Verschlüsselungstrojaner

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.104
Punkte für Reaktionen
545
Punkte
154
Moinsen,
erst einmal herzliches Beileid....
Hier eine Seite, die die diversen Ransomware-Teile listet, die einen (mitlerweile) kostenlosen Schlüssel bieten:
https://id-ransomware.malwarehunterteam.com/Mal nachsehen?

Ansonsten:
-Polizei damit das wenigstens aktenkundig ist
-generelle Infos zum Thema bei heise.de hier: https://www.heise.de/thema/Ransomware
-speziell zum worst case scenario: https://www.heise.de/tipps-tricks/R...n-Sie-Verschluesselungs-Trojaner-3907507.html
-beten oder Opfergaben bringen (besser als auf Erpressung eingehen)
-Spass beiseite: das ist echt Mist! Lass die Geräte erstmal aus, geh über dritte Wege online zum recherchieren, dies n.M. nicht via Router/WLAN
-bei besonders wichtigen Daten: mit dem Gedanken an kostenspieligen Support vertraut machen oder
-platt machen und neu
-nicht panisch agieren...mach dir einen Plan (dazu die heise links)

Viel Glück...
 
  • Like
Reaktionen: blurrrr

independence2206

Benutzer
Mitglied seit
30. Nov 2013
Beiträge
560
Punkte für Reaktionen
24
Punkte
38
Ich würde nach wie vor Social Engineering vermuten. Das Passwort stand im Klartext in der Mail, der Account der DS wurde scheinbar übernommen. Daher konnte auch die Laufwerksverschlüsselung genutzt werden. Bislang ist ja auch nicht bestätigt, dass Einzeldateien verschlüsselt sind sondern NUR ganze Laufwerke. Daher sehe ich nicht zwingend da Netzwerk als kompromittiert an, sondern lediglich das PW der DS. Natürlich kann diese Annahme auch widerlegt werden und 100% sicher kann man sich ja auch nicht sein.
 

LutzHase

Benutzer
Mitglied seit
06. Jul 2017
Beiträge
53
Punkte für Reaktionen
9
Punkte
8
Also mein Account war der einzige mit diesen Rechten. Der zweite Account war kein admin.
Die Frage ist wirklich wie man an das Passwort kam. Das habe ich auch nur einmalig verwendet.
Gemappte Laufwerke lassen einen doch kein Passwort erkennen oder?
Das werde ich in Zukunft auch nicht mehr mit einem admin machen!

Wo es leider gespeichert war ist im Browser, dass gibt es auch nicht mehr bei mir.
Egal wie viele Verbindungen es gab, dort wäre ja nie das Passwort hinterlegt.

Ich hatte eine dyndns damit ich mit dem Handy drauf kam. Vielleicht war es auch die Mariadb und phpmyadmin die mit dem iobroker verbunden waren.

Komischerweise hatte ich vor einer Woche den proxmox backup server installiert und musste die NFS Freigabe machen.

Die große Frage ist, wie schützt man sich nun davor?
Das ist mein erster Schädling überhaupt und dann gleich so...
Ich dachte immer eine nas ist da etwas sicherer als ein PC. Ich mache natürlich auch den PC platt. Aber ich kann der nas erst mal nicht trauen als Speicher. Obwohl das dem PC eigentlich eher hätte passieren können.
Jetzt mal weiter gedacht: ich mache dann immer backup usw.... Wie geht man mit dem Backups um? Man merkt es ja erst mal nicht wenn etwas drauf ist. Wenn es wirklich nur mit einem admin Account zu verschlüsseln geht, könnte man ja ständig das Passwort ändern und zwei Faktor usw.
Ich vermute aber das ein Eindringling keine Weboberfläche braucht. Daher auch meine Vermutung dass es da eine andere Lücke gibt. Und weil meine im öffentlichen Netz verfügbar war, kam man dran.
Selbst der Finder von Synology macht einem etwas Angst ?.
Also müssten die Apps nicht einfach stumpf IP anrufen sondern wenigstens fingerprint, Zertifikat oder sonst was mitbringen. Einfach per qr Code einlesen, können andere auch.

Ich warte noch auf den Support, mal sehen...
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484
Gemappte Laufwerke lassen einen doch kein Passwort erkennen oder?
Das werde ich in Zukunft auch nicht mehr mit einem admin machen!

Äh, nein, das macht man mal ganz sicher nicht! Am besten das PW von Windows auch noch speichern lassen...
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.117
Punkte für Reaktionen
256
Punkte
129
Soweit ich das verstanden habe, hat hier aber irgendjemand dein NAS übernommen oder?

es scheint ja so - laut Screenshot - dass jemand deine Volumes verschlüsselt hat. Das schaut mir nicht wie Standard Randsomware aus.
 
  • Like
Reaktionen: geimist und m0useP4d

weyon

Benutzer
Mitglied seit
17. Apr 2017
Beiträge
692
Punkte für Reaktionen
90
Punkte
48
Gespeicherte Kennwörter im Windows Explorer können relativ einfach über Systemsteuerung/Anmeldeinformationen ausgelesen werden. Ist der Trojaner erstmal drauf kriegt er die Anmeldedaten für das Nas problemlos raus. Dann kann er in Ruhe von außen ohne deinen Pc auf das Nas zugreifen und alles machen was er will.
 

Michael336

Benutzer
Mitglied seit
17. Sep 2020
Beiträge
180
Punkte für Reaktionen
47
Punkte
28
Zusätzlich gibt es ja noch die Bequemlichkeit, den gleichen Userfür die NAS zu nehmen, der für Windows angelegt wurde, dann lassen sich auch die NAS Laufwerke einfach einbinden.

Soviel ich gelesen habe, sollte man Samba als Dateiübertragungsprotokoll weglassen.

Aus diesem Grunde wäre es hilfreich für mich und andere, es Alternative sinnvoll wäre und wie man das konkret einrichtet und administriert.
 

weyon

Benutzer
Mitglied seit
17. Apr 2017
Beiträge
692
Punkte für Reaktionen
90
Punkte
48
Naja, das samba bzw. smb Protokoll ist nunmal Standart für Freigaben in der Windows und Mac Welt, ohne das wirds halt schwierig mit den Netzlaufwerken. Aber auch bei nfs Laufwerken müssen Benutzer und Kennwort verwendet werden.
Natürlich wäre es das beste getrennte Benutzer mit entsprechenden Rechten für Admin und User zu nutzen.
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.104
Punkte für Reaktionen
545
Punkte
154
Moinsen,
find ich schwierig. Ist sicherlich technisch vieles drin, aber aufwändig und am Ende ist da immer das Spannungsfeld zwischen Sicherheit und Anwenderfreundlichkeit. Abgesehen davon begibt man sich mit in die Eskalationsspirale (heute isses noch sicher konfiguriert, morgen ein Exploit für irgendwas vorhanden oder irgendwer am PC fängt sich ne modernere Schadvariante ein und es geht neu los)...
Abgesehen von den üblichen Tips zu Sicherheit, dem erneuten Erinnern, dass nicht alle Dienste die es gibt auch tatsächlich genutzt werden müssen und dem disziplinierten Verhalten im Netz helfen langfristig aus meiner Sicht nur...
Trommelwirbel....

Backups, mehrere, alternierend, nicht angeschlossen als Dauerlösung sondern stumpf dran, backup, ab.

jm2c
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484
Warum sollte es nicht in Ordnung sein, den Windows Benutzer den Synology Benutzern anzupassen bzw. umgekehrt?
Aber bitte dann nicht für Administratoren, mit deren Zugangsdaten ich auch das NAS administrieren kann.
Am besten noch auf Windows mit dem Admin im Netz surfen und dazu gemappte Laufwerke...
 

weyon

Benutzer
Mitglied seit
17. Apr 2017
Beiträge
692
Punkte für Reaktionen
90
Punkte
48
Afp wurde 2012 durch smb von Apple ersetzt. Man kann es zwar noch verwenden, muss extra aktiviert werden aber wird nicht mehr weiterentwickekt.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
2012 schon...jut, muss ich verdrängt haben, bin nicht so der Apple-Fanboy (bitte um Verzeihung ;)).
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.104
Punkte für Reaktionen
2.071
Punkte
259
Kleine Liste:

AFP ist nach wie vor verfügbar. SMB1 ist kompromittiert, SMB 2/3 sollte sicher sein.

Möglichst keine/wenige Zugangsdaten auf den Rechnern ablegen, Passwortmanager verwenden für den PC: Min. 2 Accounts, den Admin nur nehmen, um etwas zu installieren, dort nie arbeiten, immer gleich wieder abmelden. Zum Arbeiten auf einen normalen Useraccount wechseln.

Auch wenn es unpraktisch klingt: Kein MS Office verwenden - es gibt Alternativen wie Open / Libre Office, oder die G-Suite. Kein Outlook, Thunderbird o.ä. nehmen.

Eskalationsstufe: Kein Windows verwenden, als Clients Mac oder Linux nehmen. Mac heißt neue Hardware, Linux lässt sich auf jedem PC installieren.

Für das NAS: Nur mit eingeschränkten Usern zugreifen. Jedem User nur die Rechte geben, die er benötigt. Der Admin wird nirgendwo gespeichert, sondern nur für Zugriffe verwendet, bei denen man ihn benötigt.

3-2-1-Backupstrategie etablieren.

Honeypot im eigenen Heimnetzwerk einrichten.
 

Penthys

Benutzer
Mitglied seit
04. Jun 2020
Beiträge
250
Punkte für Reaktionen
53
Punkte
34
Administrativen Account mit zwei-Faktor Authentifizierung absichern fehlt noch
 

AndiHeitzer

Benutzer
Sehr erfahren
Mitglied seit
30. Jun 2015
Beiträge
3.332
Punkte für Reaktionen
624
Punkte
174

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
6.057
Punkte für Reaktionen
1.855
Punkte
254
  • Haha
Reaktionen: AndiHeitzer

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.104
Punkte für Reaktionen
545
Punkte
154
und schließlich:
Keilschrift auf Steintafel mit Hammer und Meißel
 

Lextor

Benutzer
Mitglied seit
12. Aug 2020
Beiträge
554
Punkte für Reaktionen
73
Punkte
54
Moin,

Ist Ja heftig was dem LutzHase passiert ist...tut mir echt leid für ihn...ich kann zwar nicht soviel betragen aber ich hätte in dem Zusammenhang eine Frage.

Ich habe für Alles, wirklich Alles ein anderes Passwort...immer mehr als 8 Zeichen...Groß, Kleinschreibung, Zahlen und Sonderzeichen.
2FA ist aktiviert...Firewall ist an, Nur was benötigt wird darf durch...nur IPs aus Deutschland akzeptiert(ändere ich wenn ich in Urlaub fahre und dann auch nur für das Zielland)...Ports in der Fritzbox...nur was wirklich benötigt wird...und nur verschlüsselt....

Aber eines meine ich gelesen zu haben was ich gerne nochmal hinterfragen möchte.
Standarduser Admin deaktivieren und stattdessen einen AdminUser anlegen, wird das praktiziert, macht das Sinn? Hab ich schon einige mal gehört...
würde gerne eure Meinung dazu hören...
 
  • Haha
Reaktionen: blurrrr

Jagnix

Benutzer
Sehr erfahren
Mitglied seit
10. Okt 2018
Beiträge
1.234
Punkte für Reaktionen
324
Punkte
109
Zusätzlich gibt es ja noch die Bequemlichkeit, den gleichen Userfür die NAS zu nehmen, der für Windows angelegt wurde, dann lassen sich auch die NAS Laufwerke einfach einbinden.

Und?
Habe ich genauso eingerichtet. Er käme nur auf den eigenen home-Ordner nicht weiter.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat