Verschlüsselungstrojaner

LutzHase

Benutzer
Mitglied seit
06. Jul 2017
Beiträge
53
Punkte für Reaktionen
9
Punkte
8
Ich habe gerade eine Mail bekommen das ich meine Nas checken soll. Auf der NAS sehe ich das fast alles verschlüsselt ist und eine readme das auch so beschreibt.
Was kann man tun?
 

Wollfuchs

Benutzer
Sehr erfahren
Mitglied seit
06. Sep 2020
Beiträge
1.143
Punkte für Reaktionen
261
Punkte
159
  • versuchen herauszufinden wie das passiert ist
  • schwachstelle beheben
  • backup einspielen
paar mehr infos waere aber auch interessant ...
 

AndiHeitzer

Benutzer
Sehr erfahren
Mitglied seit
30. Jun 2015
Beiträge
3.332
Punkte für Reaktionen
623
Punkte
174

LutzHase

Benutzer
Mitglied seit
06. Jul 2017
Beiträge
53
Punkte für Reaktionen
9
Punkte
8
Wie kann ich nicht sagen, ich mach seit längerem nichts mehr als etwas Surfen und Bilder ablegen.
Das ist praktisch mein Backup System...
Kann man die Ordner nicht entschlüsseln?
Es wundert mich, dass es etwas bis auf die NAS schafft, das Zugangspasswort knacken kann und dort die Schadsoftware laufen kann.
Oder kommt die von wo anders her?
 

Wollfuchs

Benutzer
Sehr erfahren
Mitglied seit
06. Sep 2020
Beiträge
1.143
Punkte für Reaktionen
261
Punkte
159
Zeit fuer die Glaskugel?

Ist das NAS nach aussen offen?
Welche Dienste?
Ist im LAN schon was betroffen?
Hast Du den Verursacher schon beseitigt?

Oder stehst Du grade am Anfang und wir warten bis Du morgen vom Handy aus schreibst, weil der Rechner dann auch verschluesselt wurde?

Screenshot von der Mail und dem Nas waere halt ein Anfang ..
 

weyon

Benutzer
Mitglied seit
17. Apr 2017
Beiträge
692
Punkte für Reaktionen
90
Punkte
48
Ein paar mehr Infos wären hilfreich, welches Nas, Zugriff von außen möglich, wie von außen, via Pc als Netzlaufwerk gemappt, usw.
 

LutzHase

Benutzer
Mitglied seit
06. Jul 2017
Beiträge
53
Punkte für Reaktionen
9
Punkte
8
Es ist eine DS718+ und ich habe eigentlich nichts offen, auch keine Ports am "router".
Ich weiß nicht ob sonst etwas betroffen ist, ich lasse gerade scannen. Würde aber eigentlich lieber alles aus machen...
Woher kann denn so ein Verursacher kommen und wie finde ich den?
Natürlich habe ich Laufwerke gemappt.

Ich bin eigentlich immer sehr vorsichtig, bekomme sonst auch leine komischen Mails usw.

In der Mail stand nur : Check your NAS Synology.
Dann habe ich drauf geschaut und mich erschrocken. Die Readme gelesen die verschlüsselten Ordner gesehen und sofort ausgemacht.
 

Thonav

Benutzer
Sehr erfahren
Mitglied seit
16. Feb 2014
Beiträge
7.890
Punkte für Reaktionen
1.510
Punkte
274
Über die DSM angemeldet und per Filestation geschaut? PC Betriebssystem? Welche Firewall, Virenscanner?
 

weyon

Benutzer
Mitglied seit
17. Apr 2017
Beiträge
692
Punkte für Reaktionen
90
Punkte
48
Wenn das Nas nicht von außen erreichbar ist (weder via Quickconnect oder Portfreigabe) kann es nur vom Pc auf verschlüsselt worden sein. Auf dem Pc ist nichts betroffen? Eine bestimme Mail vor kurzem geöffnet, evtl mit Word Makro? Oder wollte eine Webseite was komisches haben (mehr Rechte, skript starten)?
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Nö, kann nicht "nur" vom PC verschlüsselt worden sein. Ist aber ein anderes Thema... Grundsätzlich reicht es i.d.R. schon die falsche Website besucht zu haben... Website auf, zack, verloren. Muss allerdings keine Website gewesen sein, kann auch alles andere sein...

Vielleicht erstmal so rum: Ist bei Deinem PC denn irgendwas? Läuft dort auch ein entsprechender Virenscanner? Wo ich es grade so sehe .... was ist denn mit dem WS16? Hat der ggf. eine Verbindung nach aussen und Zugriff auf das NAS?
 

weyon

Benutzer
Mitglied seit
17. Apr 2017
Beiträge
692
Punkte für Reaktionen
90
Punkte
48
@blurrr
Aber die Webseite muss vom Pc aus geöffnet werden, sofern auf dem Nas kein Browser installiert ist. Und sofern keine Dienste nach außen offen sind wird es da auch schwierig ohne Pc. Sollte es auch anderst gehen bitte Erklärung wie. Danke.

Sind irgendwelche Fernzugriffe auf den Pc eingerichtet, Remote Desktop evtl?
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
@weyon Grundsätzlich kann man auch ganz grob formulieren: "Wo ein Wille, da ein Weg" (mitunter maximal eine Frage der Zeit), oder halt einfach nur etwas zwischen "dumm gelaufen" und "nicht aufgepasst" :) Alles weitere - s. PN
 

LutzHase

Benutzer
Mitglied seit
06. Jul 2017
Beiträge
53
Punkte für Reaktionen
9
Punkte
8
Ja habe mich zum nachschauen auf der Nas angemeldet.
PC Windows 10, Bitdefender und Firewall unifi...
Ich habe noch einen Linux Server laufen. Auf dem ist proxmox und iobroker und grafana installiert mehr nicht.

Jetzt mal neben der Fehlersuche, kann man die Dateien wieder entschlüsseln?
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Wenn es da irgendwann ein Tool für gibt, sicherlich... schau Dir halt genau an, was da in der Message steht, such danach, find heraus, was genau es ist und in welcher Version und dann begib Dich auf die Suche nach einer Entschlüsselungsmöglichkeit.. .entweder gibt es was, oder halt nicht. Im letzteren Fall.. dumm gelaufen. Dann ist halt Backup-Restore angesagt, was aber noch immer nicht das Einfallstor klärt, denn das ganz einiges sein (und man durchblickt Dein Konstrukt ja bisher auch nicht wirklich)... Fängt ja schon bei "Kleinigkeiten" an... wie: "Hat jedes Gerät, welches auf das NAS (in irgendeiner Art und Weise) zugreift, auch einen EIGENEN User mit EINGESCHRÄNKTEN Rechten?" Eines der besten Beispiele für sowas dürfte z.B .die AudioStation-App für das Handy sein. Die wird vermutlich NIEMALS "schreiben", ergo erstellt man einen eigenen User dafür, der "nur" lesenden Zugriff hat und diesen nutzt man dann ausschliesslich mit der DS Audio App... Andere gehen hin, haben halt "ihren" Benutzer und jut... der wird dann brav über alle Geräte verteilt und sobald auch nur irgendwo irgendwas ist, ist direkt alles für die Katz (weil is ja der wichtige Hauptbenutzer der wieder alles darf und so ...) ;)
 

weyon

Benutzer
Mitglied seit
17. Apr 2017
Beiträge
692
Punkte für Reaktionen
90
Punkte
48
Meistens kann man die Dateiendung der verschlüsselten Daten (z.b. Urlaubsfoto1.jpg.xxxx) googlen, dann findet man meistens heraus wie der Trojaner heißt.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Tja... nicht unbedingt zwangsläufigerweise... aber zugegebenermaßen... Durch ein vernünftiges Management hatte ich da bisher recht wenig mit zu tun (2-3x und das war relativ flott behoben und auch die Gründe waren sehr klar) :)

EDIT: Wenn es über den PC ging, sind Netzlaufwerke eigentlich nicht unbedingt das erste, was betroffen ist... Wenn am PC dann noch alles ok ist, ist es vllt ein anderer Client(!) :)
 

LutzHase

Benutzer
Mitglied seit
06. Jul 2017
Beiträge
53
Punkte für Reaktionen
9
Punkte
8
Ich kann keinen Screenshot senden, weil die Nas aus ist und dort waren einige Ordner weg und andere verschlüsselt.
Sorry ich hab schiss das Ding zu starten...
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Du wirst es so oder so irgendwann wieder anmachen müssen :D Aber pass ma auf... Du hast doch ne Menge mehr laufend ... Prüf doch das erstmal alles durch (nicht nur auf das Gerät selber gucken, sondern auch mal in die Prozesslisten der Geräte, ob da was auffälliges ist (und ggf. auch gut Ressourcen verschwendet). Vielleicht machste das mal zuerst... vielleicht findest Du auf diesem Wege ja schon den Übeltäter... und vor allem, überprüf auch mal Deinen normalen Rechner.... Falls noch andere Personen im Haushalt mit entsprechenden Zugängen sind.... auch prüfen.

Solange Du ein Backup hast, ist die Situation sowieso relativ entspannt... :)
 

Wollfuchs

Benutzer
Sehr erfahren
Mitglied seit
06. Sep 2020
Beiträge
1.143
Punkte für Reaktionen
261
Punkte
159
kapp die Mappings von deinem Rechner auf das NAS
da kam der vermutlich rein. also keinen zugriff auf Dateiebene.

dann nas hochfahren und nur per Weboberflaeche anmelden, schauen das bei "verbundene User" KEINER ausser deiner websession ist, sonst weisst du schon woher der wind weht.

dann file station und screenshots.

ansonsten ist echt glaskugel ...

Solange Du ein Backup hast, ist die Situation sowieso relativ entspannt...

das ist aber nur dann entspannt, wenn das backup erst zum einsatz kommt, wenn die umgebung wieder sauber ist.
jetzt die backup platte irgendwo dranhaengen ist vermutlich der todesstoss.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat