Hilfe nach Datenverschlüsselung (Hack)

rscorpion
Goto Top
--

hallo leute,

gestern wurde mein rechner, bzw meine qnap gecked und alle datetn darauf als zip datei versachlüsselt.
eine textdatei, auf zahlung in bitcoin ist auch dabei. kann ich das ganze irgendwie wiederhestellen?

hier ist die datei...

!!! ALL YOUR FILES HAVE BEEN ENCRYPTED !!!

All your files were encrypted using a private and unique key generated for the computer. This key is stored in our server and the only way to receive your key and decrypt your files is making a Bitcoin payment.

To purchase your key and decrypt your files, please follow these steps:

1. Dowload the Tor Browser at "https://www.torproject.org/". If you need help, please Google for "access onion page".

2. Visit the following pages with the Tor Browser:

gvka2m4qt5fod2fltkjmdk4gxh5oxemhpgmnmtjptms6fkgfzdd62tad.onion

3. Enter your Client Key:

Iq4Ulu6c6J3gNem4lk0F7otOqKVjIyUETHqi56siimfVzRMv6+ySwlDKo0liRwjE74Fvtt64C8A9ZlBHKFYSGkMkF0zmPjj1ZytXPFZ8BpFiriJp2S261j5wUBBVoXE2V2ZeJoJU8lA0DVlrJ7lQ8pjcc2U2LkWQKZ3m6GeZwn98OpHfttV/f6j96oFAInLm5iBAGPJF0RiSCW5emeYHCIvlkdsXtXEEYKrO/YjoKsvlWxO0awmArVodHw9zJ4Yj5YjEhWAFX+xKjMh1SvSASKt7sVODTEvs8gsGEW+0BL3qb9Hb8Ag3DxCGnrYZIfbsy54nLfIfhubevLKdAmqtcQ==


ich hoffe ihr könnt mir helfen.
besten dank.

Content-Key: 2171650229

Url: https://administrator.de/contentid/2171650229

Ausgedruckt am: 01.07.2022 um 16:07 Uhr

Mitglied: Lochkartenstanzer
Lochkartenstanzer 15.03.2022 aktualisiert um 09:37:10 Uhr
Goto Top
Moin,

  • Backup vorhanden? Alles löschen und aus Backup wiederherstellen.

  • Kein Backup oder Dein QNAP war das Backup? Wenn die Daten das Geld Wert sind, bezahlen, wenn nicht, als Lehrgeld abschreiben und alles frisch aufsetzen.

  • Du hast kein Geld, aber sehr viel Geduld? Ein paar Jahre warten, bis vielleicht Tools verfügbar sind und dann damit entschlüsseln.


Oder insgesamt wie der Angelsachse sagen würde

deal with it!


lks

PS: Du kannst natürlich bei den AV-Herstellern schauen, ob deren Entschlüsselung Tools "Deinen" Trojaner schon kennen. Dann hast Du Glück, aber i.d.R. sind die Trojanerhersteller den AV-Herstellern Jahre voraus .
Mitglied: Visucius
Visucius 15.03.2022 um 09:37:48 Uhr
Goto Top
Bist Du sicher, dass nicht auch hier Dein Post verschlüsselt wurde?!
Mitglied: aqui
aqui 15.03.2022 um 09:39:03 Uhr
Goto Top
Eine korrekte Rechtschreibung würde zudem auch allen helfen hier !! :-( face-sad
https://administrator.de/faq/8#toc-2 (Punkt 8 !)
Mitglied: RScorpion
RScorpion 15.03.2022 um 09:44:26 Uhr
Goto Top
-

schlecht, ich hab mir das ding extra als backup system gekauft.
hab ne firewall, av, und vpn, und dennoch is jemand drauf gekommen, ich fasse es nicht.

--
Mitglied: Lochkartenstanzer
Lochkartenstanzer 15.03.2022 um 09:52:01 Uhr
Goto Top
Zitat von @RScorpion:

-

schlecht, ich hab mir das ding extra als backup system gekauft.
hab ne firewall, av, und vpn, und dennoch is jemand drauf gekommen, ich fasse es nicht.

Firewall, AV und VPN ersetzen nicht den gesunden Menschenverstand. Und die Werkzeuge helfen auch nur, wenn man sie richtig konfiguriert. Und ein "Backup" das immer erreichbar zum überschreiben ist, ist kein Backup!

Ein Backup ist nur dann sicher, wenn mindestens zwei Kopien offline sind oder nur nichts überschrieben oder gelöscht werden kann.

lks
Mitglied: tikayevent
tikayevent 15.03.2022 aktualisiert um 10:11:10 Uhr
Goto Top
Wie es bereits gesagt wurde: Zahlen oder Daten abschreiben.

Das Problem ist dein Sicherheitsbewusstsein. VPN hat mit Sicherheit selbst nichts zu tun, zumindest nicht in deinem Fall. Für die Nutzung öffentlicher Netzwerke mag es sinnvoll sein oder zu Verschleierung bestimmter Nutzungsverhalten, aber es ist definitiv kein Schutz für das heimische Netzwerk.
AV, ja, sollte man haben, aber dann als ordentliche Gesamtlösung, die nicht nur signaturbasiert arbeitet. Firewall das gleiche. Als Netzwerkschutz ja, aber als auch nur als Teil der Gesamtlösung.
Wichtig sind Updates und zwar für alle Geräte und schnellstmöglich. Das wird in deinem Fall das Problem gewesen sein. QNAP ist in letzter Zeit dafür bekannt, dass die arge Sicherheitslücken haben. QNAP stellt dafür die nötigen Updates bereit, man muss sie aber auch zeitnah installieren.
Das gleiche gilt für alle anderen Geräte, egal ob PC, Router, Drucker, Lautsprecher, Radios ... alles was am Netzwerk oder Internet hängt. Keine Updates mehr => Außerbetriebnahme

Ebenso sollte die QNAP-Kiste nicht aus dem Internet erreichbar sein, egal ob direkt per Portweiterleitung oder indirekt über irgendeinen Cloud-Dienst.

Zu deinem Verhalten als Benutzer kann und werde ich nichts sagen, da ich nicht weiß, ob du eher ein riskantes Nutzungsverhalten hast oder eher nicht.

Zur QNAP-Kiste: Entsorgen, du weißt nicht, welche Veränderungen im System vorgenommen wurden. Es gilt: einmal kompromittiert, immer kompromittiert.
Mitglied: Visucius
Visucius 15.03.2022 um 10:10:12 Uhr
Goto Top
Verstehe das Problem nicht.

Wenn das NAS ein Backup ist, liegen dort doch keine Daten, die nicht sonst noch woanders liegen?!
Mitglied: ChriBo
ChriBo 15.03.2022 um 10:24:39 Uhr
Goto Top
Hi lks,
Backup vorhanden? Alles löschen und aus Backup wiederherstellen.
Gefährlich !!!
ist nur bedingt anwendbar.
Das Eindringen in das System und die eigentliche Verschlüsselung finden häufig nicht gleichzeitig statt.
Es können Monate dazwischen liegen.
Die Gefahr daß die Systeme mit schon integrierter Schadsoftware wiederhergestellt werden ist sehr groß.

Also alles neu aufsetzten wird die Beste Lösung sein.
ggf. können einzelne Daten aus dem Backup weiter verwendet werden, dies bedarf aber einer gesonderten Prüfung.

Gruß
CH
Mitglied: em-pie
em-pie 15.03.2022 um 10:31:17 Uhr
Goto Top
Zitat von @RScorpion:

-

schlecht, ich hab mir das ding extra als backup system gekauft.
hab ne firewall, av, und vpn, und dennoch is jemand drauf gekommen, ich fasse es nicht.

--
<besserwissermodus>
Und deshalb wird das NAS auch zusätzlich wöchentlich auf einer HDD gesichert, welche nach dem Backup-Prozess ausgeworfen und durch mich am nächsten morgen auch physisch abgesteckt wird.
Somit beträgt der Verlust (bei mir, im heimischen Umfeld) max. 1 Woche.
@work wird dies täglich durchgeführt.
</besserwissermodus>

Aus meiner Sicht hast du nun zwei Möglichkeiten:
  • die Daten als Verlust abschreiben
  • warten, bis dass es ein Entschlüsselungstool gibt/ nach einem Tool suchen.


Mehr können wir dir hier auch nicht raten.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 15.03.2022 um 10:41:14 Uhr
Goto Top
Zitat von @ChriBo:

Hi lks,
Backup vorhanden? Alles löschen und aus Backup wiederherstellen.
Gefährlich !!!
ist nur bedingt anwendbar.
Das Eindringen in das System und die eigentliche Verschlüsselung finden häufig nicht gleichzeitig statt.
Es können Monate dazwischen liegen.
Die Gefahr daß die Systeme mit schon integrierter Schadsoftware wiederhergestellt werden ist sehr groß.

Ich gehe davon aus, daß wenn ein Admin alles löscht, zumindest die Systeme und Anwendungen frisch installiert und nur die Daten wiederherstellt. Ich hätte es vielleicht explizit hinschreiben sollen.

lks
Mitglied: jschneppe
jschneppe 16.03.2022 um 12:55:26 Uhr
Goto Top
Huhu,

Zitat von @tikayevent:

Wie es bereits gesagt wurde: Zahlen oder Daten abschreiben.

Das Problem ist dein Sicherheitsbewusstsein. VPN hat mit Sicherheit selbst nichts zu tun, zumindest nicht in deinem Fall. Für die Nutzung öffentlicher Netzwerke mag es sinnvoll sein oder zu Verschleierung bestimmter Nutzungsverhalten, aber es ist definitiv kein Schutz für das heimische Netzwerk.

Ich würd sein Sicherheitsbewusstsein als ok einstufen aber er versteht die Mechanismen nicht richtig!

AV, ja, sollte man haben, aber dann als ordentliche Gesamtlösung, die nicht nur signaturbasiert arbeitet. Firewall das gleiche. Als Netzwerkschutz ja, aber als auch nur als Teil der Gesamtlösung.
Wichtig sind Updates und zwar für alle Geräte und schnellstmöglich. Das wird in deinem Fall das Problem gewesen sein. QNAP ist in letzter Zeit dafür bekannt, dass die arge Sicherheitslücken haben. QNAP stellt dafür die nötigen Updates bereit, man muss sie aber auch zeitnah installieren.

Naja, Updates immer direkt Installieren kann dir auch das System Schrotten wie Microsoft ja mind. einmal im Jahr beweist.

Das gleiche gilt für alle anderen Geräte, egal ob PC, Router, Drucker, Lautsprecher, Radios ... alles was am Netzwerk oder Internet hängt. Keine Updates mehr => Außerbetriebnahme

Der einzig richtige Satz hier!


Ebenso sollte die QNAP-Kiste nicht aus dem Internet erreichbar sein, egal ob direkt per Portweiterleitung oder indirekt über irgendeinen Cloud-Dienst.

Why Not???
Wenn er es als reines Backup nutzt geb ich dir Recht, dann wäre aber ein ”dümmeres” Gerät sinvoller gewesen aber wen er es als das Nutzt was es ist ”NAS / Cloud” sehe ich da kein Problem, vorrausgesetzt man weiß es richtig einzurichten.

Zu deinem Verhalten als Benutzer kann und werde ich nichts sagen, da ich nicht weiß, ob du eher ein riskantes Nutzungsverhalten hast oder eher nicht.

Zur QNAP-Kiste: Entsorgen, du weißt nicht, welche Veränderungen im System vorgenommen wurden. Es gilt: einmal kompromittiert, immer kompromittiert.

Völliger blödsinn, neues QNAP OS aufspielen neu einrichten, evtl. wenn vorhanden Dateien aus einem anderen Backup wiederherstellen und gut.
Vielleicht noch die Config und Dateien anschließend in ein Offline Backup speichern.

Beste Grüße
Jürgen
Mitglied: jschneppe
jschneppe 16.03.2022 um 13:00:53 Uhr
Goto Top
Hallo,

die Daten wirste wohl vergessen können, denn ein Bezahlen ist auch keine Garantie dein System Entschlüsseln zu können.

System neu aufsetzen und dann mal etwas mehr einschränken wie z.B.

- Fail2Ban
- Firewall Ländersperre einrichten
- Firewall nur bestimmte Dienste den Zugriff aus dem iNet gestatten
- Passwortstärke evtl. erhöhen (Passwortmanager kann helfen)
- Das Admin konto deaktivieren und ein alternatives anlegen

Beste Grüße
Jürgen
Mitglied: Doskias
Doskias 16.03.2022 um 16:55:31 Uhr
Goto Top
Moin
Zitat von @jschneppe:
Hallo,
die Daten wirste wohl vergessen können, denn ein Bezahlen ist auch keine Garantie dein System Entschlüsseln zu können.
Garantie nicht, aber ich hab es bei einigen Firmen schon erlebt (nicht meine Kunden). Da haben alle die bezahlt haben die Daten wieder bekommen. Der Grund ist einfach: Wenn du die Daten wiederbekommst, dann spricht es sich herum, dass zahlen wirkt und die Leute zahlen. Wenn du zahlst aber keine daten zurück bekommst, dann wird irgendwann keiner zahlen. Die heutigen Hacker machen das für Geld und deswegen gibts die daten auch zurück.

- Passwortstärke evtl. erhöhen (Passwortmanager kann helfen)
Ich vermute es wird nicht am Passwort gelegen haben, sondern an ... naja.. siehe hier:
https://www.golem.de/news/ransomware-qnap-nas-werden-mit-zero-day-angegr ...
https://www.qnap.com/de-de/security-news/2022/ergreifen-sie-sofortige-ma ...
https://forum.qnapclub.de/thread/59534-qnap-nas-werden-mit-zero-day-ange ...

Die Frage ist also: War die Qnap auf dem aktuellen Patchstand oder durch die am 26.01.2022 veröffentlichte Lücke angreifbar?

Gruß
Doskias
Mitglied: Visucius
Visucius 16.03.2022 um 18:30:03 Uhr
Goto Top
Und das war ja nicht die erste. QNap hat da ja durchaus auch nen gewissen Trackingrecord, wenn ich mich recht entsinne