle PCs als kompromittiert ansehen, heisst ohne Rücksicht komplett neu installieren!!!! Erst wenn alle PCs neu installiert sind das Netzwerk wieder in Betrieb nehmen.)
3. Alle Adminpasswörter in der Syno ändern.
4. Wenn die Backups gelöscht wurden, kann dies nur mittels Admin Account der Syno passiert sein.
In diesem Fall muss im Protokoll nachvollziehbar sein welcher Account was wann gemacht hat! Das würde schon mal Klarheit verschaffen.
Wenn da nichts zu sehen ist mal auf Linuxebene die Festplatten überprüfen wo die Backupdateien geblieben sind.
Ein simples Löschen ermöglicht immer noch ein Wiederherstellen!

Was für mich keinen Sinn macht ist, dass die Speicherpools gelöscht sin sollen! Damit beraubt sich der Hacker der Grundlage seiner Erpressung, nämlich kostenpflichtige Wiederherstellung des Datenbestandes.
Das hier sieht mehr nach Unvermögen oder Racheakt aus dich um den gesamten Datenbestand zu bringen. Ist schon seltsam.

Datenwiederherstellung geht vermutlich mit Ontrack zB, aber da muss eine Fachfirma ran, denn innerhalb der Syno wird das nicht gehen.....oder hast du vielleicht eine deiner Synos nur im Raid1 mit 2 HDs betrieben? Dann wird es einfach!

Dann noch ein Rat: Da es gar nicht so teuer ist wenn man keine riesigen Datenmengen sichern muss C2 Backup als Cloudspeicher buchen! Dann wärst du jetzt aus dem Schneider.

 

[ctrlaltdelete]

Speicherpool, Anzahl HDDs?

 

[Hubert_Vienna]

Ja, das dachte ich mir auch. Nur über einen cleanen PC drauf zugreifen und mal die Passorte zu ändern habe ich auch vor.
Konfig: RAID6 + Hotspare

Bin leider überhaupt kein Linux Mensch. Abgesehen davon gehe ich davon aus, dass die Dateien auch verschlüsselt sind, wenn man direkt drauf zugreift.

Die Backups einfach zu löschen, finde ich auch seltsam, für die Erpressung eher kontraproduktiv.

 

[Hubert_Vienna]

Speicherpool, Anzahl HDDs?

5 Platten, RAID6

 

[maxblank]

Wenn das alles erledigt ist, befasse dich bei Synology mit immutable Snapshots. Musst du prüfen, ob deine Synos das unterstützen.
https://kb.synology.com/de-de/DSM/tutorial/what_is_an_immutable_snapshot

Und arbeite danach mit Netzwerksegmentierung, also VLANs.

 

[ctrlaltdelete]

ok, 5 HDDS Raid6 kannst du schwierig an einem anderen PC auslesen. Ich würde einen der beiden Server isoliert starten oder wie gesagt alles einem Profi anvertrauen.

 

[Hubert_Vienna]

Danke

 

[NSFH]

Noch eines nach einem Feldtest, den ich mit einigen Admins mal vor 3 Jahren gemacht habe, indem wir eine phishingmail aktiviert hatten:
Die Malware verschlüsselt vom PC aus das, was an Ordnerfreigaben im Zugriff ist.
Dazu gehört nicht die Hyperbackupdatei. Die liegt im NAS ausserhalb der Dateiordner. Ich vermute mal, wenn ansonsten auf deiner Syno die Daten verschlüsselt wurden, dass der Hacker den Backupauftrag nur via Hyperbackup gelöscht aber nicht verschlüsselt hat. Diese Datei liesse sich also problemlos auf Linuxebene wiederherstellen.
Die Verschlüsselung erfolgte wie erwähnt dabei NICHT mittels tool auf der Syno sondern wurde über den befallenen PC durchgeführt.
Der Zugriff via Admin auf das NAS wurde dem Hacker möglich, weil von dem befallenen PC mit dem Adminaccount auf die Syno zugegriffen wurde. Dies wurde im PC von der Malware protokolliert und an den Hacker gesendet. Damit war der Server verloren.

Diese ganze Aktion war höchst interessant unter wireshark zu beobachten und lief insgesamt von der Infektion bis zum Ende fast eine Woche, bis die Verschlüsselung durchgeführt wurde.
Für dich also wichtig in den HB Protokollen nachzusehen, was mit dem Backup und durch wen passiert ist!

 

[Hubert_Vienna]

Danke für den Tip!! Meinst Du die Ereignisse im PC (Ereignisanzeige)? Weiss Du noch, in welcher das gestanden ist?

 

[NSFH]

In der Syno Hyperbackup starten. Da findest du alle Protokolle über die Datensicherung.

Hier findest du Tipps zur Datenwiederherstellung. Ob es da auch kostenfreie Tools gibt die auf der Syno laufen weiss ich nicht, da kann vielleicht jemand anderes weiter helfen.
https://recoverit.wondershare.de/harddrive-recovery/synology-recover-deleted-files.html

 

[patrickn]

Alle Protokolle sichern und exportieren wäre auch kein Fehler, sofern noch vorhanden.

 

[Synchrotron]

Zwei Anmerkungen zu @NSFH :

Dass der Einbruch fast immer über einen Client (Windows PC) erfolgt ist so. Die Verschlüsselung läuft automatisch auf die Freigaben. Wir hatten hier aber auch schon einen Fall, wo die Synology-eigene Verschlüsselung genutzt wurde. Das lief dann auf der DS lokal.
Sind die Dateien einzeln verschlüsselt und haben noch eine seltsame Dateiendung, dann war es die Malware selbst. Ordnerverschlüsselung könnte auch die DS-eigene Software.

Was ich hier vermute (und nur @Hubert_Vienna bestätigen kann) ist, dass der gleiche Admin-User für alle Server im Netz benutzt wurde. Das hätte dann den Angriff auf die Backups ermöglicht.

 

[Hubert_Vienna]

Zwei Anmerkungen zu @NSFH :

Dass der Einbruch fast immer über einen Client (Windows PC) erfolgt ist so. Die Verschlüsselung läuft automatisch auf die Freigaben. Wir hatten hier aber auch schon einen Fall, wo die Synology-eigene Verschlüsselung genutzt wurde. Das lief dann auf der DS lokal.
Sind die Dateien einzeln verschlüsselt und haben noch eine seltsame Dateiendung, dann war es die Malware selbst. Ordnerverschlüsselung könnte auch die DS-eigene Software.

Was ich hier vermute (und nur @Hubert_Vienna bestätigen kann) ist, dass der gleiche Admin-User für alle Server im Netz benutzt wurde. Das hätte dann den Angriff auf die Backups ermöglicht.

Ja, ActiveDirectory

 

[metalworker]

oh das ist natürlich ungünstig.

Bei mir ist alles was mit Backup zu tun hat getrennt vom AD .

Allgemein ist das so ein Nachteil von ner Domäne

 

[maxblank]

Jepp, ohne 2FA geht es leider dann dahin…

Daher solche Geräte für Backup nie ins AD einbinden!

 

[metalworker]

@Hubert ,

das bitte nicht Persönlich nehmen . Wir versuchen hier nur die Fehler zu erkennen ums dann
in Zukunft für andere zu empfehlen . Damit sowas nicht wieder passieren kann.

 

[Hubert_Vienna]

Kein Thema. Alles gut, wenn ich beitragen kann, dass andere diese Fehler nicht machen.

 

[maxblank]

Sehr korrekte Einstellung von dir!
Umso mehr tut mir die Situation leid in der ihr steckt wegen solcher Ar…..cher.

 

[Ronny1978]

@Hubert_Vienna : Auch ich wünsche dir viel Erfolg beim Restore, auf welchem Weg auch immer. Im Nachgang hier gern noch einmal melden, damit wir zusammenfassen noch Tipps zusammenstellen können.

Ich für meinen Teil, nutze für ALLE Nutzer, welche mit Laptops, PCs und Handys darauf zugreifen die 2FA. Meine Familie (Frau, Kinder, ich) nutzt Yubikeys als Hardware-Key und mit der App von Yubico auch die OTP Codes. Restliche Empfehlungen später, da es hier im Moment nur stört und nicht zur Lösung beiträgt.

nochmals viel Erfolg.

 

[NSFH]

Egal ob Admin oder ad\Admin, wenn der PC befallen ist und die Malware schon den Datenverkehr und das Anmeldeverhalten belauscht gibt man irgendwann auf diesem PC ein Admin Passwort ein. Da die Eindringlinge Zeit haben und sich unauffällig verhalten kann man darauf auch 4 Wochen warten.
Genau so ist es im bekannten Fall der CT Redaktion gelaufen. Ein verseuchter PC der entdeckt wurde und dann der kapitale Fehler, dass sich der Admin genau an diesem PC angemeldet hat um zu prüfen was los ist.
Was in einem professionellen Netzwerk Usus ist, nämlich ein rein administrativer PC für die Admins ist leider nicht auf Heimanwender und kleine Installationen anwendbar.

Vielleicht noch der Tipp das aktuelle CT Sonderheft mit dem Virenscanner zu kaufen und mit CT Desinfekt mal die PCs überprüfen.
Dazu dann gleich noch ein Tipp: Keinen normalen USB Stick für sowas nutzen sondern einen SD-Kartenstick, also die leere Hülle wo man eine vollwertige SD-Karte reinsteckt. Diese kann man nach der Installation der Analyse- und Rettungssoftware mit einem kleinen Schiebeschalter schreibschützen. Dann trägt man nicht den Virus mit dem Rettungstool gleich noch zu den anderen PCs.