Hilfe - Daten plötzlich alle verschlüsselt

[ArvidBlixen]

Hallo, nachdem ich heut auf meine DS215+ zugreifen wollte musste ich leider feststellen das alle Daten verschlüsselt sind...

In jedem Ordner befindet sich eine README_FOR_DECRYPT.TXTT Datei (Ja "TXTT" ) mit folgendem Inhalt:

All your data has been locked(crypted).
How to unlock(decrypt) instruction located in this TOR website: <URL entfernt>
Use TOR browser for access .onion websites.
https://duckduckgo.com/html?q=tor+browser+how+to

Außerdem sind alle Dateien von *.* in *.*.encrypt umbenannt worden...

Mein Sicherheitsberater hat außerdem vor ein paar Tagen ein "neues Anmeldeverhalten erkannt" das wird dann wahrscheinlich die Ursache sein?

Kann mir jemand hier helfen, bzw. gibt es noch Hoffnung

Vielen Dank soweit schon mal...

 

[Ulfhednir]

Dürfte schwierig werden. Erstmal solltest du das Ding vom Netz trennen.
Hast du zufällig eine Smarthome-Steuerzentrale bei dir installiert? ioBroker?

 

[ArvidBlixen]

Vom Netz hab ich die direkt danach genommen...
Smarthome habe ich nicht...
Die DS215+ hängt an meinen Router (Digitalisierungsbox Premium von der Telekom)
In dem Netzwerk sind alle meine Geräte (PC, Laptop, Tablet, Handys, TV, AV Reciever, Drucker,...)
Die DS215+ habe ich mit WebDAV für Externen Zugriff freigeschaltet, damit ich von der Arbeit aus darauf zugreifen kann... wird warscheinlich der Angriffspunkt gewesen sein...

 

[Thonav]

Die leidige Frage: Du hast ein Backup Deiner Daten?

 

[Ulfhednir]

Welche Ports hast du denn nach außen alles geöffnet? Ansonsten KÖNNTE es hiermit ja in Verbindung stehen:
https://stadt-bremerhaven.de/synology-gibt-samba-warnmeldung-raus/

 

[Yippie]

Im Link steht jedoch

Keines der Produkte von Synology ist von CVE-2022-32745 betroffen, da diese Sicherheitslücke nur Samba 4.13 und höher betrifft.

 

[geimist]

Es sind aber auch die Lücken CVE-2022-2031 CVE-2022-32742 CVE-2022-32744 CVE-2022-32746 erwähnt.

Aber wie man lesen kann, müssten die Anmeldedaten bekannt gewesen sein.

 

[Yippie]

Ja, stimmt...

 

[mördock]

Hallo,

heute auf heise.de gelesen. Vielleicht hilft es dir.
https://www.heise.de/news/Web-Porta...ss.red.security.security.atom.beitrag.beitrag

 

[Synchrotron]

Die einzig relevante Frage wurde schon gestellt: Backup vorhanden ?

Ansonsten musst du dir überlegen, ob du zahlst.

Es gibt eine kleine Chance, dass der Schlüssel bekannt ist, der benutzt wurde. Einfach mal mit dem Inhalt der Read.me googeln.

Alle Geräte vom Netzwerk trennen, und möglichst so lange nicht nutzen, bis weiterer Befall nicht geklärt ist. Für Recherchen mobile Geräte nutzen, die sind weniger gefährdet.

 

[Sequoia]

Das hatten wir doch vor ein paar Wochen / Monaten schon mal genau so?

Und auch damals kam leider leider nicht zum Tragen, wie es geschehen konnte. Das interessiert mich extrem, denn so kann man präventiv selbst schauen, ob man evtl. gefährdet ist. Das ist meine große Sorge. Ich habe zwar die Ports mit (nach meiner Meinung) bedacht offen, und auch 2FA und sichere Kennwörter bei den Anmeldungen, aber man weiß ja nie.

Irgendwie müssen die ja an die Anmeldedaten kommen, um auf die Syno zu gelangen und dort die Platten zu verschlüsseln?

 

[DMHas]

... Das interessiert mich extrem, denn so kann man präventiv selbst schauen, ob man evtl. gefährdet ist. Das ist meine große Sorge. Ich habe zwar die Ports mit (nach meiner Meinung) bedacht offen, und auch 2FA und sichere Kennwörter bei den Anmeldungen, aber man weiß ja nie.
...

Ich denke, es werden einfach Zugangsdaten durch getestet. Seit dem 26.07. zeigt das Protokollcenter folgende Einwahlversuche bei mir:

 

[Sequoia]

Ach krass. Danke. Dann muss ich da auch mal rein schauen.

Aber ich habe „admin“ auch gar nicht aktiv, und mein Admin (anderer Name) hat 2FA.

Bei mir ist nichts auffälliges im Protokoll.
Kann man einstellen, dass solche Warnungen irgendwie per Mail kommen oder so? Verdächtiges (= erfolgreiches) Anmelden wird ja per Mail signalisiert (Sicherheitsberater).

 

[Benie]

Seit dem 26.07. zeigt das Protokollcenter folgende Einwahlversuche bei mir:

Da geht es aber ganz schön zu bei Dir, ja aber es schaut schon nach vermutlich auch viel verwendeten Standart-Usernamen aus, auch der klassische admin ist oft dabei

 

[DMHas]

Aber ich habe „admin“ auch gar nicht aktiv, und mein Admin (anderer Name) hat 2FA.

Habe ich ebenfalls so gemacht! Zusätzlich lasse ich nur Verbindungen aus Deutschland zu (auch wenn das nur ein kleiner Schutz ist).

 

[Sequoia]

Jetzt muss ich mal recherchieren, welche IP genutzt wird, wenn ich im Ausland mit dem Handy unterwegs bin. Ich meine, es läuft dennoch über die deutsche IP? Dann könnte ich die Verbindungen auch auf DE beschränken. Wäre eine Idee, denn ich bin beruflich permanent im weltweiten Ausland unterwegs.

 

[Sequoia]

Jetzt muss ich schnell noch mal fragen.

Wenn ich die Firewall so einstelle:

Ort - Deutschland, Schweiz - Zulassen

Dann können diese rein, und alle anderen sind automatisch blockiert, oder?

 

[Benie]

Jetzt muss ich mal recherchieren, welche IP genutzt wird, wenn ich im Ausland mit dem Handy unterwegs bin.

Dann hast Du keine deutsche mehr, Du nützt ja auch einen Provider der in diesem Land ansäsig ist.

 

[Sequoia]

Nein, wenn ich mit dem Deutschen Handy z.B. in Spanien bin, zeigt es mir noch immer die deutsche IP Adresse an. Da die Einwahl ja weiterhin über den deutschen APN läuft.

Aber wäre die Einstellung der Firewall oben dann so korrekt, dass nur noch DE und CH IPs zugreifen können?

 

[Benie]

Aber nur, wenn Du kein W-Lan benützt