Dateien Verschlüsselt

[DcJ]

Hallo zusammen,
habe einen NAS von Qnap mit 2 WD Red a 2 TB- darauf sind alle wichtigen Sachen wie Fotos etc..

Jetzt kann ich noch darauf zugreifen aber alle Dateien sind verschlüsselt
Die TXT Datei Sagt folgendes:

!!! All your files have been encrypted !!!

All your files were encrypted using a private and unique key generated for the computer. This key is stored in our server and the only way to receive your key and decrypt your files is making a Bitcoin payment.

To purchase your key and decrypt your files, please follow these steps:

1. Dowload the Tor Browser at "https://www.torproject.org/". If you need help, please Google for "access onion page".

2. Visit the following pages with the Tor Browser:

gvka2m4qt5fod2fltkjmdk4gxh5oxemhpgmnmtjptms6fkgfzdd62tad.onion

3. Enter your Client Key:


Jemand eine Idee?
1. und das wichtigste- ich habe noch ein Backup auf einer externen HDD die ohne Strom an einem anderen Ort liegt. Die Daten habe ich vor kurzem abgeglichen. Also alles gut..
2. Was mache ich jetzt? Alles runter und neu denke ich.. nur WIE ? Also wie wird das verschlüsselt? Nicht das da nochwas im Bootmenü liegt (oder was weiss ich wo?)
3. Was habe ich falsch gemacht bzw wie kann ich sowas verhindern?

NAS ist ein Qnap TS-251 mit neuester Firmware.

Danke !

 

[Sephe]

1. -> Gut!
2. -> Ausschalten, Festplatten rausziehen, Einschalten -> Dann kommt ein Webserver, der dir hilft QTS (das Betriebssystem zu installieren). -> Dort wirst du gebeten eine Festplatte reinzuschieben, die gelöscht wird.
3. -> Keine Updates installiert. Gefühlt STROTZT Qnaps QTS nur so vor Sicherheitslücken, daher immer alle schnellstmöglich installieren. Vor allen dingen wenn du über das Internet darauf zugreifst.

 

[DcJ]

Ich habe vor 1 Woche auf die externe HDD die Daten abgeglichen. Da wurden auch die Firmwareupdates gemacht. Also ich bin aktuell.. theoretisch.. aber irgendwie sollten diese ja trotzdem auf das NAS gekommen sein

 

[Helge01]

3. Qnap aus dem Internet erreichbar? Ein NAS gehört nicht in das Internet! Egal wie die Werbeaussage vom Hersteller ist, die Geräte entsprechen nicht mal den Mindestanforderungen um das zu tun.

 

[coasterblog]

Also wie wird das verschlüsselt?

Durch einen Schädling

Was habe ich falsch gemacht bzw wie kann ich sowas verhindern?

Du warst auf falschen Webseiten, hast ohne brain.exe irgendwas angeklickt, einen Anhang unbekannten Absenders geöffnet etc... Da gibt es zig Möglichkeiten. Sogar eine Sicherheitslücke wäre denkbar.

Aber du hast ein Backup. Also, alles platt machen und von vorne. Dann etwas vorsichtiger sein im Web oder mit unbekannten Anhängen etc.
Immer alle Patches installieren usw

 

[DcJ]

Ja ist über das Internet erreichbar..

 

[Lord B.]

Puh, da haste dir was eingefangen.
Ob du die Daten ohne den Schlüssel retten kannst darf bezweifelt werden.

Zum Schutz vor solchen Attacken, welche meist via Phishing-E-Mails kommen, bleibt nur zu raten nichts was man nicht kennt anzuklicken, auch die Absenderadresse einer Mail im Detail zu checken, sowie den Defender oder eben das Virenprogramm seiner Wahl stets aktuell zu halten sowie alles vom OS Betreiber zur Verfügung gestellten Sicherheitspatches einzuspielen.

Das wichtigste ist jedoch, vor jedem Klick 2 mal überlegen.

 

[Nero_XY]

Ja ist über das Internet erreichbar..

Da ist die Ursache bzw. das Problem
KEINE Portweiterleitungen auf das NAS!
Zugang entweder über das VPN der FRITZ!Box oder einen extra VPN-Server (z.B. auf einem Raspberry Pi)

Ergänzung (22. April 2021)

@coasterblog @Lord B.
Ich bezweifle dass die Infektion über den Rechner des TE gekommen ist, sonst wäre dieser auch verschlüsselt

 

[coasterblog]

Wäre halt der übliche Weg

 

[Lord B.]

Öhmmm.... Joa, macht Natürlich Sinn, ist wohl noch 2 Stunden (bzw. 3 Kaffee) zu früh am Morgen

 

[Nero_XY]

KEINE Portweiterleitungen auf das NAS!
Zugang entweder über das VPN der FRITZ!Box oder einen extra VPN-Server (z.B. auf einem Raspberry Pi)

Falls dir dazu das Know-How fehlt, was auch völlig in Ordnung ist, dann richte lieber, für die Dateien die du unterwegs brauchst, eine Synchronization zu OneDrive, Google Drive, etc. ein.

 

[Christian1297]

Die Daten könnten auch über ein anderes, infiziertes Gerät im Netzwerk verschlüsselt worden sein. Würde vor dem anstecken Backup-HDD auf jeden Fall die lokalen Systeme überprüfen und wenn nicht vorhanden ein Backup vom Backup machen über einen auf jeden Fall nicht infizierten PC.

 

[spcqike]

woher weißt du, dass die Verschlüsslung auf dem NAS passiert ist? und nicht vom PC aus?

 

[coasterblog]

Ich erinnere mich gerade an einen Fall in unserer Firma, als diese Schädlinge top aktuell waren. Es kamen Warnungen von der IT in Massen bzgl. Anhänge in Mails. Zur selben Zeit waren einige Netzlaufwerke nicht erreichbar und es fehlten danach Dateien, die nach und nach erst wieder kamen.

Ich bin also nicht sicher ob immer der lokale Rechner betroffen sein muss oder ob der Schädling sogar danach sucht wo große Datenmengen liegen und darauf zugreift. Ich würde also auch die Infizierung durch den Hauptrechner nicht ganz ausschließen.

 

[Uwe F.]

Hallo, die Daten auf dem NAS sind verloren.
Keiner weiß worüber das NAS verschlüsselt wurde, direkt aus dem Internet oder dem Computer.

Bevor Du die Backup Platte an den Rechner hängst, würde ich diese sichern.
Nicht das wenn Du die Backup Platte anschließt, die Verschlüsselung auch auf dieser startet und dann wirklich alles verloren ist.

Im Zweifelsfall:
NAS platt machen
Computer platt machen
Anschließend alles neu auf spielen

 

[DcJ]

Danke erst einmal an alle..
also so wie ich sehe ist nur der NAS betroffen- kein PC.
Sonst habe ich nur Ipads und Iphones im Netz.. da sollte nix passiert sein.
Brain.exe war immer eingeschaltet aber danke für den Hinweis ;-)
Ich habe das NAS Passwort nicht gespeichert auf dem PC. Heisst jedesmal wenn ich darauf zugreife muss ich mein Passwort eingeben. Ich war seitdem nicht mehr auf dem NAS - und wenn er jetzt verschlüsselt ist und kein Zugriff darauf stattgefunden hat (TXT Datei ist gestern Nacht erstellt worden) war meine logische Schlussfolgerung das dies nicht aus dem eigenen Netzwerk passiert sein kann sondern von extern.

Wenn ich da einen Gedankenfehler gemacht habe .. sagt es mir einfach

 

[coasterblog]

Ich hoffe du behälst Recht mit deiner Vermutung. Sonst ist nachher auch dein Backup verloren.
Aber jetzt hast du erstmal etwas Arbeit vor der Brust. Viel Glück.

 

[DcJ]

Portweiterleitung etc.. kann ich alles nicht einstellen bei meinem Provider.. eine ewig lange Geschichte.

Also long story short- vom Internet nehmen - einfache und schnelle Lösung. Sonst noch ne Idee?

 

[blackshuck]

Also ist dein NAS gar nicht vom Internet aus erreichbar? Nur in deinem lokalen Netz?

 

[Uwe F.]

Also ist dein NAS gar nicht vom Internet aus erreichbar? Nur in deinem lokalen Netz?

Siehe #6