100$ Belohung! Zugreifen auf NAS-Festplatten, RAID 0, UNRAID

[luisduhme]

Hallo,
Ich möchte meine auf meine daten zugreifen, jedoch kann ich nicht auf die HDDs zugreifen.
Meine Situation:
Ich habe meinen NAS in Raid 0 in der high-water Konfiguration mit 5 HDDs (2x2TB und 3x1TB) aufgesetzt.
Ich hatte das alles an einem alten Office Rechner mit einem UNraid USB stick gemacht
Ich hatte dann da ca. 3,3TB an sehr wichtigen Daten dort auf dem Rechner.
Doch dann wurde mein ganzes Netzwerk mit einem DJVU STOP MQOS Virus befallen und alles ist nun in sha256 verschlüsselt.
So gut wie alles außer den wichtigsten Windows Dateien ist verschlüsselt
Die meisten Daten auf meinem Array sind verschlüsselt
Leider sind die Daten auf dem USB stick, welchen ich für UNraid genutzt habe, auch alle verschlüsselt, somit sind die Config Dateien etc. auch nicht nutzbar
Ich besitze die Lifetime Version von Unraid und habe noch den Key
Gibt es irgendeine Möglichkeit auf die Daten zuzugreifen ohne den Config stick?
Ich habe eine Belohnung von 100$ für die Person, die mir meine originalen Daten wieder herstellen kann.
Ich bedanke mich schonmal im Voraus für jegliche Antwort.

 

[coasterblog]

Wenn es keine bekannte Lösung für diesen Virus gibt bleiben die 100$ (warum Dollar?) in deiner Tasche.
Du wirst es mir jetzt übel nehmen....aber warum kein Backup? Weil sonst waren die Daten nicht wichtig. Tut mir leid das auf diesen Nenner reduzieren zu müssen, aber das ist nunmal so.

Ich wünsche dir dass es eine bekannte Möglichkeit gibt für dein Problem und ein findiger Forist dir da helfen kann. Aber rechne auch mit dem worst case.

 

[Dr. McCoy]

an einem alten Office Rechner

Alter Rechner? Welches Betriebssystem ist da drauf? Und hängt der Rechner am Internet bzw. wird oder wurde für die Internetnutzung verwendet? Und was ist mit dem NAS? Um welches handelt es sich, und hängt dies auch am Web?

Was die Ransomware betrifft:
Lass mal hier die genaue Version ermitteln:
-> https://id-ransomware.malwarehunterteam.com/index.php?lang=de_DE

Denn es könnte auch neuere Entschlüsselungsmöglichkeiten, analog zu dieser alten hier, geben:
-> https://blog.emsisoft.com/de/34472/...ht-neuen-decrypter-fuer-ransomware-stop-djvu/

Achso: Die Hilfestellungen hier im Forum sind nicht kommerziell!

 

[coasterblog]

Leider können wir mit dem Tool nicht allen Opfern helfen, da derzeit nur 148 der 160 Varianten entschlüsselt werden können. Wir gehen davon aus, dass damit ungefähr 70 % der Opfer ihre Daten wiederherstellen können.

Klingt schon mal nicht schlecht.

STOP wird nahezu ausschließlich über Key Generators (also Schlüsselgeneratoren) und Cracks verbreitet, mit denen Anwender angeblich Bezahlsoftware kostenlos freischalten können. Diese Tools sind besonders bei Kindern und Studenten gefragt, die knapp bei Kasse sind.

Tja...wenn dem so ist bitte das eigene Verhalten überdenken

 

[Sephe]

Ich will ja nix sagen, aber:

• RAID 0 (!!!) aus 5 Platten von unterschiedlichen Typen, also OHNE Redundanz
• wichtige Daten
• alter Office Rechner
• kein Backup.

Das war von Anfang an zum scheitern verurteilt.
Und wenn dir die Daten so wichtig sind, verdoppel den Betrag und häng noch eine 0 dran.
Dann dürfte es realistischer sein.

Was manchmal zielführend ist, ist sektorweises durchsuchen der Partition z.B. mit Testdisk.
Manche Ransomware verschlüsselt zuerst alles (damit sind original UND verschlüsselte Dateien gleichzeitig auf der Festplatte) und löschen erst ABSCHLIESSEND die Originaldaten.

100 USD entsprechen übrigens ca 85 EUR.

 

[Dr. McCoy]

Klingt schon mal nicht schlecht.

Ja, leider jedoch eine ältere Information aus 2019. Das heißt, in der Zwischenzeit sind wieder neue Varianten verbreitet worden. Daher muss man mal schauen, was die ID-Bestimmung ergibt.

Grundsätzlich besteht aber auch noch explizit folgendes bekanntes Problem bei diesem Typ Ransomware, der auch im verlinkten Artikel aufgegriffen wird:

Und als wäre das noch nicht genug, kommen einige Versionen von STOP in Kombination mit weiterer Malware, wie Kennwort stehlenden Trojanern.

Von daher muss hier von einem sehr breiten Schadpotential ausgegangen werden, diese Infektion ist kein "Spaß". Außerdem wird sie gerne über unseriöse Downloads verbreitet, daher befürchte ich fast, der TE hat sie sich eigenhändig heruntergeladen und ausgeführt.

Möglich und auch in der Praxis anzutreffen sind allerdings ebenfalls Drive-by-Infektionen bzw. Infektionen über's Netzwerk, wenn z.B. das NAS am Web hing und eine veraltete Firmware in Verwendung ist.

 

[coasterblog]

Wenn die Angabe zum Verbreitungsweg stimmt (KeyGen) dann hat der TE bisher schon ne Menge Geld gespart. Muss er selbst gegen den Wert seiner Daten aufwiegen.

 

[Kenny [CH]]

Thread durch gelesen und erst mal ordentlich gelacht!

Wie viele hier richtig Festgestellt haben: Dein Setup TE ist misst. RAID0 mit unterschiedlichen Platten etc wird dir nichts bringen! Eine Platte defekt und ALLE - WIRKLICH ALLE - sind verloren. Es ist eine "schande" das bei RAID0 immer noch von RAID gesprochen wird es - evtl ein AID aber sicher kein RAID - hat nichts mit redundant zu tun. TLDR es sollte Verboten werden Stripping als RAID zu bezeichnen!

Jetzt zu deinem Problem TE - hast du evtl noch einige Daten - versendet per Mail/gehostet auf OneDrive/Nextcloud/Gdrive etc pp die möglicherweise 1:1 mit einer Datei übereinstimmen auf dem "RAID0" NAS? Denn wenn du jetzt einige Daten hättest Unverschlüsselt und die 1:1 gleiche Datei verschlüsselt - dann sollte man (evtl mit genügend Sample) auch "entschlüsseln" können -> AKA eine Known-Plaintext Attacke durchführen: https://en.wikipedia.org/wiki/Known-plaintext_attack oder wenigstens Versuchen. Dies würde aber erst Sinn ergeben, wenn es noch keine encrypter Tools im Netzt für deinen Stop Virus gibt.

Last but not least: Wenn du dir den Virus wirklich über KeyGens zugeführt hast - dann weist du jetzt hoffentlich, dass du darauf verzichten solltest! - aber evtl wenn du Glück hast, war es ein alter Virus welcher entschlüsselt werden kann, die Viren in diesen KeyGens werde nicht all zu oft ausgetauscht - nur neuere KeyGens würden veröffentlicht werden mit neuen Viren. -> Wenn du die "Infizierte" Datei hast evtl TotalSearch etc Testen ob da noch etwas herauskommt -> infos über den Virus und mögliche Entschlüsselungen -> wäre z.B auch nicht das erste mal, das der Virus den Root Key für die Verschlüsselung im quellcode gespeichert hat.

/e: Wenn du den KPA weg gehen müsstest, da es kein Decoder gibt - wende dich an ein Prof. Anbieter für das, wenn dir die Daten so wichtig sind. Ich kenne kein User - hier oder anderem Forum - welcher sich mit diesem Thema beschäftigten würde und das alles für 100$ -> Rechne eher mit 3000-5000$ - 3.3TB Daten Entschlüssen und erst noch evtl einen Decoder zu schreiben + evtl den Root Key zu berechnen benötigt einiges an Zeit und besonders Wissen! Und dafür wirst du immer viel bezahlen müssen, e.g. ich würde meine Skills auch nicht für so wenig Geld verkaufen, besonders wenn ich weiss dass das Thema nicht in 1-2h gemacht erledigt ist - das benötigt eher so 1 Woche+

 

[LieberNetterFlo]

unRAID macht kein RAID0, das macht was eigenes: Er legt die Dateien einzeln auf den Platten ab und bildet mit einer eigenen Technik eine Redundanzplatte mit Hilfe der ein einzelner Plattenausfall wiederhergestellt werden kann.

Soll heißen: Wenn bei unRAID das unRAID selbst (also z.B. der USB Stick) oder eine Daten-Platte kaputt geht, sind die Daten auf den anderen Platten immernoch vorhanden. Die kann man ganz einfach in Linux anschauen, sind normalerweise XFS formatiert.

ABER: Wenn der Krams natürlich verschlüsselt ist, dann klappt der Dateizugriff nicht (Partitionszugriff schon).

Wenn alles bei dir auf dem NAS verschlüsselt ist, aber das NAS selbst nicht befallen war, dann hat er ja die ganze Zeit über von deinem normalen Rechner übers Netzwerk die Daten alle verschlüsselt. Ist dir das nicht aufgefallen?

 

[KnolleJupp]

Hier wäre noch was zu lesen:

https://geeksadvice.com/decrypt-files-locked-by-stop-djvu-ransomware-virus/
bzw.
https://geeksadvice.com/remove-moqs-ransomware-virus/
bzw.
https://geeksadvice.com/remove-djvu-ransomware-virus/

Entschlüsseln klappt - soweit ich das grob überflogen habe - nur, wenn
ein Offline-Key genutzt wurde. Wenn ein Online-Key genutzt wurde, brauchst du min. ein Dateipaar, original und verschlüsselt.
Dann kommt es darauf an welche Variante des Virus vorliegt, je nach Variante kann man die Dateien entschlüsseln oder nicht.

PS: Wenn dir die "3,3TB sehr wichtigen Daten" gerade mal 85€ wert sind, können sie ja wohl doch nicht sooo wichtig sein...

 

[Cokocool]

Ich hatte dann da ca. 3,3TB an sehr wichtigen Daten dort auf dem Rechner.

Mit UNraid und RAID0 herumbastln, aber nicht einmal die einfachsten Grundregeln auf die Ketten kriegen...

Ich habe 2 Offline Backups auf externen HDDs von meinem NAS. Ein Backup lagert an einem komplett anderen Ort, also selbst bei einem Feuer wären meine Daten noch da.

Mit Glück wird irgendwann der Key veröffentlich wie bei einigen anderen Verschlüsselungsviren. Deine Geschichte ist schon vorher 10000x passiert. Aber die Leute lernen es einfach nicht und gucken dann immer dumm aus der Röhre.

 

[hercemania]

Ich täte warten, früher oder später knackt jemand den Key und dann gibt es ein Tool das das rückentschlüsselt...

P.S: Ich lade verdächtige Dateien vorher bei Virustotal hoch ;-)

 

[Falc410]

Unraid und Raid 0 passt nicht wie die Leute schon sagen. Bei Unraid wird halt leider die Paritätsinformation direkt geschrieben sobald sich Daten ändern (hat Vor- und Nachteile). D.h. du kannst die Daten nicht wieder herstellen nachdem sie verschlüsselt worden sind. Habe das bei meinem Vater im Einsatz und wir haben zusätzlich ein Offline System welches regelmässig ein Backup vom Unraid NAS zieht - genau für solche Fälle.

Du solltest auch von der Config ein Backup gemacht haben! Aber selbst wenn nicht, kannst du die Platten wieder in eine neue Config importieren, da ja jede mit XFS oder wenn alt noch mit ReiserFS gemountet werden kann. Aber ob du die Paritätsplatte auch einhängen kannst, weiss ich nicht. Würde dir aber auch nicht viel bringen im Moment. Dazu gibt es aber Anleitungen im Unraid Wiki

Bei mir verwende ich Snapraid, da muss man die Paritätsdaten selbst syncen, d.h. nach so einem Angriff könnte ich (wenn der Virus nicht die Paritätsplatte komplett verschlüsselt, was die meisten aber nicht machen) die Daten vielleicht wieder herstellen wenn nicht schon der neue Sync durchgelaufen ist.

Im Thread wurden wir ja schon Hinweise gegeben und so wie ich das sehe hast du sogar Chancen wieder an die Daten ranzukommen. Alternativ bleibt natürlich immer die Option das Lösegeld zu bezahlen, auch hier hat man i.d.R. gute (> 50%) Chancen wieder an die Daten zu kommen. Aber das ist natürlich nur ein Last Resort.

 

[NobodysFool]

Naja gegen solche Szenarien kann man sich schon relativ gut schützen, wenn man sich vorher ein wenig Gedanken darübermacht. Um Backups kommt man natürlich trotzdem nie rum.

Die Daten auf meinem Synology NAS liefen auf einem BTRFS-Volume, und ich nutze hier Snapshots im 1-Stunden-Takt. Verschlüsselt irgendwas mein NAS werden die verschlüsselten Dateien zwar neu geschrieben, die alten bleiben in den Snapshots aber vorhanden. Im Endeffekt würde das bei mir dazu führen, dass das Volume volläuft und die Malware gar nicht alles verschlüsseln kann, weil dafür gar nicht genug freier Platz vorhanden wäre.

Zum anderen haben zusätzlich dazu auf manche Freigaben die am PC angemeldeten Benutzer schon mal gar keine Schreibrechte.

Dazu dann natürlich noch die Backups.

 

[PHuV]

Doch dann wurde mein ganzes Netzwerk mit einem DJVU STOP MQOS Virus befallen und alles ist nun in sha256 verschlüsselt.

Darf ich raten? KMSPico für Office und Windows eingesetzt?

Ich habe eine Belohnung von 100$ für die Person, die mir meine originalen Daten wieder herstellen kann.

Häng noch 2 Nullen dran, und dann wirds interessant. Sind Deine Daten so wenig wert? Ein Experte macht für 100$ einmal Deinen Rechner an, schaut kurz drauf, und macht ihn wieder aus, oder redet mit Dir nur 45min.

Was hast Du denn schon selbst alles so probiert und recheriert?

https://sensorstechforum.com/de/remove-stop-ransomware/
https://geeksadvice.com/stop-djvu-decryption-tool-released-recover-files-for-free/
https://www.disktuna.com/media_repair-file-repair-for-stop-djvu-mp3-mp4-3gp/

Ergänzung (6. August 2021)

Ansonsten die üblichen Tipps. PC nicht mehr mit diesem verseuchten OS starten. Nur mit Linux oder einem neuen Windows auf einem neuen Datenträger starten, oder WinPE über Stick.

 

[ameisenbaer]

und alles ist nun in sha256 verschlüsselt.

Interessante Sache, denn sha256 ist ein Hash-Algorithmus und kein Verschlüsselungsalgorithmus...

 

[pcblizzard]

[...] Ich habe eine Belohnung von 100$ für die Person, die mir meine originalen Daten wieder herstellen kann. [...]

Firmen die sich auf Datenrettung spezialisiert haben, stehen dafür höchstens vom Stuhl auf und reden kurz mit Dir. Wenn Dir die Daten so wichtig sind, sind 85 Euro, hm naja, nicht so doll, gerade wenn es "wichtige" Daten sind (wobei, so wichtig können sie nicht sein, wenn davon kein Backup besteht (ein RAID ist keine Backup-Lösung)!

 

[wern001]

DJVU STOP MQOS Virus befallen und alles ist nun in sha256 verschlüsselt.

sha256 kann nichts verschlüsseln! Das ist extrem vereinfacht gesagt sowas wie eine Quersumme von daten.
DJVU STOP MQOS verschlüsselt mit RSA Salsa20.

Egal ob Raid oder unraid. deine 3,3 TB Daten waren anscheinend nicht sehr wichtig sonst hättest Du davon ein Backup gemacht.
Inzwischen gibt es viele günstige Bandlaufwerke. So ein LTO5 Streamer wo 1,5-3 TB drauf passen kostet nur noch 250-300€ ohne Bänder.

Eine Datensicherung ist Luxus solange nichts passiert.

 

[PHuV]

Inzwischen gibt es viele günstige Bandlaufwerke. So ein LTO5 Streamer wo 1,5-3 TB drauf passen kostet nur noch 250-300€ ohne Bänder.

Nah, Bänder in der Größe würde ich heute nicht mehr einsetzen. Eine 8-10 TB Platte von WD oder Seagate extern bekommt man für 200-220 € im Angebot. Da kann man sein 3,3 TB Raid 2x sichern.

 

[wern001]

Die meisten lassen ihre Backupplatte einfach angesteckt. Ich würde die Backupplatte einfach mit verschlüsseln. Des weiteren ist ein Band extrem Robust Selbst wenn es einem runterfällt macht denen nichts aus. Haben nur eine kleine Delle funktionieren aber trotzdem.