Verschlüsselungstrojaner

[the other]

Moinsen,
erst einmal herzliches Beileid....
Hier eine Seite, die die diversen Ransomware-Teile listet, die einen (mitlerweile) kostenlosen Schlüssel bieten:
https://id-ransomware.malwarehunterteam.com/Mal nachsehen?

Ansonsten:
-Polizei damit das wenigstens aktenkundig ist
-generelle Infos zum Thema bei heise.de hier: https://www.heise.de/thema/Ransomware
-speziell zum worst case scenario: https://www.heise.de/tipps-tricks/R...n-Sie-Verschluesselungs-Trojaner-3907507.html
-beten oder Opfergaben bringen (besser als auf Erpressung eingehen)
-Spass beiseite: das ist echt Mist! Lass die Geräte erstmal aus, geh über dritte Wege online zum recherchieren, dies n.M. nicht via Router/WLAN
-bei besonders wichtigen Daten: mit dem Gedanken an kostenspieligen Support vertraut machen oder
-platt machen und neu
-nicht panisch agieren...mach dir einen Plan (dazu die heise links)

Viel Glück...

 

[independence2206]

Ich würde nach wie vor Social Engineering vermuten. Das Passwort stand im Klartext in der Mail, der Account der DS wurde scheinbar übernommen. Daher konnte auch die Laufwerksverschlüsselung genutzt werden. Bislang ist ja auch nicht bestätigt, dass Einzeldateien verschlüsselt sind sondern NUR ganze Laufwerke. Daher sehe ich nicht zwingend da Netzwerk als kompromittiert an, sondern lediglich das PW der DS. Natürlich kann diese Annahme auch widerlegt werden und 100% sicher kann man sich ja auch nicht sein.

 

[LutzHase]

Also mein Account war der einzige mit diesen Rechten. Der zweite Account war kein admin.
Die Frage ist wirklich wie man an das Passwort kam. Das habe ich auch nur einmalig verwendet.
Gemappte Laufwerke lassen einen doch kein Passwort erkennen oder?
Das werde ich in Zukunft auch nicht mehr mit einem admin machen!

Wo es leider gespeichert war ist im Browser, dass gibt es auch nicht mehr bei mir.
Egal wie viele Verbindungen es gab, dort wäre ja nie das Passwort hinterlegt.

Ich hatte eine dyndns damit ich mit dem Handy drauf kam. Vielleicht war es auch die Mariadb und phpmyadmin die mit dem iobroker verbunden waren.

Komischerweise hatte ich vor einer Woche den proxmox backup server installiert und musste die NFS Freigabe machen.

Die große Frage ist, wie schützt man sich nun davor?
Das ist mein erster Schädling überhaupt und dann gleich so...
Ich dachte immer eine nas ist da etwas sicherer als ein PC. Ich mache natürlich auch den PC platt. Aber ich kann der nas erst mal nicht trauen als Speicher. Obwohl das dem PC eigentlich eher hätte passieren können.
Jetzt mal weiter gedacht: ich mache dann immer backup usw.... Wie geht man mit dem Backups um? Man merkt es ja erst mal nicht wenn etwas drauf ist. Wenn es wirklich nur mit einem admin Account zu verschlüsseln geht, könnte man ja ständig das Passwort ändern und zwei Faktor usw.
Ich vermute aber das ein Eindringling keine Weboberfläche braucht. Daher auch meine Vermutung dass es da eine andere Lücke gibt. Und weil meine im öffentlichen Netz verfügbar war, kam man dran.
Selbst der Finder von Synology macht einem etwas Angst ?.
Also müssten die Apps nicht einfach stumpf IP anrufen sondern wenigstens fingerprint, Zertifikat oder sonst was mitbringen. Einfach per qr Code einlesen, können andere auch.

Ich warte noch auf den Support, mal sehen...

 

[Puppetmaster]

Gemappte Laufwerke lassen einen doch kein Passwort erkennen oder?
Das werde ich in Zukunft auch nicht mehr mit einem admin machen!

Äh, nein, das macht man mal ganz sicher nicht! Am besten das PW von Windows auch noch speichern lassen...

 

[tproko]

Soweit ich das verstanden habe, hat hier aber irgendjemand dein NAS übernommen oder?

es scheint ja so - laut Screenshot - dass jemand deine Volumes verschlüsselt hat. Das schaut mir nicht wie Standard Randsomware aus.

 

[weyon]

Gespeicherte Kennwörter im Windows Explorer können relativ einfach über Systemsteuerung/Anmeldeinformationen ausgelesen werden. Ist der Trojaner erstmal drauf kriegt er die Anmeldedaten für das Nas problemlos raus. Dann kann er in Ruhe von außen ohne deinen Pc auf das Nas zugreifen und alles machen was er will.

 

[Michael336]

Zusätzlich gibt es ja noch die Bequemlichkeit, den gleichen Userfür die NAS zu nehmen, der für Windows angelegt wurde, dann lassen sich auch die NAS Laufwerke einfach einbinden.

Soviel ich gelesen habe, sollte man Samba als Dateiübertragungsprotokoll weglassen.

Aus diesem Grunde wäre es hilfreich für mich und andere, es Alternative sinnvoll wäre und wie man das konkret einrichtet und administriert.

 

[weyon]

Naja, das samba bzw. smb Protokoll ist nunmal Standart für Freigaben in der Windows und Mac Welt, ohne das wirds halt schwierig mit den Netzlaufwerken. Aber auch bei nfs Laufwerken müssen Benutzer und Kennwort verwendet werden.
Natürlich wäre es das beste getrennte Benutzer mit entsprechenden Rechten für Admin und User zu nutzen.

 

[the other]

Moinsen,
find ich schwierig. Ist sicherlich technisch vieles drin, aber aufwändig und am Ende ist da immer das Spannungsfeld zwischen Sicherheit und Anwenderfreundlichkeit. Abgesehen davon begibt man sich mit in die Eskalationsspirale (heute isses noch sicher konfiguriert, morgen ein Exploit für irgendwas vorhanden oder irgendwer am PC fängt sich ne modernere Schadvariante ein und es geht neu los)...
Abgesehen von den üblichen Tips zu Sicherheit, dem erneuten Erinnern, dass nicht alle Dienste die es gibt auch tatsächlich genutzt werden müssen und dem disziplinierten Verhalten im Netz helfen langfristig aus meiner Sicht nur...
Trommelwirbel....

Backups, mehrere, alternierend, nicht angeschlossen als Dauerlösung sondern stumpf dran, backup, ab.

jm2c

 

[blurrrr]

Naja, das samba bzw. smb Protokoll ist nunmal Standart für Freigaben in der Windows und Mac Welt

Wurde AFP schon aufgegeben, oder wurde einfach kurzerhand den Macs nun auch SMB augedrückt?

 

[Puppetmaster]

Warum sollte es nicht in Ordnung sein, den Windows Benutzer den Synology Benutzern anzupassen bzw. umgekehrt?
Aber bitte dann nicht für Administratoren, mit deren Zugangsdaten ich auch das NAS administrieren kann.
Am besten noch auf Windows mit dem Admin im Netz surfen und dazu gemappte Laufwerke...

 

[weyon]

Afp wurde 2012 durch smb von Apple ersetzt. Man kann es zwar noch verwenden, muss extra aktiviert werden aber wird nicht mehr weiterentwickekt.

 

[blurrrr]

2012 schon...jut, muss ich verdrängt haben, bin nicht so der Apple-Fanboy (bitte um Verzeihung ).

 

[Synchrotron]

Kleine Liste:

AFP ist nach wie vor verfügbar. SMB1 ist kompromittiert, SMB 2/3 sollte sicher sein.

Möglichst keine/wenige Zugangsdaten auf den Rechnern ablegen, Passwortmanager verwenden für den PC: Min. 2 Accounts, den Admin nur nehmen, um etwas zu installieren, dort nie arbeiten, immer gleich wieder abmelden. Zum Arbeiten auf einen normalen Useraccount wechseln.

Auch wenn es unpraktisch klingt: Kein MS Office verwenden - es gibt Alternativen wie Open / Libre Office, oder die G-Suite. Kein Outlook, Thunderbird o.ä. nehmen.

Eskalationsstufe: Kein Windows verwenden, als Clients Mac oder Linux nehmen. Mac heißt neue Hardware, Linux lässt sich auf jedem PC installieren.

Für das NAS: Nur mit eingeschränkten Usern zugreifen. Jedem User nur die Rechte geben, die er benötigt. Der Admin wird nirgendwo gespeichert, sondern nur für Zugriffe verwendet, bei denen man ihn benötigt.

3-2-1-Backupstrategie etablieren.

Honeypot im eigenen Heimnetzwerk einrichten.

 

[Penthys]

Administrativen Account mit zwei-Faktor Authentifizierung absichern fehlt noch

 

[AndiHeitzer]

Eskalationsstufe: Kein ...

Eskalationsstufe II -> Alle Netzwerkkabel und WLAN-Verbindungen kappen, dann kann nix mehr rein oder raus ?

 

[peterhoffmann]

Eskalationsstufe II

Weitere Stufen:

• alles ausdrucken und abheften
• HDDs und SSDs mit dem Vorschlaghammer verkleinern und verbrennen

 

[the other]

und schließlich:
Keilschrift auf Steintafel mit Hammer und Meißel

 

[Lextor]

Moin,

Ist Ja heftig was dem LutzHase passiert ist...tut mir echt leid für ihn...ich kann zwar nicht soviel betragen aber ich hätte in dem Zusammenhang eine Frage.

Ich habe für Alles, wirklich Alles ein anderes Passwort...immer mehr als 8 Zeichen...Groß, Kleinschreibung, Zahlen und Sonderzeichen.
2FA ist aktiviert...Firewall ist an, Nur was benötigt wird darf durch...nur IPs aus Deutschland akzeptiert(ändere ich wenn ich in Urlaub fahre und dann auch nur für das Zielland)...Ports in der Fritzbox...nur was wirklich benötigt wird...und nur verschlüsselt....

Aber eines meine ich gelesen zu haben was ich gerne nochmal hinterfragen möchte.
Standarduser Admin deaktivieren und stattdessen einen AdminUser anlegen, wird das praktiziert, macht das Sinn? Hab ich schon einige mal gehört...
würde gerne eure Meinung dazu hören...

 

[Jagnix]

Zusätzlich gibt es ja noch die Bequemlichkeit, den gleichen Userfür die NAS zu nehmen, der für Windows angelegt wurde, dann lassen sich auch die NAS Laufwerke einfach einbinden.

Und?
Habe ich genauso eingerichtet. Er käme nur auf den eigenen home-Ordner nicht weiter.