Opfer von Ransomangriff - Festplatte verschlüsselt - was kann ich jetzt tun?

DaDe81

Benutzer
Mitglied seit
14. Aug 2022
Beiträge
16
Punkte für Reaktionen
0
Punkte
1
Hallo Zusammen,

mich hat es leider erwischt, mir wurde die gesamte Syn verschlüsselt und ich habe keinen Zugriff mehr auf all meine Dateien.

Was kann ich nun tun um wieder an mei e Daten zu kommen.

Der Verursacher möchte gut 1000€ per Bitcoin Überweisung, dass möchte ich aber auf keinen Fall machen.

Hat jemand Erfahrung/Ideen bzw. kennt jemand einen fähigen Entschlüssler?

Besten Dank!

Daniel
 

AndiHeitzer

Benutzer
Sehr erfahren
Mitglied seit
30. Jun 2015
Beiträge
3.214
Punkte für Reaktionen
503
Punkte
174
Kiste platt machen und das Backup zurück holen? ;)
 

weyon

Benutzer
Mitglied seit
17. Apr 2017
Beiträge
655
Punkte für Reaktionen
74
Punkte
48
Einen solch fähigen Entschlüssler zu finden wird extrem schwer sein. Schau mal hier, vielleicht ist was dabei:
https://www.heise.de/news/Web-Porta...ss.red.security.security.atom.beitrag.beitrag

Hoffe du hast ein Backup von den wichtigsten Daten.

Wichtiger ist herauszufinden wie er die Daten verschlüsseln konnte damit es nicht wieder passiert. DS via Internet erreichbar oder nur direkt via PC, admin User deaktiviert, brauchbares Kennwort als admin Ersatzuser, 2FA für admin/user aktiv, User Kennwörter ausreichend, welche Ports auf Ds umgeleitet, interne Firewall aktiv?
 
  • Like
Reaktionen: AndiHeitzer

Thorfinn

Benutzer
Sehr erfahren
Mitglied seit
24. Mai 2019
Beiträge
1.574
Punkte für Reaktionen
342
Punkte
103
Herzlich Willkommen im Forum.
Aktuell ist grob gesehen nur veraltete Ransomware im Umlauf und die Schutzmechanismen sind hinreichend bekannt. Spannend wäre zu erfahren ob da jemand alte Ware oder was neues einsetzt.
Wie äussert sich der Ransomware Angriff konkret?

Ansonsten wie @AndiHeitzer schreibt. Ist Regel 3 ist eingehalten?
 
  • Like
Reaktionen: AndiHeitzer

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
4.658
Punkte für Reaktionen
1.643
Punkte
214
Auch ein fähiger Entschlüsseler kann dir nicht unbedingt helfen. Moderne Schlüssel sind praktisch (in endlicher Zeit) nicht zu knacken. Soweit entschlüsselt werden kann, haben entweder die Hacker ihre Generalschlüssel selbst ins Netz gestellt, oder es ist ein Bug in der benutzen Verschlüsselung vorhanden.

Um das beurteilen zu können, muss bekannt sein, welche Software dich angegriffen hat.

Ansonsten ist das gesamte Netzwerk als kompromittiert zu betrachten. Es kann durchaus sein, dass die eigentliche Schadsoftware nicht auf der DS, sondern auf einem PC liegt. Prinzipiell kann jedes Gerät im Netzwerk dazu dienen, die Schadsoftware zu lagern und später wieder auszuführen.

Bei der DS ist es einfach: Du hast ein Backup, dann lässt es sich (eventuell mit begrenztem Datenverlust) beherrschen. Du hast kein Backup: Zahlen (erst mal verhandeln …) oder wahrscheinlich Daten futsch.
 
  • Like
Reaktionen: AndiHeitzer

Thonav

Benutzer
Sehr erfahren
Mitglied seit
16. Feb 2014
Beiträge
7.874
Punkte für Reaktionen
1.496
Punkte
274
OT:
Es irritiert mich immer wieder, dass sich Leute mit einem gravierenden Problem (oder auch nicht) anmelden und nicht mal eine halbe Stunde im Forum bleiben um Antworten zu erhalten…
 
  • Like
Reaktionen: weyon und Thorfinn

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
4.658
Punkte für Reaktionen
1.643
Punkte
214
OT:
Vielleicht zwischendurch mal zum Heulen auf‘s Klo … ?

So ganz ruhig im Forum sitzen würde ich vermutlich auch nicht.
 

DaDe81

Benutzer
Mitglied seit
14. Aug 2022
Beiträge
16
Punkte für Reaktionen
0
Punkte
1
Danke für die zahlreichen Rückmeldungen!

Zum Thema Aktivität sage ich nur: 3 Kinder 😄

Hatte Hyper Backup laufen aber komischerweise ist die App von der Synology verschwunden. Hat hierfür jemand eine Erklärung?
Oder meint ihr ein Backup auf einer USB Platte?
 

DaDe81

Benutzer
Mitglied seit
14. Aug 2022
Beiträge
16
Punkte für Reaktionen
0
Punkte
1
Was bräuchtet ihr noch für weitere Infos von mir um mir zu helfen?
 

DaDe81

Benutzer
Mitglied seit
14. Aug 2022
Beiträge
16
Punkte für Reaktionen
0
Punkte
1
Einen solch fähigen Entschlüssler zu finden wird extrem schwer sein. Schau mal hier, vielleicht ist was dabei:
https://www.heise.de/news/Web-Porta...ss.red.security.security.atom.beitrag.beitrag

Hoffe du hast ein Backup von den wichtigsten Daten.

Wichtiger ist herauszufinden wie er die Daten verschlüsseln konnte damit es nicht wieder passiert. DS via Internet erreichbar oder nur direkt via PC, admin User deaktiviert, brauchbares Kennwort als admin Ersatzuser, 2FA für admin/user aktiv, User Kennwörter ausreichend, welche Ports auf Ds umgeleitet, interne Firewall aktiv?
Ich gehe davon aus, das ich viele Regeln nicht beachtet habe ( Unwissenheit) und er über das Internet und Admin User aktiv eindringen konnte…
 

Thorfinn

Benutzer
Sehr erfahren
Mitglied seit
24. Mai 2019
Beiträge
1.574
Punkte für Reaktionen
342
Punkte
103
Elter sein kostet Zeit - volles Verständnis. Wichtigeres geht vor.

Sofort die Synology von jeder WAN Verbindung trennen.
A: kommst du auf die Weboberfläche von Synology DSM?
B: kannst du dich dort anmelden?

wenn ja: Wie bemerkst du den Ransonware Angriff?

Wo sind die Medien die das Backup tragen?
 

DaDe81

Benutzer
Mitglied seit
14. Aug 2022
Beiträge
16
Punkte für Reaktionen
0
Punkte
1
Ja, habe das PW bereits zurückgesetzt und den Admin Zugang deaktiviert.
Die Syn wurde seit Bekanntwerden des Angriffs vom Netz getrennt.

Bemerkt habe ich es erst, als ich eine Datei öffnen wollte, diese war dann aber verschlüsselt…
 
Zuletzt bearbeitet von einem Moderator:

DaDe81

Benutzer
Mitglied seit
14. Aug 2022
Beiträge
16
Punkte für Reaktionen
0
Punkte
1
Die Medien sind ebenfalls auf der Syn - eben auf der anderen Bay…
 
Zuletzt bearbeitet von einem Moderator:

Thorfinn

Benutzer
Sehr erfahren
Mitglied seit
24. Mai 2019
Beiträge
1.574
Punkte für Reaktionen
342
Punkte
103
und du hast die Datei nicht etwa selber mit der Dateiverschlüsselung von DSM verschlüsselt?

Wenn nein: Wie @AndiHeitzer schreibt.
 

DaDe81

Benutzer
Mitglied seit
14. Aug 2022
Beiträge
16
Punkte für Reaktionen
0
Punkte
1
Nein…
Das Problem ist, dass die Hyper Backup App zwar auf der Syn läuft (aktiv) aber ich nicht auf die Programmoberfläche komme, da die App nicht mehr geöffnet werden kann oder wo finde ich die Oberfläche um die Hyper Backups zu öffnen?
 

Thorfinn

Benutzer
Sehr erfahren
Mitglied seit
24. Mai 2019
Beiträge
1.574
Punkte für Reaktionen
342
Punkte
103
wo finde ich die Oberfläche um die Hyper Backups zu öffnen?
Die Backupmedien nimmst du aus dem verseuchtem System. Die gehören ersteinmal in Karantäne.

Dann kannst du sie dir mit dem Hyperbackup Explorer mal ansehen.

Wenn die Backupdateien 100% sauber sind und das System neu aufgesetzt ist, kannst du zurückspielen.

Das nächste mal: Regel 3 einhalten!
Backupmedien haben ausser beim Bespielen oder beim Wiederherstellen keine Verbindung zum System, weder physisch noch geografisch.
 
  • Like
Reaktionen: RReinhard

DaDe81

Benutzer
Mitglied seit
14. Aug 2022
Beiträge
16
Punkte für Reaktionen
0
Punkte
1
Hallo Zusammen,
sorry das ich mich so lange nicht melden konnte - mich hat Corona niedergestreckt :-(

Danke für Eure Tipps und Infos.

Ich bin heute wieder aktiv an dem Thema dran und habe eben versucht ein altes Backup wiederherzustellen.

Leider kommt dann immer diese Fehlermeldung:

1661337103028.pngBild 24.08.22 um 12.25.jpeg


Wurde das Backup auch gehakt und verschlüsselt oder liegt hier ein anderer Fehler vor?


Danke Euch!

Grüße
Daniel
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
28. Okt 2020
Beiträge
13.500
Punkte für Reaktionen
4.631
Punkte
499
So wie ich das sehe, liegt das Backup auf der gleichen DS oder?
Ist denn der Ordner, wo das Backup liegt noch vorhanden und hast du darauf Zugriff (mal via FileStation prüfen)?
 

DaDe81

Benutzer
Mitglied seit
14. Aug 2022
Beiträge
16
Punkte für Reaktionen
0
Punkte
1
ja, liegt auf der gleichen DS in einem anderen Pool.

Zugriff möglich aber auch hier liegt die README....

1661337706240.png
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat