keineahnungcomputer
Goto Top

Deadbolt qnap Ransomware entfernen

Hallo zusammen, hat jemand Erfahrung mit der Verschlüsselung von QNAP NAS, habe von einem Kollegen eine Anfrage, ob ich eine Möglichkeit habe eine verschlüsselte QNAP NAS zu entschlüsseln, notfalls auch mit Bezahlung des Schlüssels, nachdem ich aber null Erfahrung damit habe, wäre meine Frage, ob jemand eine Empfehlung für mich hat, wer so was macht, was ich an meinen Kollegen weiter geben kann. Danke schon mal vorab.

Content-ID: 4730936705

Url: https://administrator.de/forum/deadbolt-qnap-ransomware-entfernen-4730936705.html

Ausgedruckt am: 23.12.2024 um 04:12 Uhr

Lochkartenstanzer
Lochkartenstanzer 23.11.2022 aktualisiert um 08:58:17 Uhr
Goto Top
Moin,

  • NAS löschen,

  • Backup einspielen

Alles andere ist Zeitverschwendung.

lks

PS: Du kannst alternativ die Dienstleister kontaktieren, die Google auspuckt, wenn man nach einem decryptor für deadbolt sucht.
keineahnungcomputer
keineahnungcomputer 23.11.2022 um 08:56:20 Uhr
Goto Top
Tja, da bin ich voll bei Dir, wenn da nicht das Problem der fehlenden Sicherung wäre face-smile
Crusher79
Crusher79 23.11.2022 um 08:57:33 Uhr
Goto Top
Hallo, naja Bezahlung. Nennt sich Eressung. Anleitung legen die Typen immer bei....

Wie @Lochkartenstanzer Backup wäre hier wichtig. Ein NAS alleine als Produktiv oder Backup System zu nutzen ist schwierig. Es gibt ja nicht umsonst Grossvater-Vater-Sohn Prinzip u.ä. Medienbruch oder Langzeitmedien wie Bandlaufwerke...

Oder sich von Polizei und LKA beraten lassen. Sowas ist nie ein Kavaliersdelikt. Die können ggf. helfen. Für alte Trojaner gibt es wohl Möglichkeiten der Entschlüsselung. Würde da so oder so Experten ranlassen. Es sei denn, ihr habt ein Backup....
Lochkartenstanzer
Lochkartenstanzer 23.11.2022 aktualisiert um 09:06:06 Uhr
Goto Top
Zitat von @keineahnungcomputer:

Tja, da bin ich voll bei Dir, wenn da nicht das Problem der fehlenden Sicherung wäre face-smile

Dann frag denjenigen Mal, was er gemacht hätte, wenn ein Meteorit das NAS getroffen hätte, oder ein Tsunami, sprich Feuer oder Waser alles mitgenommen hätten.


Wie schon oben gesagt: Frag Mal die Dienstleister aus Google und die Polizei.

lks
radiogugu
radiogugu 23.11.2022 um 09:04:22 Uhr
Goto Top
Zitat von @keineahnungcomputer:
Tja, da bin ich voll bei Dir, wenn da nicht das Problem der fehlenden Sicherung wäre face-smile

Moin.

Dann waren die Daten auch nicht wichtig face-smile

Falls doch, dann Geld in die Hand nehmen und zum Daten Retter damit.

Gruß
Marc
keineahnungcomputer
keineahnungcomputer 23.11.2022 um 09:29:09 Uhr
Goto Top
Hi, keiner hier in der Runde mit Dienstleister Erfahrung, oder haten alle eine Sicherung?
Lochkartenstanzer
Lochkartenstanzer 23.11.2022 aktualisiert um 09:37:41 Uhr
Goto Top
Zitat von @keineahnungcomputer:

Hi, keiner hier in der Runde mit Dienstleister Erfahrung, oder haten alle eine Sicherung?

Keine Ramsonware face-smile


Ich hatte vor 5-6 jahren mal Kunden die ich was eingefangen haben, aber das war mit dem Backup schnell behoben. Und bei dem einen, der diese Daten nciht gesichert hatte, waren die anscheinend nicht wichtig genug dafür ein paar Tausend Euro zu zahlen (egal ob Lösegeld oder Dienstleister).

lks
Crusher79
Crusher79 23.11.2022 um 09:39:56 Uhr
Goto Top
War bei meinen vorherigen Arbeitgeber vor meiner Zeit. Die hatten aber noch dazu ein Bandwechsler mit 8 Bändern. Da konnten die anderen Sicherungen nicht verschlüsselt werden, da Medium nicht eingelgt war und ein Band eh anders funktioniert.
NordicMike
NordicMike 23.11.2022 um 09:58:20 Uhr
Goto Top
keiner hier in der Runde mit Dienstleister Erfahrung
Die Erfahrung mit verschlüsselten Daten dürften nur wenige gemacht haben, da ein ordentliches Sicherheitskonzept es eigentlich verhindert, dass die Daten verschlüsselt werden. Aber alle Admins hier lernen aus Erfahrung anderer, und diese Erfahrung sagt: Nicht bezahlen, es besteht keine Garantie, dass nach der Entschlüsselung wiederholt verschlüsselt wird. Der Virus ist ja immer noch irgendwo auf dem NAS oder auf dem PC.

oder haten alle eine Sicherung?
Sie haten es nicht, das ist eine Grundvoraussetzung, sie lieben es also.

Zur Info: Dass das NAS selbst infiziert ist, ist weniger wahrscheinlich, als dass ein PC im Netzwerk infiziert ist. Der PC wird die Dateien auf dem NAS verschlüsselt haben. Das NAS Betriebssystem ist vermutlich noch sauber.
Das heraus zu finden ist für einen Benutzer "unmöglich" und für einen Admin "schwierig" und auch mit einem Restrisiko verbunden. Es gibt keine Sichere Überprüfungsmethode ob der Virus noch irgendwo schläft oder lauert. Deswegen ist die einzige Methode:

1) PC löschen und neu installieren
2) NAS Daten und Betriebssystem löschen neu installieren
3) Alle Passwörter ändern (alle, nicht nur Windows Passwörter, sondern auch die von Instabookface und den Webshops.)
4) Sicherung einspielen

Du kannst dir einen Dienstleister schon holen, er muss/wird jedoch Punkt 1-3 definitiv durchführen müssen und das kostet sehr viel Zeit (Geld). Du kannst ihm schon mal ein eigenes Büro am betroffenen Ort einrichten face-smile
keineahnungcomputer
keineahnungcomputer 23.11.2022 um 10:08:10 Uhr
Goto Top
Hallo, denke schon das die Verschlüsselung durch das Betriebssystem der NAS erfolgte, ist so zwischen 2:00 und 3:00 Uhr nachts passiert, nach Info des Betroffenen Kollegen ist nur ein PC an der NAS und der war aus. Das ganze System läuft in einem kleinen Home Office.
SlainteMhath
SlainteMhath 23.11.2022 um 10:14:19 Uhr
Goto Top
Moin,

die NAS steht wohl ungeschützt im Internet. Siehe https://www.qnap.com/de-de/how-to/faq/article/what-should-i-do-if-i-foun ...

lg,
Slainte
NordicMike
NordicMike 23.11.2022 um 10:15:02 Uhr
Goto Top
Das klingt als ob die NAS Verwaltung über eine Portfreigabe öffentlich übers Internet erreichbar war, also ohne VPN. Das wird nach der Neuinstallation höchstvermutlich wieder passieren. Da muss wirklich ein Dienstleister ran. Jedes Systemhaus kann das. Ich würde mir eines in der Nähe suchen. Über Remote fehlt die Nähe.
Crusher79
Crusher79 23.11.2022 um 10:18:09 Uhr
Goto Top
Oh je. Da wurde dann wieder viel vermischt. Homeoffice und Firmendaten... Ist das NAS dienstlich oder auch privat genutzt? Hat er mehrere Geräte im Netzwerk?

Wenn es im Homeoffice ist, dann müssten doch die Daten noch woanders liegen? Die gesamte Planung des Arbeitsplatzes ist fragwürdig.

Verschlüsselt ist es aber oder hast das Dateisystem einen weg? Wie heissen denn die Dateien? Liegt eine Info File irgendwo? Ich kenne es so, dass Teils Info File mit den Crypto Konto als TXT abgelegt werden. Da hättest du dann auch deinen Ansprechpartner.
3063370895
3063370895 23.11.2022 aktualisiert um 10:21:52 Uhr
Goto Top
Falls es kein Backup gibt... die meisten Ransomware-Gruppen haben exzellenten Support via Chat. In den meisten Fällen geht Bezahlen und Entschlüsseln gut und man kommt wieder an seine Daten. Schließlich wollen diese Gruppen, dass auch weiterhin bezahlt wird und das erreichen die nur so.

Moralisch ist das natürlich eine andere Geschichte, würde keiner mehr bezahlen, gäbe es bald keine Ransomware-Gruppen mehr.. In manchen Ländern wird das Bezahlen in solchen Fällen sogar als illegal angesehen.
keineahnungcomputer
keineahnungcomputer 23.11.2022 um 10:33:14 Uhr
Goto Top
Sorry, wann ich nochmal komme, kennt jemand einen Profi meinetwegen auch mit Bezahlung für Schlüssel der sich so einem Thema annimmt? Würde Kollegen gerne rückmelden ob er die Daten abschreiben soll oder sich noch an ??? wenden soll.
NordicMike
NordicMike 23.11.2022 um 10:35:56 Uhr
Goto Top
Deadbolt attackiert scheinbar alle im Internet erreichbaren NAS Geräte:

https://www.qnap.com/de-de/security-advisory/QSA-22-19

Hier war die Lösung das Betriebssystem vom NAS auf 4.5 upzudaten. Das scheint also ebenfalls nicht gepflegt worden zu sein.

Das ist jedoch nur die halbe Miete. Es kann wieder passieren. Also muss man von der Portfreigabe weg und VPN einrichten, wenn man vom Internet aus zugreifen möchte. VPN kann ja mittlerweile jedes Handy.

Somit könntest du Recht haben, dass nur das NAS davon betroffen ist. Trotzdem solltest du mit einem "nicht kostenlosen" Antivirus den PC checken.

Wenn die Daten wichtig sind und du bezahlen möchtest, gäbe es nur eine Strategie:

1) Deinen Arbeits-PC ausgeschaltet lassen.
2) Die Erpressung bezahlen, warten bis die Daten vollständig lesbar sind (auf keinen Fall mit dem Arbeits-PC bezahlen, machs mit dem Handy / iPad oder gehe zur Bank).
3) Die NAS Portfreigabe ins Internet entfernen
4) Die wichtigen Daten auf eine USB Festplatte sichern
5) Das NAS Betriebssystem löschen und neu einrichten
6) Die Daten zurück spielen
7) Arbeits-PC wieder einschalten, das Windows Passwort ändern, für einen guten Antivirus sorgen und die Daten auf dem NAS damit scannen.

Alles genau in dieser Reihenfolge, sonst besteht gefahr, dass sie dich nochmal verschlüsseln.
keineahnungcomputer
keineahnungcomputer 23.11.2022 um 10:46:10 Uhr
Goto Top
Denke ist eine Idee für das Vorgehen, ich würde mir aber nur ungern den Schuh anziehen und die NAS zu uns holen, deshalb würde ich den Kollegen gerne eine Adresse oder Link geben die Ihm mit dem Problem weiter helfen, oder eventuell schon sowas gemacht haben.
NordicMike
NordicMike 23.11.2022 um 10:49:45 Uhr
Goto Top
Deswegen mein Rat ein Systemhaus in der Nähe zu suchen. Die können das alle.
MacLeod
MacLeod 23.11.2022 um 12:10:09 Uhr
Goto Top
Hallo
Vor Jahren hatte eine befreundete Firma mal mit so einer Verschlüsselung von 3 Servern zu tun. Zwei wurden gegen Anraten heruntergefahren; die waren verloren. Einer blieb an und konnte wirklich mit Lösegeldzahlung entsperrt werden. Da war der Bitcoin noch bei ein paar hundert Euro. Das war auch das einzige mal, daß sowas wirklich geklappt hat in unserem Erfahrungsbereich.
Das Problem was sich hier ergibt ist noch ein ganz anderes: Kaum ein Systemhaus wird sich den Schuh anziehen und im Auftrag des Kunden irgendwelche Lösegeldzahlungen über Bitcoins abwickeln, denn solche Zahlungen sind steuerlich nicht wirklich erfassbar. Kein Beleg, keine Zieladresse, keine Rechnung. Wie soll man das dem Kunden in Rechnung stellen, wenn man keinen Beleg über Ausgaben hat?
Wir kennen nur den Fall, wenn für einen Trojaner ein genereller release key mit tool veröffentlicht wurde, daß Firmen helfen, das ganze anzuwenden. Für Deadbolt ist aber noch nichts verfügbar.
MfG,
MacLeod
3063370895
3063370895 23.11.2022 aktualisiert um 12:17:34 Uhr
Goto Top
Die Niederländische Polizei hat vor ein paar Wochen der deadbolt-Gruppe 155 Decryption-Keys "geklaut". Wenn dein Fall dabei ist, kannst du möglicherweise kostenlos den Key bekommen über diese Webseite
Siehe www.heise.de/news/l-f-Polizei-ergaunert-mehr-als-150-Deadbolt-Schluessel-7319366.html
DerMaddin
DerMaddin 23.11.2022 um 15:08:51 Uhr
Goto Top
Soweit ich das gelesen habe, sind die Angriffe nur bei QNAPs mit bestimmten QTS Softwarestand und über Internet erreichbarer Photo Station möglich gewesen. Verzeiht mir den Ausdruck aber wie blöd muss man sein, wichtige und/oder private oder geschäftliche Daten auf einem zum Internet exponierten NAS ohne weiteres Backup zu betreiben.

Da habe ich kein Mitleid mit dem Opfer. Nur ein Schulterzucken mit "selber Schuld" Spruch.