100$ Belohung! Zugreifen auf NAS-Festplatten, RAID 0, UNRAID

[PHuV]

Die meisten lassen ihre Backupplatte einfach angesteckt.

Na dann selbst schuld, wenn was passiert.

Ergänzung (6. August 2021)

Des weiteren ist ein Band extrem Robust Selbst wenn es einem runterfällt macht denen nichts aus. Haben nur eine kleine Delle funktionieren aber trotzdem.

Ja, aber Recovery per Band ist nicht so zuverlässig, wie alle denken. Ich hab da diverse Horrorstories zu berichten.

 

[wern001]

hab schon etliche Daten von Bänder zurückgespielt. Selbst Archivbänder die +10 Jahre lagerten ließen sich einlesen. Nur die Dat-Bänder waren nicht so der Hit. Aber alles was die Bänder über den Kopf zieht. ab DLT oder so geht sehr gut.

 

[PHuV]

Nur die Dat-Bänder waren nicht so der Hit.

Ja, das war meine erste Horror-Erfahrung Anfang der 90er.

 

[wern001]

Die DAT-Bänder unterliegen einem hohen verschleiß und musten alle 50 Komplettbackups ausgetauscht werden.
Hatte auch schon erlebt das jemand 2 Jahre auf das gleiche Band (5x Woche) die Sicherung machten und dann daten zurück wollten. Die hatten sogar noch 10 Original verpackte Bänder im Serverschrank liegen.

 

[Kenny [CH]]

und ich nutze hier Snapshots im 1-Stunden-Takt.

Hoffentlich von einem 2. System aus - es gibt einige Viren und Locker Würmer, welche nicht nur Verschlüsseln. Manche beginnen bereits die Windows Shadow Copy zu deaktivieren und andere Backup Mechanismen um genau das zu verhindern was du beschreibst.
Natürlich so wie du es beschreibst, hast du sicher einen guten Grundschutz - aber wollte dich nur darauf Hinweisen - dass es auch sehr viel schlimmere Cryptolocker gibt/geben wird, bei welchen evtl auch bald mal dein BTRFS-Snapshot nicht ausreichen könnte.

DJVU STOP MQOS verschlüsselt mit RSA Salsa20.

Kann sein das die meisten/alle eingesetzten Version aktuell dieses Verfahren einsetzten. Wäre aber keine grössere Sache dies in einer anderen Version anzupassen/ändern.
Wäre jetzt aber langsam wirklich Spannend ob sich der TE meldet und evtl mehr über seine Version berichten könnte.

 

[ameisenbaer]

So ein LTO5 Streamer wo 1,5-3 TB drauf passen kostet nur noch 250-300€ ohne Bänder.

Kannst Du welche zu dem Preis empfehlen?

 

[wern001]

Kannst Du welche zu dem Preis empfehlen?

Ich setze die Tandberggeräte ein. Allerdings sehen die HP, Fujitsu Geräte genauso wie die Tandbergteile aus.
Vor allem kann man die Geräte auslesen so das man die Resthaltbarkeit gut abschätzen kann.

 

[Kenny [CH]]

Ich setze die Tandberg geräte ein

Die mit SAS Anschlüssen? - Was hast du den für ein SAS Kontroller?
Das man SAS nicht einfach an SATA anstecken kann sollte ja klar sein - aber mir wären auch relativ wenige USB Modelle bekannt und auch nicht für die Preise von oben.

/e: wer sich aber für solche Hardware interessiert sollte wirklich auf Ebay schauen - alte Enterprise Hardware zu guten Preisen und meistens hat diese Hardware noch einige Jahre zu geben - auch wenn die Rechenzetrum "aussortieren" - das hat manchmal ganz andere gründe, als nur "alt". Energie, Leistung und Anschlüsse etc können da mehr aus machen als man denkt.

 

[wern001]

Ja mit SAS. Als Kontroller einen Adaptec. Aber da kann man eigentlich jeden beliebigen HBA nehmen.
Da die Geräte extrem schnell sind mach ich ein Backup im Prinzip backup2disk2tape Bei vielen kleinen Daten schaffen nicht mal SSDs die 140 MB/sek oder mehr aufrecht zu erhalten.

 

[luisduhme]

Alter Rechner? Welches Betriebssystem ist da drauf? Und hängt der Rechner am Internet bzw. wird oder wurde für die Internetnutzung verwendet? Und was ist mit dem NAS? Um welches handelt es sich, und hängt dies auch am Web?

Ja, einfach ein alter Fujitsu PRIMERGY TX100 S1 Server. Da war UNRaid OS drauf. Ja der Rechner war an die fritz box angeschlossen und mit Rechnern verbunden die im Internet waren. Dieser alte Rechner ist das NAS.

Danke für den Tipp aber leider habe ich einen vermutlich einen Online Key, weshalb es warscheinlich nicht zu durch das Tool von Emisoft zu knacken ist.

Anbei ist ein Screenshot von der Virus Identifizierung, der Erpressernachricht und eine Verschlüsselte Datei.

Ergänzung (7. August 2021)

Thread durch gelesen und erst mal ordentlich gelacht!

Wie viele hier richtig Festgestellt haben: Dein Setup TE ist misst. RAID0 mit unterschiedlichen Platten etc wird dir nichts bringen! Eine Platte defekt und ALLE - WIRKLICH ALLE - sind verloren. Es ist eine "schande" das bei RAID0 immer noch von RAID gesprochen wird es - evtl ein AID aber sicher kein RAID - hat nichts mit redundant zu tun. TLDR es sollte Verboten werden Stripping als RAID zu bezeichnen!

Jetzt zu deinem Problem TE - hast du evtl noch einige Daten - versendet per Mail/gehostet auf OneDrive/Nextcloud/Gdrive etc pp die möglicherweise 1:1 mit einer Datei übereinstimmen auf dem "RAID0" NAS? Denn wenn du jetzt einige Daten hättest Unverschlüsselt und die 1:1 gleiche Datei verschlüsselt - dann sollte man (evtl mit genügend Sample) auch "entschlüsseln" können -> AKA eine Known-Plaintext Attacke durchführen: https://en.wikipedia.org/wiki/Known-plaintext_attack oder wenigstens Versuchen. Dies würde aber erst Sinn ergeben, wenn es noch keine encrypter Tools im Netzt für deinen Stop Virus gibt.

Last but not least: Wenn du dir den Virus wirklich über KeyGens zugeführt hast - dann weist du jetzt hoffentlich, dass du darauf verzichten solltest! - aber evtl wenn du Glück hast, war es ein alter Virus welcher entschlüsselt werden kann, die Viren in diesen KeyGens werde nicht all zu oft ausgetauscht - nur neuere KeyGens würden veröffentlicht werden mit neuen Viren. -> Wenn du die "Infizierte" Datei hast evtl TotalSearch etc Testen ob da noch etwas herauskommt -> infos über den Virus und mögliche Entschlüsselungen -> wäre z.B auch nicht das erste mal, das der Virus den Root Key für die Verschlüsselung im quellcode gespeichert hat.

/e: Wenn du den KPA weg gehen müsstest, da es kein Decoder gibt - wende dich an ein Prof. Anbieter für das, wenn dir die Daten so wichtig sind. Ich kenne kein User - hier oder anderem Forum - welcher sich mit diesem Thema beschäftigten würde und das alles für 100$ -> Rechne eher mit 3000-5000$ - 3.3TB Daten Entschlüssen und erst noch evtl einen Decoder zu schreiben + evtl den Root Key zu berechnen benötigt einiges an Zeit und besonders Wissen! Und dafür wirst du immer viel bezahlen müssen, e.g. ich würde meine Skills auch nicht für so wenig Geld verkaufen, besonders wenn ich weiss dass das Thema nicht in 1-2h gemacht erledigt ist - das benötigt eher so 1 Woche+

Ich habe eine normale und eine encryptete Datei zur Verfügung und würde gerne diese Möglichkeit nutzen. Gibt es da bestimmte Tools oder Firmen wo man sich dran wenden kann?

Es war kein normales Raid 0 (war eine High-Water allocation) und ich kann nun durch Linux auf die einzelnen Festplatten drauf zugreifen, ohne sie im Raid zu haben. Die Daten sind halt trotzdem verschlüsselt weshalb mir das relativ wenig bringt bisher.

Ergänzung (7. August 2021)

unRAID macht kein RAID0, das macht was eigenes: Er legt die Dateien einzeln auf den Platten ab und bildet mit einer eigenen Technik eine Redundanzplatte mit Hilfe der ein einzelner Plattenausfall wiederhergestellt werden kann.

Soll heißen: Wenn bei unRAID das unRAID selbst (also z.B. der USB Stick) oder eine Daten-Platte kaputt geht, sind die Daten auf den anderen Platten immernoch vorhanden. Die kann man ganz einfach in Linux anschauen, sind normalerweise XFS formatiert.

ABER: Wenn der Krams natürlich verschlüsselt ist, dann klappt der Dateizugriff nicht (Partitionszugriff schon).

Wenn alles bei dir auf dem NAS verschlüsselt ist, aber das NAS selbst nicht befallen war, dann hat er ja die ganze Zeit über von deinem normalen Rechner übers Netzwerk die Daten alle verschlüsselt. Ist dir das nicht aufgefallen?

Danke für den Tipp! Das läuft schonmal und hat mich einen Schritt näher an mein Ziel gebracht.


Ich weiß nicht ganz wie UNraid die Daten zwischen den Festplatten verteilt. Handelt es sich um einen Raid? Denn es gibt keine Redundanz, richtig? ist es nicht verwunderlich, dass ich darauf zugriefen kann?

Mir ist es aufgefallen aber erst zu spät, dann war schon alles getan.

 

[Falc410]

Es war kein normales Raid 0 (war eine High-Water allocation) und ich kann nun durch Linux auf die einzelnen Festplatten drauf zugreifen, ohne sie im Raid zu haben. Die Daten sind halt trotzdem verschlüsselt weshalb mir das relativ wenig bringt bisher.

Ich weiß nicht ganz wie UNraid die Daten zwischen den Festplatten verteilt. Handelt es sich um einen Raid? Denn es gibt keine Redundanz, richtig? ist es nicht verwunderlich, dass ich darauf zugriefen kann?

Also anscheinend hast du keine Ahnung was unRaid ist, aber hauptsache du eine Lizenz gekauft. Ich verstehe immer noch nicht wie dein Setup aussieht? Raid 0 und Unraid passt überhaupt nicht zusammen.

Und nein, unRaid ist kein Raid wie der Name schon sagt, es gibt aber eine Paritätsplatte, damit kann man ähnlich wie bei einem Raid 5, Daten wieder herstellen falls eine Datenplatte ausfällt. Dafür benötigt man aber alle anderen Platten + die Paritätsplatte. Wie die Daten auf die Festplatten verteilt werden hast du selber festgelegt. Jede Festplatte ist mit einem Filesystem formatiert und kann ganz normal in jedem Rechner gemountet werden.

 

[luisduhme]

Mit Glück wird irgendwann der Key veröffentlich wie bei einigen anderen Verschlüsselungsviren. Deine Geschichte ist schon vorher 10000x passiert. Aber die Leute lernen es einfach nicht und gucken dann immer dumm aus der Röhre.

Falls die je released werden, wo würde man so etwas finden?

Danke mein Kumpel!

Ergänzung (7. August 2021)

Darf ich raten? KMSPico für Office und Windows eingesetzt?

Häng noch 2 Nullen dran, und dann wirds interessant. Sind Deine Daten so wenig wert? Ein Experte macht für 100$ einmal Deinen Rechner an, schaut kurz drauf, und macht ihn wieder aus, oder redet mit Dir nur 45min.

Was hast Du denn schon selbst alles so probiert und recheriert?

https://sensorstechforum.com/de/remove-stop-ransomware/
https://geeksadvice.com/stop-djvu-decryption-tool-released-recover-files-for-free/
https://www.disktuna.com/media_repair-file-repair-for-stop-djvu-mp3-mp4-3gp/

Ergänzung (6. August 2021)

Ansonsten die üblichen Tipps. PC nicht mehr mit diesem verseuchten OS starten. Nur mit Linux oder einem neuen Windows auf einem neuen Datenträger starten, oder WinPE über Stick.

Moin,
nein ich habe KMS nicht genutzt.

Ich habe bereits mehrere decyrpter und recovery Programme genutzt.

 

[Dr. McCoy]

Anbei ist ein Screenshot von der Virus Identifizierung

Ok, und was ergibt der Klick auf den Link zur dortigen Anleitung?

 

[NobodysFool]

Hoffentlich von einem 2. System aus - es gibt einige Viren und Locker Würmer, welche nicht nur Verschlüsseln. Manche beginnen bereits die Windows Shadow Copy zu deaktivieren und andere Backup Mechanismen um genau das zu verhindern was du beschreibst.
Natürlich so wie du es beschreibst, hast du sicher einen guten Grundschutz - aber wollte dich nur darauf Hinweisen - dass es auch sehr viel schlimmere Cryptolocker gibt/geben wird, bei welchen evtl auch bald mal dein BTRFS-Snapshot nicht ausreichen könnte.

Dazu müsste die Schadsoftware lokal auf meinem Synology NAS ausgeführt werden. Grundsätzlich nicht unmöglich, auf einem NAS das aber aus dem Internet nicht erreichbar ist eher sehr unwahrscheinlich. Jeglicher Windows Rechner hat auf die Snapshots keinen Zugriff. Die sind im Normalfall auf Dateisystemebene auch ausgeblendet und gar nicht sichtbar, sofern ich das nicht selbst ändere. Und wie gesagt, dann gibt es ja noch die Backups und beschränkte Zugriffsrechte.