Deadbolt qnap Ransomware entfernen
Hallo zusammen, hat jemand Erfahrung mit der Verschlüsselung von QNAP NAS, habe von einem Kollegen eine Anfrage, ob ich eine Möglichkeit habe eine verschlüsselte QNAP NAS zu entschlüsseln, notfalls auch mit Bezahlung des Schlüssels, nachdem ich aber null Erfahrung damit habe, wäre meine Frage, ob jemand eine Empfehlung für mich hat, wer so was macht, was ich an meinen Kollegen weiter geben kann. Danke schon mal vorab.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4730936705
Url: https://administrator.de/forum/deadbolt-qnap-ransomware-entfernen-4730936705.html
Ausgedruckt am: 23.12.2024 um 04:12 Uhr
21 Kommentare
Neuester Kommentar
Hallo, naja Bezahlung. Nennt sich Eressung. Anleitung legen die Typen immer bei....
Wie @Lochkartenstanzer Backup wäre hier wichtig. Ein NAS alleine als Produktiv oder Backup System zu nutzen ist schwierig. Es gibt ja nicht umsonst Grossvater-Vater-Sohn Prinzip u.ä. Medienbruch oder Langzeitmedien wie Bandlaufwerke...
Oder sich von Polizei und LKA beraten lassen. Sowas ist nie ein Kavaliersdelikt. Die können ggf. helfen. Für alte Trojaner gibt es wohl Möglichkeiten der Entschlüsselung. Würde da so oder so Experten ranlassen. Es sei denn, ihr habt ein Backup....
Wie @Lochkartenstanzer Backup wäre hier wichtig. Ein NAS alleine als Produktiv oder Backup System zu nutzen ist schwierig. Es gibt ja nicht umsonst Grossvater-Vater-Sohn Prinzip u.ä. Medienbruch oder Langzeitmedien wie Bandlaufwerke...
Oder sich von Polizei und LKA beraten lassen. Sowas ist nie ein Kavaliersdelikt. Die können ggf. helfen. Für alte Trojaner gibt es wohl Möglichkeiten der Entschlüsselung. Würde da so oder so Experten ranlassen. Es sei denn, ihr habt ein Backup....
Zitat von @keineahnungcomputer:
Tja, da bin ich voll bei Dir, wenn da nicht das Problem der fehlenden Sicherung wäre
Tja, da bin ich voll bei Dir, wenn da nicht das Problem der fehlenden Sicherung wäre
Dann frag denjenigen Mal, was er gemacht hätte, wenn ein Meteorit das NAS getroffen hätte, oder ein Tsunami, sprich Feuer oder Waser alles mitgenommen hätten.
Wie schon oben gesagt: Frag Mal die Dienstleister aus Google und die Polizei.
lks
Zitat von @keineahnungcomputer:
Tja, da bin ich voll bei Dir, wenn da nicht das Problem der fehlenden Sicherung wäre
Tja, da bin ich voll bei Dir, wenn da nicht das Problem der fehlenden Sicherung wäre
Moin.
Dann waren die Daten auch nicht wichtig
Falls doch, dann Geld in die Hand nehmen und zum Daten Retter damit.
Gruß
Marc
Zitat von @keineahnungcomputer:
Hi, keiner hier in der Runde mit Dienstleister Erfahrung, oder haten alle eine Sicherung?
Hi, keiner hier in der Runde mit Dienstleister Erfahrung, oder haten alle eine Sicherung?
Keine Ramsonware
Ich hatte vor 5-6 jahren mal Kunden die ich was eingefangen haben, aber das war mit dem Backup schnell behoben. Und bei dem einen, der diese Daten nciht gesichert hatte, waren die anscheinend nicht wichtig genug dafür ein paar Tausend Euro zu zahlen (egal ob Lösegeld oder Dienstleister).
lks
keiner hier in der Runde mit Dienstleister Erfahrung
Die Erfahrung mit verschlüsselten Daten dürften nur wenige gemacht haben, da ein ordentliches Sicherheitskonzept es eigentlich verhindert, dass die Daten verschlüsselt werden. Aber alle Admins hier lernen aus Erfahrung anderer, und diese Erfahrung sagt: Nicht bezahlen, es besteht keine Garantie, dass nach der Entschlüsselung wiederholt verschlüsselt wird. Der Virus ist ja immer noch irgendwo auf dem NAS oder auf dem PC.oder haten alle eine Sicherung?
Sie haten es nicht, das ist eine Grundvoraussetzung, sie lieben es also.Zur Info: Dass das NAS selbst infiziert ist, ist weniger wahrscheinlich, als dass ein PC im Netzwerk infiziert ist. Der PC wird die Dateien auf dem NAS verschlüsselt haben. Das NAS Betriebssystem ist vermutlich noch sauber.
Das heraus zu finden ist für einen Benutzer "unmöglich" und für einen Admin "schwierig" und auch mit einem Restrisiko verbunden. Es gibt keine Sichere Überprüfungsmethode ob der Virus noch irgendwo schläft oder lauert. Deswegen ist die einzige Methode:
1) PC löschen und neu installieren
2) NAS Daten und Betriebssystem löschen neu installieren
3) Alle Passwörter ändern (alle, nicht nur Windows Passwörter, sondern auch die von Instabookface und den Webshops.)
4) Sicherung einspielen
Du kannst dir einen Dienstleister schon holen, er muss/wird jedoch Punkt 1-3 definitiv durchführen müssen und das kostet sehr viel Zeit (Geld). Du kannst ihm schon mal ein eigenes Büro am betroffenen Ort einrichten
Moin,
die NAS steht wohl ungeschützt im Internet. Siehe https://www.qnap.com/de-de/how-to/faq/article/what-should-i-do-if-i-foun ...
lg,
Slainte
die NAS steht wohl ungeschützt im Internet. Siehe https://www.qnap.com/de-de/how-to/faq/article/what-should-i-do-if-i-foun ...
lg,
Slainte
Das klingt als ob die NAS Verwaltung über eine Portfreigabe öffentlich übers Internet erreichbar war, also ohne VPN. Das wird nach der Neuinstallation höchstvermutlich wieder passieren. Da muss wirklich ein Dienstleister ran. Jedes Systemhaus kann das. Ich würde mir eines in der Nähe suchen. Über Remote fehlt die Nähe.
Oh je. Da wurde dann wieder viel vermischt. Homeoffice und Firmendaten... Ist das NAS dienstlich oder auch privat genutzt? Hat er mehrere Geräte im Netzwerk?
Wenn es im Homeoffice ist, dann müssten doch die Daten noch woanders liegen? Die gesamte Planung des Arbeitsplatzes ist fragwürdig.
Verschlüsselt ist es aber oder hast das Dateisystem einen weg? Wie heissen denn die Dateien? Liegt eine Info File irgendwo? Ich kenne es so, dass Teils Info File mit den Crypto Konto als TXT abgelegt werden. Da hättest du dann auch deinen Ansprechpartner.
Wenn es im Homeoffice ist, dann müssten doch die Daten noch woanders liegen? Die gesamte Planung des Arbeitsplatzes ist fragwürdig.
Verschlüsselt ist es aber oder hast das Dateisystem einen weg? Wie heissen denn die Dateien? Liegt eine Info File irgendwo? Ich kenne es so, dass Teils Info File mit den Crypto Konto als TXT abgelegt werden. Da hättest du dann auch deinen Ansprechpartner.
Falls es kein Backup gibt... die meisten Ransomware-Gruppen haben exzellenten Support via Chat. In den meisten Fällen geht Bezahlen und Entschlüsseln gut und man kommt wieder an seine Daten. Schließlich wollen diese Gruppen, dass auch weiterhin bezahlt wird und das erreichen die nur so.
Moralisch ist das natürlich eine andere Geschichte, würde keiner mehr bezahlen, gäbe es bald keine Ransomware-Gruppen mehr.. In manchen Ländern wird das Bezahlen in solchen Fällen sogar als illegal angesehen.
Moralisch ist das natürlich eine andere Geschichte, würde keiner mehr bezahlen, gäbe es bald keine Ransomware-Gruppen mehr.. In manchen Ländern wird das Bezahlen in solchen Fällen sogar als illegal angesehen.
Deadbolt attackiert scheinbar alle im Internet erreichbaren NAS Geräte:
https://www.qnap.com/de-de/security-advisory/QSA-22-19
Hier war die Lösung das Betriebssystem vom NAS auf 4.5 upzudaten. Das scheint also ebenfalls nicht gepflegt worden zu sein.
Das ist jedoch nur die halbe Miete. Es kann wieder passieren. Also muss man von der Portfreigabe weg und VPN einrichten, wenn man vom Internet aus zugreifen möchte. VPN kann ja mittlerweile jedes Handy.
Somit könntest du Recht haben, dass nur das NAS davon betroffen ist. Trotzdem solltest du mit einem "nicht kostenlosen" Antivirus den PC checken.
Wenn die Daten wichtig sind und du bezahlen möchtest, gäbe es nur eine Strategie:
1) Deinen Arbeits-PC ausgeschaltet lassen.
2) Die Erpressung bezahlen, warten bis die Daten vollständig lesbar sind (auf keinen Fall mit dem Arbeits-PC bezahlen, machs mit dem Handy / iPad oder gehe zur Bank).
3) Die NAS Portfreigabe ins Internet entfernen
4) Die wichtigen Daten auf eine USB Festplatte sichern
5) Das NAS Betriebssystem löschen und neu einrichten
6) Die Daten zurück spielen
7) Arbeits-PC wieder einschalten, das Windows Passwort ändern, für einen guten Antivirus sorgen und die Daten auf dem NAS damit scannen.
Alles genau in dieser Reihenfolge, sonst besteht gefahr, dass sie dich nochmal verschlüsseln.
https://www.qnap.com/de-de/security-advisory/QSA-22-19
Hier war die Lösung das Betriebssystem vom NAS auf 4.5 upzudaten. Das scheint also ebenfalls nicht gepflegt worden zu sein.
Das ist jedoch nur die halbe Miete. Es kann wieder passieren. Also muss man von der Portfreigabe weg und VPN einrichten, wenn man vom Internet aus zugreifen möchte. VPN kann ja mittlerweile jedes Handy.
Somit könntest du Recht haben, dass nur das NAS davon betroffen ist. Trotzdem solltest du mit einem "nicht kostenlosen" Antivirus den PC checken.
Wenn die Daten wichtig sind und du bezahlen möchtest, gäbe es nur eine Strategie:
1) Deinen Arbeits-PC ausgeschaltet lassen.
2) Die Erpressung bezahlen, warten bis die Daten vollständig lesbar sind (auf keinen Fall mit dem Arbeits-PC bezahlen, machs mit dem Handy / iPad oder gehe zur Bank).
3) Die NAS Portfreigabe ins Internet entfernen
4) Die wichtigen Daten auf eine USB Festplatte sichern
5) Das NAS Betriebssystem löschen und neu einrichten
6) Die Daten zurück spielen
7) Arbeits-PC wieder einschalten, das Windows Passwort ändern, für einen guten Antivirus sorgen und die Daten auf dem NAS damit scannen.
Alles genau in dieser Reihenfolge, sonst besteht gefahr, dass sie dich nochmal verschlüsseln.
Hallo
Vor Jahren hatte eine befreundete Firma mal mit so einer Verschlüsselung von 3 Servern zu tun. Zwei wurden gegen Anraten heruntergefahren; die waren verloren. Einer blieb an und konnte wirklich mit Lösegeldzahlung entsperrt werden. Da war der Bitcoin noch bei ein paar hundert Euro. Das war auch das einzige mal, daß sowas wirklich geklappt hat in unserem Erfahrungsbereich.
Das Problem was sich hier ergibt ist noch ein ganz anderes: Kaum ein Systemhaus wird sich den Schuh anziehen und im Auftrag des Kunden irgendwelche Lösegeldzahlungen über Bitcoins abwickeln, denn solche Zahlungen sind steuerlich nicht wirklich erfassbar. Kein Beleg, keine Zieladresse, keine Rechnung. Wie soll man das dem Kunden in Rechnung stellen, wenn man keinen Beleg über Ausgaben hat?
Wir kennen nur den Fall, wenn für einen Trojaner ein genereller release key mit tool veröffentlicht wurde, daß Firmen helfen, das ganze anzuwenden. Für Deadbolt ist aber noch nichts verfügbar.
MfG,
MacLeod
Vor Jahren hatte eine befreundete Firma mal mit so einer Verschlüsselung von 3 Servern zu tun. Zwei wurden gegen Anraten heruntergefahren; die waren verloren. Einer blieb an und konnte wirklich mit Lösegeldzahlung entsperrt werden. Da war der Bitcoin noch bei ein paar hundert Euro. Das war auch das einzige mal, daß sowas wirklich geklappt hat in unserem Erfahrungsbereich.
Das Problem was sich hier ergibt ist noch ein ganz anderes: Kaum ein Systemhaus wird sich den Schuh anziehen und im Auftrag des Kunden irgendwelche Lösegeldzahlungen über Bitcoins abwickeln, denn solche Zahlungen sind steuerlich nicht wirklich erfassbar. Kein Beleg, keine Zieladresse, keine Rechnung. Wie soll man das dem Kunden in Rechnung stellen, wenn man keinen Beleg über Ausgaben hat?
Wir kennen nur den Fall, wenn für einen Trojaner ein genereller release key mit tool veröffentlicht wurde, daß Firmen helfen, das ganze anzuwenden. Für Deadbolt ist aber noch nichts verfügbar.
MfG,
MacLeod
Die Niederländische Polizei hat vor ein paar Wochen der deadbolt-Gruppe 155 Decryption-Keys "geklaut". Wenn dein Fall dabei ist, kannst du möglicherweise kostenlos den Key bekommen über diese Webseite
Siehe www.heise.de/news/l-f-Polizei-ergaunert-mehr-als-150-Deadbolt-Schluessel-7319366.html
Siehe www.heise.de/news/l-f-Polizei-ergaunert-mehr-als-150-Deadbolt-Schluessel-7319366.html
Soweit ich das gelesen habe, sind die Angriffe nur bei QNAPs mit bestimmten QTS Softwarestand und über Internet erreichbarer Photo Station möglich gewesen. Verzeiht mir den Ausdruck aber wie blöd muss man sein, wichtige und/oder private oder geschäftliche Daten auf einem zum Internet exponierten NAS ohne weiteres Backup zu betreiben.
Da habe ich kein Mitleid mit dem Opfer. Nur ein Schulterzucken mit "selber Schuld" Spruch.
Da habe ich kein Mitleid mit dem Opfer. Nur ein Schulterzucken mit "selber Schuld" Spruch.