Verschlüsselungstrojaner
- Ersteller LutzHase
- Erstellt am
Ich habe jezt auf die Mail geantwortet und folgedne Antwort erhalten:
"150 Euro zu Bitcoin. Alle Daten von USB werden im Ordner backup_usb gespeichert. Die Disc zweimal formatiert und mit Video gefüllt. ??????? Original Message ???"
UND
"Sie hatten Dateien auf einem externen USB-Laufwerk. Ich habe sie in den Ordner backup_usb verschoben."
----
Da hatte jemdand Zugang zur NAS, so wie es sich liest...
Ich hatte noch eine USB Platte dran hängen, wo ich praktisch weitere Backups mache, auch vom Linux Server.
----
Wie kommt jemand ausgerechnet auf die NAS?
"150 Euro zu Bitcoin. Alle Daten von USB werden im Ordner backup_usb gespeichert. Die Disc zweimal formatiert und mit Video gefüllt. ??????? Original Message ???"
UND
"Sie hatten Dateien auf einem externen USB-Laufwerk. Ich habe sie in den Ordner backup_usb verschoben."
----
Da hatte jemdand Zugang zur NAS, so wie es sich liest...
Ich hatte noch eine USB Platte dran hängen, wo ich praktisch weitere Backups mache, auch vom Linux Server.
----
Wie kommt jemand ausgerechnet auf die NAS?
- Mitglied seit
- 06. Sep 2020
- Beiträge
- 1.143
- Punkte für Reaktionen
- 261
- Punkte
- 159
stimmt ... ich bereite mal alles vor.
aber im ernst .. das ist ein Desaster und ich neide da nix.
vor allem sei dir sicher, dass jetzt gerade n Menschen hier
mal so richtig das arschwasser geht, da kannste nen Salat
drin waschen.
rauszufinden, was die Ursache ist, steht auf prio 1 bei dir.
erst dann kannst du an die Beseitigung gehen und erst
dann geht es an restore.
im Moment bist du theoretisch mittendrin. vermutlich geht
das verschluesseln durchs komplette netz. also interessiert
uns natuerlich, wie sieht die Infrastruktur aus. welche Geraete
koennten alles betroffen sein, wie kam es rein und wie wird
man es los.
schliesslich wollen wir uns alle so gut es geht schuetzen.
aber im ernst .. das ist ein Desaster und ich neide da nix.
vor allem sei dir sicher, dass jetzt gerade n Menschen hier
mal so richtig das arschwasser geht, da kannste nen Salat
drin waschen.
rauszufinden, was die Ursache ist, steht auf prio 1 bei dir.
erst dann kannst du an die Beseitigung gehen und erst
dann geht es an restore.
im Moment bist du theoretisch mittendrin. vermutlich geht
das verschluesseln durchs komplette netz. also interessiert
uns natuerlich, wie sieht die Infrastruktur aus. welche Geraete
koennten alles betroffen sein, wie kam es rein und wie wird
man es los.
schliesslich wollen wir uns alle so gut es geht schuetzen.
Zuletzt bearbeitet von einem Moderator:
Ernsthaft? Direkt nochmal die Mailadresse in die Hand drücken? Hör bloss nicht auf das was man Dir sagt (und hier rennen nicht nur Privatpinsel rum) und weisste..... komm ey, bezahl - vllt kriegste die Daten wieder, vllt auch nicht, aber wenn Du sowieso nichts von dem aufnimmst, was man hier anrät... dann... MACH (anderweitig ist Dir dann sowieso nicht mehr zu helfen... - sorry, ist halt so...). Da müssen hier jetzt auch nicht etliche Leute ihre Lebenszeit damit verschwenden, Dir irgendeine Hilfestellung zu geben, wenn Du das sowieso vollkommen ignorierst.
Und wie die dran gekommen sind? Lag vermutlich an der Datei in der Mail wo drauf stand: Bitte hier ausführen, damit das NAS supersicher wird! .........
EDIT: Sorry, bei sowas geht mir dann doch ein bissken die Krempe ...
(Schon selbst verhunzt und dann noch meinen es selbst am besten zu wissen) Ich bin ma raus hier...
Und wie die dran gekommen sind? Lag vermutlich an der Datei in der Mail wo drauf stand: Bitte hier ausführen, damit das NAS supersicher wird! .........
EDIT: Sorry, bei sowas geht mir dann doch ein bissken die Krempe ...
(Schon selbst verhunzt und dann noch meinen es selbst am besten zu wissen) Ich bin ma raus hier... Sorry ich versuche echt gerade Ruhe zu bewahren. Ich bin schon vorsichtig, darum könnt ich gerade extra heulen.
Und die Mail kam mit dem Passwort er NAS im Betreff und das nutze ich nur dafür. Was meinst du wie dumm ich da geschaut habe...
Und die Mail kam mit dem Passwort er NAS im Betreff und das nutze ich nur dafür. Was meinst du wie dumm ich da geschaut habe...
Dann wäre es vllt ratsam, auf die Leute zu hören, die sich mit solchen Thematiken auskennen, anstatt in blinden Aktionismus zu verfallen... aber - wie Du ja schon zweifelsfrei bewiesen hast - Du weisst ja anscheinend was Du da machst, also viel Erfolg! Falls nach der Zahlung dann die Daten noch immer nicht entschlüsselbar sein sollten (weil man einfach die Kohle abgreift und sich dann aus dem Staub macht), biste dann halt noch immer keinen Schritt weiter
Hast Du am Router mal geprüft, ob da nicht doch ein Port freigeschaltet ist?
Ist dieser Benutzer zum mappen der Laufwerke in den Windows Netzeinstellungen gespeichert?
Ist dieser Benutzer zum mappen der Laufwerke in den Windows Netzeinstellungen gespeichert?
- Mitglied seit
- 13. Jul 2019
- Beiträge
- 5.097
- Punkte für Reaktionen
- 2.065
- Punkte
- 259
Grundsätzlich musst du aktuell dein gesamtes Heimnetzwerk als befallen betrachten.
Das größte Risiko sind Windows PCs, speziell wenn auf ihnen Microsoft Office installiert ist. Virenscanner helfen nur noch sehr bedingt, weil die aktuellen Trojaner entweder als verschlüsselte bzw. komprimierte Dateien auf den Rechner gelangen, oder von Webseiten als Schadcode geladen werden. Über die Netzwerkfreigaben können von dort aus andere Rechner im Netzwerk befallen bzw. angegriffen werden.
Auch Linux-Systeme können befallen werden (auch der Raspi), ebenso wenn auch selten Macs. Bisher nicht bekannt ist mir ein Befall von iOS-Geräten, oder von Androiden. Jedenfalls nicht so, dass von dort aus weitere Geräte verschlüsselt werden. Für QNAPs gab es entsprechende Meldungen, bisher für Synology eher nicht. Es gibt bisher keine Meldungen, dass Router oder Switche befallen werden.
Erst mal das Backup schön im Schrank lassen. Wenn du es später einspielen willst, zuerst eine Kopie davon ziehen, nie das Backuporiginal selbst anschließen.
Wenn das Verschlüsseln der DS vom PC ausgeht, kannst du es dir möglicherweise über einen Zugriff z.B. von einem iPad aus anschauen. Gibt es nach dem Hochfahren erst mal keine Plattenzugriffe, sollte die DS selbst noch clean sein. Über den FileManager lässt sich der Dateizusatz ermitteln. Dann wieder abschalten, googeln - für einige gibt es Entschlüsselungstools, für andere nicht.
Das größte Risiko sind Windows PCs, speziell wenn auf ihnen Microsoft Office installiert ist. Virenscanner helfen nur noch sehr bedingt, weil die aktuellen Trojaner entweder als verschlüsselte bzw. komprimierte Dateien auf den Rechner gelangen, oder von Webseiten als Schadcode geladen werden. Über die Netzwerkfreigaben können von dort aus andere Rechner im Netzwerk befallen bzw. angegriffen werden.
Auch Linux-Systeme können befallen werden (auch der Raspi), ebenso wenn auch selten Macs. Bisher nicht bekannt ist mir ein Befall von iOS-Geräten, oder von Androiden. Jedenfalls nicht so, dass von dort aus weitere Geräte verschlüsselt werden. Für QNAPs gab es entsprechende Meldungen, bisher für Synology eher nicht. Es gibt bisher keine Meldungen, dass Router oder Switche befallen werden.
Erst mal das Backup schön im Schrank lassen. Wenn du es später einspielen willst, zuerst eine Kopie davon ziehen, nie das Backuporiginal selbst anschließen.
Wenn das Verschlüsseln der DS vom PC ausgeht, kannst du es dir möglicherweise über einen Zugriff z.B. von einem iPad aus anschauen. Gibt es nach dem Hochfahren erst mal keine Plattenzugriffe, sollte die DS selbst noch clean sein. Über den FileManager lässt sich der Dateizusatz ermitteln. Dann wieder abschalten, googeln - für einige gibt es Entschlüsselungstools, für andere nicht.
- Mitglied seit
- 13. Jul 2019
- Beiträge
- 5.097
- Punkte für Reaktionen
- 2.065
- Punkte
- 259
Oooops.
Das heißt du hast auf die Volumes selbst keinen Zugriff mehr.
Von der Vorgehensweise her ist es inzwischen so, dass die Ransomtrojaner gezielt zuerst gemountete Backups und Server angreifen. Das heißt immer noch nicht dass der Trojaner lokal if der DS sitzen muß - aber es ist möglich.
Ist auf deinem PC MS Office installiert ? 365 oder eine gekaufte Version ?
Das heißt du hast auf die Volumes selbst keinen Zugriff mehr.
Von der Vorgehensweise her ist es inzwischen so, dass die Ransomtrojaner gezielt zuerst gemountete Backups und Server angreifen. Das heißt immer noch nicht dass der Trojaner lokal if der DS sitzen muß - aber es ist möglich.
Ist auf deinem PC MS Office installiert ? 365 oder eine gekaufte Version ?
- Mitglied seit
- 13. Jul 2019
- Beiträge
- 5.097
- Punkte für Reaktionen
- 2.065
- Punkte
- 259
Zum Router: So lange Schadsoftware in deinem Netz sitzt, kann sie sich selbst die Tür aufmachen. Gegen Anfragen, die von innen kommen, nützt der verriegelte Router nichts. Es hilft nur LAN-Stecker ziehen, und WLAN kappen.
- Mitglied seit
- 13. Jul 2019
- Beiträge
- 5.097
- Punkte für Reaktionen
- 2.065
- Punkte
- 259
Der klassische Ablauf ist so: Phishing, dann Infektion über Office-Makros. Wenn das gelaufen ist, spielt Office keine Rolle mehr. Die weiteren Aktionen erfolgen über ausführbare Programme bzw. Windows Powershell.
Der PC Ist nicht zu reinigen. Das mindeste ist ihn komplett platt zu machen und mit einem neuen, sauberen Windows zwanzig neu aufzusetzen. Es bleibt ein Restrisiko, das Schadsoftware selbst das übersteht. Dagegen hilft dann nur noch der Austausch.
Der PC Ist nicht zu reinigen. Das mindeste ist ihn komplett platt zu machen und mit einem neuen, sauberen Windows zwanzig neu aufzusetzen. Es bleibt ein Restrisiko, das Schadsoftware selbst das übersteht. Dagegen hilft dann nur noch der Austausch.
- Mitglied seit
- 13. Jul 2019
- Beiträge
- 5.097
- Punkte für Reaktionen
- 2.065
- Punkte
- 259
Ich hatte mal vor Jahren ein Problem mit einer Festplatte. Da konnte man nicht schreiben. Problem war damals das ich selbst aus Sicherheit die Daten immer verschlüsselt hatte.
Dann bekam ich vom Support Hilfe. Dieser hatte sich verbunden (ich musste den Support Haken Freischalten) und die Daten unverschlüsselt in einen anderen Ordner geschoben.
Meint Ihr so was geht evtl. hier auch?
Das war damals eine andere NAS und andere Platten...
Aber die Makros müsste ich doch per Datei erst mal irgendwo laden oder?
Dann bekam ich vom Support Hilfe. Dieser hatte sich verbunden (ich musste den Support Haken Freischalten) und die Daten unverschlüsselt in einen anderen Ordner geschoben.
Meint Ihr so was geht evtl. hier auch?
Das war damals eine andere NAS und andere Platten...
Aber die Makros müsste ich doch per Datei erst mal irgendwo laden oder?
Was spielt das denn noch für eine Rolle? Es ist haufenweise anderes Zeugs im Netz, dem Satz "Und die Mail kam mit dem Passwort er NAS im Betreff und das nutze ich nur dafür." schenkt irgendwie auch keiner Beachtung... So what? Mag ja sein, dass es dann grade mal wieder "ein wenig" geht, das das Grundproblem ist damit noch immer nicht behoben... Zudem sind die Login-Daten "so oder so" abgeflossen, da stellt sich eher die Frage (wenn man nicht ganz auf den Kopf gefallen ist), was sonst noch so alles abgeflossen ist...
Btw... sofern sich gewerbliche Daten darauf befinden, ist dieser Vorfall auch zu melden (!) und die Kunden auch entsprechend zu informieren (!).
Ich reich mal nach... https://www.polizei.de/Polizei/DE/Einrichtungen/ZAC/zac_node.html und https://www.staemmler.pro/hackerangriff-die-rechtliche-sicht-was-betroffene-tun-koennen-und-muessen/ ... ist natürlich nicht zwingend erforderlich, sofern es sich nur um private Daten handelt...
Btw... sofern sich gewerbliche Daten darauf befinden, ist dieser Vorfall auch zu melden (!) und die Kunden auch entsprechend zu informieren (!).
Ich reich mal nach... https://www.polizei.de/Polizei/DE/Einrichtungen/ZAC/zac_node.html und https://www.staemmler.pro/hackerangriff-die-rechtliche-sicht-was-betroffene-tun-koennen-und-muessen/ ... ist natürlich nicht zwingend erforderlich, sofern es sich nur um private Daten handelt...
- Mitglied seit
- 13. Jul 2019
- Beiträge
- 5.097
- Punkte für Reaktionen
- 2.065
- Punkte
- 259
Wenn das ein Ransomwaretrojaner war (davon gehen wir derzeit als Arbeitshypothese aus), dann gibt es 3 Versionen:
Typ 1 verschlüsselt, ist aber inzwischen geknackt, d.h. Es gibt einen bekannten Schlüssel zum Entschlüsseln
Typ 2 verschlüsselt, ist bisher nicht geknackt. Kann sein, dass er irgendwann geknackt wird, aber es ist nicht sicher.
Typ 3 sagt nur, er würde verschlüsseln, tatsächlich löscht er
Variante: Verschlüsselt zuerst, wenn innerhalb einer Zeit X keine Entschlüsselung (= Zahlung) erfolgt ist, löscht er.
Variante 2 (immer häufiger): Es wird nicht nur verschlüsselt, es werden auch Daten gestohlen, um weiteres Erpressungspotenzial aufzubauen. Darauf hebt blurrrr ab.
Typ 1 verschlüsselt, ist aber inzwischen geknackt, d.h. Es gibt einen bekannten Schlüssel zum Entschlüsseln
Typ 2 verschlüsselt, ist bisher nicht geknackt. Kann sein, dass er irgendwann geknackt wird, aber es ist nicht sicher.
Typ 3 sagt nur, er würde verschlüsseln, tatsächlich löscht er
Variante: Verschlüsselt zuerst, wenn innerhalb einer Zeit X keine Entschlüsselung (= Zahlung) erfolgt ist, löscht er.
Variante 2 (immer häufiger): Es wird nicht nur verschlüsselt, es werden auch Daten gestohlen, um weiteres Erpressungspotenzial aufzubauen. Darauf hebt blurrrr ab.
- Mitglied seit
- 06. Sep 2020
- Beiträge
- 1.143
- Punkte für Reaktionen
- 261
- Punkte
- 159
- NAS Passwort inzwischen geaendert?
- 2 Faktor Auth war oder ist aktiv?
- sichergestellt, dass aktuell NUR das NAS in der PC von dem Du schreibst in LAN sind?
- Wer ist aktuell auf dem NAS alles angemeldet? ssh -> who z.B.
- kann es ganz profan auch ein social engineering gewesen sein? gibt es eine dyndns adresse und waere die NAS da erreichbar?
Interessant finde ich (als Laie), dass hier verschluesselte gemeinsame Ordner gebaut wurden. Das stinkt so ein bisschen nach Handarbeit oder zumindest nach, wenn nciht per Hand, dann auf der Shell.
- Mitglied seit
- 13. Jul 2019
- Beiträge
- 5.097
- Punkte für Reaktionen
- 2.065
- Punkte
- 259
Aber erst mal noch eine Frage: PC ist aus, DS ist aus. ?
Jetzt Hand aufs Herz: Hast du noch ein brauchbares Backup ?
Brauchbarkeit hängt von deiner Situation ab: Oft ist es ärgerlich, aber egal, wenn die letzten 1-2 Wochen fehlen. Mails liegen noch auf dem Server, Fotos auf dem Handy et. Es gibt aber Unternehmen, die es sich nicht leisten können, einige Wochen an Daten zu verlieren.
Jetzt Hand aufs Herz: Hast du noch ein brauchbares Backup ?
Brauchbarkeit hängt von deiner Situation ab: Oft ist es ärgerlich, aber egal, wenn die letzten 1-2 Wochen fehlen. Mails liegen noch auf dem Server, Fotos auf dem Handy et. Es gibt aber Unternehmen, die es sich nicht leisten können, einige Wochen an Daten zu verlieren.
- Mitglied seit
- 13. Jul 2019
- Beiträge
- 5.097
- Punkte für Reaktionen
- 2.065
- Punkte
- 259
@Wollfuchs Ja, relevante Fragen für später.
Meiner Meinung nach aber im Moment (!) nicht relevant. Das ist Ursachenforschung. Wenn das Kind unten im Brunnen ist, gehe ich nicht Bretter suchen, um ihn das nächste Mal besser zu verschließen.
Aktuell ist es m.E. am wichtigsten, dass alles abgeschaltet ist, was sich abschalten läßt. Auch Trojaner machen nix mehr, wenn der Stecker gezogen ist.
Meiner Meinung nach aber im Moment (!) nicht relevant. Das ist Ursachenforschung. Wenn das Kind unten im Brunnen ist, gehe ich nicht Bretter suchen, um ihn das nächste Mal besser zu verschließen.
Aktuell ist es m.E. am wichtigsten, dass alles abgeschaltet ist, was sich abschalten läßt. Auch Trojaner machen nix mehr, wenn der Stecker gezogen ist.
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
