Hilfe!! Dateien lassen sich nicht mehr öffnen!!

[alouette]

Hallo miteinander

ich habe heute morgen mit grossem Schrecken feststellen müssen, dass ich im wichtigsten Ordner meiner Synologie Disk-Station keine Dateien mehr öffnen kann. Sämtliche Dateien sind betroffen: doc, xls, txt, pdf, jpg

Die Format-Endungen werden korrekt angezeigt. Auch kann ich die Dateien umbenennen sowie kopieren und verschieben.

Das Problem bleibt bestehen, selbst wenn ich eine oder mehre der (vermeintlich beschädigten) Dateien vom betroffenen Order in einen nicht betroffenen Ordner oder gar auf eine andere Festplatte verschiebe.

- Beim Öffnen eines doc-Datei meldet Word, dass ich zuerst eine Dateikonvertierung vornehmen soll, damit das Dokument eingelesen werden kann
- Bei Excel erscheinen nach dem Öffnen der Tabelle lauter Hieroglyphen auf dem Arbeitsblatt
- bei einer txt-Datei erscheinen ebenfalls nur Hieroglyphen
- bei einer pdf-Datei kommt die Meldung "Invalid File Format"
- beim Öffnen einer jpeg-Datei erscheint die Meldung, dass entweder die Fotoanzeige das Format nicht unterstützt, oder das aktuelle Update für die Unterstützung fehlt.

Ich habe auf der Diskstation alle anderen Ordner getestet: keines scheint vom Problem betroffen zu sein. Alle Dateien, die ich versucht habe zu öffnen, liessen sich in diesen Ordnern öffnen.

Seit der Erstinstallation der DiskStation im Juni 2013 hatte ich laut Protokollaufzeichnung nie eine Fehlermeldung ausser heute Vormittag um 11:51. Am Vormittag habe ich das System (wegen dem Problem) runtergefahren, ausgeschaltet und wieder eingeschaltet. Als Fehlerereignis wird angegeben: *Autoupdate failed".

Laut Systemprotokollaufzeichnung habe ich auf dem "beschädigten" Order letztmals am 10.07.2015 zugegriffen. Mir ist damals nichts aufgefallen.


Ich nutze Win 7, und bei der Diskstation handelt es sich um die DS213+, Software DSM 4.2-3211. Der verfügbare Speicher liegt noch bei über 85%. Die DiskStation läuft 24h am Tag und 365 Tage im Jahr (die einzige Ausnahme: Stromausfall)

Hat hier jemand eine Vermutung, was der Grund für das Problem sein könnte?

Bin für jede Hilfe dankbar.

vg
alouette

EDIT: Entschuldigung, bin bestimmt im falschen Forum: ich hätte wohl besser das Unterforum "Datenrettung" wählen sollen. Kann der Beitrag bitte verschoben werden?

 

[alouette]

ich habe noch eine interessante Information:

ich kann ohne Probleme eine neue Datei (doc / xls / pdf / jpg) in den betroffenen Ordner schreiben, abspeichern oder kopieren und dann auch problemlos öffnen.
Also scheinen neue Dateien (ab heute) zumindest nicht betroffen zu sein. Daraus folgere ich, dass die "alten" Dateien, irgendwie korrumpiert worden sind.

sehr mysteriös...

vielleicht ein Virus?

 

[tschortsch]

Hast du deine DS regelmäßig mit Updates versorgt? Laut DSM Version schätze ich mal eher nicht.

Es könnte die Malware "Synolocker" zugeschlagen haben.

 

[alouette]

Hast du deine DS regelmäßig mit Updates versorgt? Laut DSM Version schätze ich mal eher nicht.

Es könnte die Malware "Synolocker" zugeschlagen haben.

Danke tschortsch für Deine Rückmeldung

nein, ich habe seit der Installation im Juni 2013 nie ein Update gemacht. Hätte nie gedacht, dass es so etwas gibt.

Auf Deine Rückmeldung habe ich im Forum nach "Synolocker" gesucht und diesen Beitrag gefunden.

nachdem ich aber keine e-mails von irgendwelchen Erpresser gefunden habe, habe ich mir das Quellverzeichnis des Problem-Ordners näher angeschaut und mit grossen Schrecken folgende 4 Dateien gefunden (siehe Print-Screen).

ich nehme an, dass ich dort die Erpresser-Infos finde, wie ich die Dateien wieder Entrcrypten kann? Habe keine der Dateien versucht zu öffnen. Soll ich, oder nicht?

Wenn es tatsächlich der "Synolocker" ist, gibt's noch eine Rettung für meine Daten oder zumindest für einen Teil davon?

Und ist die Malware noch auf einem (oder alle) Rechner die auf die DS zugreifen oder nur im befallen oder gar in allen Ordner der DS?

Gibt es einen Update, um die Malware aufzufinden und zu löschen?

Und werden vielleicht weitere Dateien verschlüsselt, solange die DS läuft, will heissen, kann ich weitere Verschlüsselungen verhindern?

Was soll ich nur tun? DS ausschalten und Platten ausbauen?

bin für jede Hilfe dankbar

vg
alouette

EDIT: diese 4 Dateien befinden sich in jedem Unter-Ordner des betroffenen Hauptordners der DS.
GIF und htm Dateien scheinen nicht betroffen zu sein, da sie sich öffnen lassen.

 

[tschortsch]

Danke tschortsch für Deine Rückmeldung

nein, ich habe seit der Installation im Juni 2013 nie ein Update gemacht. Hätte nie gedacht, dass es so etwas gibt.

Gibts doch, deshalb sollte man solche Geräte auch regelmäßig warten.

Auf Deine Rückmeldung habe ich im Forum nach "Synolocker" gesucht und diesen Beitrag gefunden.

nachdem ich aber keine e-mails von irgendwelchen Erpresser gefunden habe, habe ich mir das Quellverzeichnis des Problem-Ordners näher angeschaut und mit grossen Schrecken folgende 4 Dateien gefunden (siehe Print-Screen).

ich nehme an, dass ich dort die Erpresser-Infos finde, wie ich die Dateien wieder Entrcrypten kann? Habe keine der Dateien versucht zu öffnen. Soll ich, oder nicht?

Wenn es tatsächlich der "Synolocker" ist, gibt's noch eine Rettung für meine Daten oder zumindest für einen Teil davon?

Ja dann wirds der Synolocker sein. Du kannst die Dateine sicher öffnen und lesen was darin steht. Aber Geld würd ich keines bezahlen.

Und ist die Malware noch auf einem (oder alle) Rechner die auf die DS zugreifen oder nur im befallen oder gar in allen Ordner der DS?

Ob die Malware auf deinem PC ist kann ich dir nicht sagen, da must du eine aktuellen Virenscanner nutzen.
Du musst auch sämtliche anderen PCs in deinem LAN kontrolieren. Schlimmestenfalls wurde die Malware durch eine Gast-PC/Laptop eingeschleust.

Gibt es einen Update,

Ja, die aktuelleste Version einspielen (momentan 5.2, das muss dann in Zwischenschritten erfolgen. 4.x -->5.0-->5.2)

um die Malware aufzufinden und zu löschen?

Nein das DSM hat selber keine Funktion zum löschen der Malware.
Du kannst aus dem Paketzentrum den Virenscanner installieren aber der scannt nur auf der DS und schützt nicht vor Malware/Viren die auf deinem PC sind auf die Freigaben zugreifen

Und werden vielleicht weitere Dateien verschlüsselt, solange die DS läuft, will heissen, kann ich weitere Verschlüsselungen verhindern?

Möglich wenn die Malware noch auf deinem PC läuft. Sicherheitshalber würd ich die DS abschalten und dir den Thread den du gepostet hast komplett durchlesen. Da gitbs sicher dementsprechende Tips. Danahc kannst du weiteragieren.

Was soll ich nur tun? ..... und Platten ausbauen?

Kannst du aber bringt nicht sonderlich viel da die Daten nach wie vor verschlüsselt sind.

Ob du die Daten jemals wieder entschlüsselt bekommst wage ich zu bezweifeln.

Am einfachst wäre es wenn du ein Backup vor dem Befall hast.

Bevor du damit aber anfängst müssen alle PCs im Lan sauber sind sonst hast du das gleiche Problem wieder.

EDIT: diese 4 Dateien befinden sich in jedem Unter-Ordner des betroffenen Hauptordners der DS.
GIF und htm Dateien scheinen nicht betroffen zu sein, da sie sich öffnen lassen.

Die Malware wird sicher nicht ihre eigenen Hinweisdateinen, wo ma den key zum entschlüssenl kaufen kann, verschlüsseln

 

[alouette]

merci Tschortsch für deine Vorschläge.

Ich bin mir nun ziemlich sicher, dass ich nicht den Virus namens "Synolocker" wie im Beitrag hier erwähnt, habe, sondern eher einen neueren Datums.

Was mich komisch dünkt, weshalb bis Dato keiner der angeschlossenen PC's befallen ist, sondern nur ein Hauptordner auf der DS. Nach dem Beitrag hier, kam der Virus wahrscheinlich durch die Sicherheitslücke, die im Dezember 2013 geschlossen wurde. Da ich nie ein Update gemacht habe, blieb die Lücke offen.

Ich bin ziemlich fest entschlossen die Lösegeldforderung zu bezahlen. Hoffnung mache ich mir durch folgenden Beitrag. Ich weiss nur nicht, ob ich zuvor die DSM upgraden und die Schadware entfernen soll bzw. überhaupt darf. Es wäre zu dumm, wenn der Decrypter (insofern mir dieser nach der Bezahlung überhaupt zugestellt wird), die Arbeit nicht verrichten kann, nur weil die DSM die Sicherheitslücke geschlossen hat oder bei der Entfernung der Malware auch weitere Informationen zu den chiffrierten Dateien entfernt worden sind.

Hat jemand einen Vorschlag, wie ich vorgehen soll?

vg
alouette

 

[tschortsch]

Hast du kein externes Backup der verschlüsselten Dateien? Oder zufällig auf einer Festplatte im PC?

Ob du beim bezahlen dann wirklich das bekommst was du möchtest steht ja auch in den Sternen

 

[alouette]

nein bzw. nur einzelne Ordner und auch nicht aktuell. Ja, ich weiss, ich bin selber schuld. Ich wollte mir damals bei der Installation der 1. DS eine 2. DS zulegen, um die 1. DS zu backupen. Aber wenn alles supi läuft, denkt man plötzlich nicht mehr daran. Und man fühlt sich in Sicherheit, wenn man die Daten gespiegelt hat. Aber nun lerne ich vielleicht etwas aus der Geschichte und alle die hier lesen und kein Backup haben, vielleicht ja auch...

Das Risiko der Lösegeldzahlung muss ich somit eingehen. Die Daten sind mir wesentlich mehr wert. Und zumindest habe ich eine Person gefunden, die Erfolg hatte und mir dies letzte Nacht per E-Mail auch bestätigt hat. Sie hat den Virus übrigens erst nach der Entschlüsselung der Dateien entfernt. Nun muss ich erst Mal den Instruktionen der Erpresser folgen, die sie mir auf Englisch in den HELP_DECRYPT Dateien mitgeteilt haben mit den Worten:

For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below: ...

Ich weiss nur noch nicht, ob ich diesen ominösen Besuch von meinem Haupt-PC aus machen soll, oder von einem anderen, der keine wichtigen Dateien enthält. Bei mir scheinen "nur" die 2 gespiegelten Platten auf der DS betroffen zu sein, nicht aber die Platten aller angeschlossenen PC's

 

[dil88]

Sicherer wäre ein Abruf der Site von einem Live-Linux aus.

 

[alouette]

Danke für den Tipp. Ich habe bis Dato keine Erfahrung damit. Meinst Du damit, dass ich auf der Hauptplatte noch ein Linux-BS installiere oder eines auf einem Stick wie so etwas?

 

[tschortsch]

Kein Backup ist natürlcih blöd.

Die Malware hat hat nur die DS angegriffen. Ob Sie jetzt am PC oder auf der DS gelaufen ist jetzt eher unerheblich.

Wichtig ist das du zuminstest auf den PCs einen aktuellen Virenscanner hast. Dann sollte zumindest nix passieren.

Ich würde mir einen PC ohne wichtige Daten nehmen.
Auf diesen dann die Website besuchen und zahlen. Der Tip mit der Linux Live CD von dill ist gut. Im prinzip kannst du alle weiteren Schritte unter Windows oder Linux durchführen, sicherer ist es auf jeden Fall unter Linux.

Wenn du das Tool zum entschlüsseln heruntergeladen hast PC und DS vom LAN trennen und direkt miteinander verbinden (PC und DS manuel eine IP geben). Dann kannst du ausschliesen das das Entschlüsselungstool irgendwelchen Unfug in deinem LAN treibt.

Daten entschlüsseln lassen. Das kann je nach Menge und Power des PCs dauern.

Wenns geklappt hat die Daten auf eine externe Festplatte sichern und mit eine Virenscanner nochmals prüfen.
Konfiguration der DS ebenfalls sichern.

Danach einen Doppelreset der DS durchführen. Dabei wird das Betriebssystem der DS komplett gelöscht. Die Daten bleiben normalerweise erhalten.
Dann die aktuellest DSM Version installieren und Konfiguration zurücksichern.

Danach hast du dann wieder eine saubere DS.
Den PC mit dem du alles durchgeführt hast würde ich ebenfalls komplett abräumen nach der Aktion da man nie weiß was in dem dem "Entschlüsselungstool" steckt. Da kann ja auch andere Malware verborgen sein.

 

[dil88]

Danke für den Tipp. Ich habe bis Dato keine Erfahrung damit. Meinst Du damit, dass ich auf der Hauptplatte noch ein Linux-BS installiere oder eines auf einem Stick wie so etwas?

Nein, genau nichts auf der Platte installieren sondern ein Linux von einer Live-DVD laufen lassen. Dann bekommst Du ein Linux, was einen vernünftigen Browser wie Firefox hat. Und wenn Du den Rechner ausschaltest, ist alles wieder weg. Ein PC mit nicht wichtigen Daten geht aber natürlich auch, wenn Du sowas hast.

 

[alouette]

Merci viel Mal Tschortsch für deine Empfehlung bezüglich der Vorgehensweise.

Wenn ich Dich richtig verstehe, soll ich die DS direkt mit dem PC verbinden, indem ich den Router und den Switch umgehe, ähnlich wie man z.B. einen wifi Access Point konfiguriert? Hierzu wäre ich dann aber auch vom Internet getrennt. Ich weiss nicht, ob die Dechiffrierung einen Internet-Zugang benötigt.

Die Malware hat hat nur die DS angegriffen. Ob Sie jetzt am PC oder auf der DS gelaufen ist jetzt eher unerheblich.

Ich habe nun meine Betriebs-Platte nach dem Begriff HELP_DECPRYPT durchsucht. Und in der Tat habe ich leider auch auf dieser Platte einige wenige Ableger gefunden.

Infiziert sind der Ordner C:\Users\"Bezeichnung"\AppData\LocalLow\ sowie der Unterordner Sun und Sun\Java

Zusätzlich einen Ordner unter C:\Users\"Bezeichnung"\Documents.

Erstaunlicherweise sind die hier abgelegten HELP_DECRYPT Dateien exakt 2 Stunden älter als auf der DS. Nun frage ich mich, was der Virus in diesen 2 Stunden getan hat? Womöglich finde ich doch noch andere betroffene Stellen?

vg
alouette

 

[alouette]

Entschuldige meine Unerfahrenheit. Du meinst eine bootfähige CD bzw. DVD, auf welcher ein Live-Linux liegt, und welche ich dann im Laufwerk des betroffenen PC's laufen lasse?

Dumme Frage: kann ich dafür den Linux Live USB Creator nutzen (siehe Beitrag hier) oder gibt es auch einen Linux Live CD Creator?

Ich habe schon mal auf meinem alten und sehr langsamen Laptop (Pentium M) die URL zu meiner persönlichen Erpresser-Hompage geöffnet. Selbst bei denen scheint Spam unerwünscht zu sein, denn als erstes muss ich einen CODE aus einem Bild eingeben. Leider noch keine Angaben über deren Bedingungen.

Nun stellt sich die Frage, ob ich im Erfolgsfalls die mittels des Ersatz-PC's erhaltene Entschlüsselungs-Applikation überhaupt auf den betroffenen PC übernehmen kann? Wäre zu dumm, wenn die Dechiffrierung nur auf dem PC läuft, auf welchem man die Entschlüsselungs-Applikation runter lädt. Da habe ich nun die Wahl der Qual...

 

[tschortsch]

Ich weiß nicht wie man einen Access Point konfiguriert aber wahrschienlich meinst du das Richtige.
Am PC und in der DS in den Netzwerkeigenschaften jeweils eine eigene IP vergeben zb PC 10.0.0.1 und DS 10.0.0.2.

Hast du am PC schon eine aktuellen Virenscanner laufen lassen? Was sagt der?

Ja es muss ein Live_CD/DVD sein da sie Read Only ist. Ein USB Stick kann währenddesen beschrieben werden und beim nächsten mal anstecken kannst du dir wieder was einfangen.

Nun stellt sich die Frage, ob ich im Erfolgsfalls die mittels des Ersatz-PC's erhaltene Entschlüsselungs-Applikation überhaupt auf den betroffenen PC übernehmen kann. Wäre zu dumm, wenn die Dechiffrierung nur auf dem PC läuft, auf welchem man die Entschlüsselungs-Applikation runter lädt. Da habe ich nun die Wahl der Qual...

Das kann dir leider keiner sagen, nur die Entwickler des Entschlüsselungstools. Hier musst du auf das Beste hoffen.
Aber wenn du auf deinem Haupt PC eine Linux Live CD nimmst bist du auf der sicherne Seite. Dann kannst du mit dem Linux auch gleich die Festplatten des PCs von einem Virenscanner scannen lassen und bereingen. (Aber nicht die Hinweisdateien löschen).
Danach die im PC eingebaute Festplatte aushängen (unmount) Dann kann Linux auch nicht mehr auf die Windows Partitionen zugreifen.
Vorrausgesetz das Entschlüsseliungstool gibts für Linux.


Rein aus neugierde: was kostet das Tool zum Entschlüsseln?

 

[alouette]

ja, so habe ich das früher mit alten Access Points von Zyxel machen müssen.

ich habe mich noch nicht getraut, irgend einen der Virenscanner (Avira Antivirus, Malwarebytes, EMISOFT-AntiMalware) zu starten. Es ist psychologischer Natur: analog wie wenn in den Hollywood-Blockbuster die Erpresser sagen: "wenn du die Polizei einschaltest, ist die Geisel tot!"

 

[tschortsch]

In dem Fall ist die Geisel schon tot. Schlimmer kannst nicht mehr werden.

Jetzt musst du hoffen das die Bösen einen Wiederbelebungskit liefern

 

[jahlives]

ich würde auf keinen Fall bezahlen. 1. ist es nicht sicher, dass du wirklich den korrekten Schlüssel erhälst und 2. ist es alles andere als sicher, dass du überhaupt etwas bekommst von denen (weil die Server vielleicht schon lange offline sind).
Für den Fall, dass du trotzdem bezahlst und wider Erwarten den gültigen Key erhälst gibt es von FSecure ein python basiertes Tool um die Daten zu entschlüsseln (https://www.f-secure.com/weblog/archives/00002737.html). Lade auf keinen Fall irgendein Tool welches das du von den Erpressern erhälst oder irgendein Tool aus dem Internet, welches die Entschlüsselung ohne Key verspricht. Denn es ist schlicht unmöglich die Verschlüsselung ohne Kenntniss des Schlüssels rückgängig zu machen

 

[alouette]

...Für den Fall, dass du trotzdem bezahlst und wider Erwarten den gültigen Key erhälst gibt es von FSecure ein python basiertes Tool um die Daten zu entschlüsseln (https://www.f-secure.com/weblog/archives/00002737.html). Lade auf keinen Fall irgendein Tool welches das du von den Erpressern erhälst oder irgendein Tool aus dem Internet, welches die Entschlüsselung ohne Key verspricht. Denn es ist schlicht unmöglich die Verschlüsselung ohne Kenntniss des Schlüssels rückgängig zu machen

hallo

Wenn ich dich richtig verstehe, ist das Tool von f-secure nur eine Hilfe, wenn ich von den Erpressern den korrekten Dechiffrier-Code bekomme und es sich beim Virus überhaupt um Synolocker handelt. Ich denke, dass es sich bei meinem Virus bereits um eine "neuere" Version handelt. Zumindest läuft meine DS einwandfrei und ich kann mich auch einloggen. War dies auch bei Synolocker (bekannt seit letzten August 2014) der Fall?

Der Forent den ich weiter oben zitiert habe, hat mir heute geschrieben, er habe neben den 4 HELP-DECRYPT Dateien noch einen Decrypter, den öffentlichen sowie den privaten SchlüsseI bekommen. Laut diesem Bild, konnte er eine Datei namens decrypt.zip laden.

zudem beantwortete er mir einige Fragen:

den Decrypter, der öffentliche und der private Schlüssel wird nach Bezahlung bekannt gegeben

um die bitcoins zu kaufen musst du konten eröffnen und da es ja schnell gehen soll ne überweißung machen, sowie ne videotelefonie mit der bank um dich hochzustufen.. da dein rechner ja aber infiziert ist, angeblich nur mit dem ransomeware, was ich bezweifel, den wer sowas schreibt implementiert gleich noch einen keylogger mit ein, welcher jede deiner tastatureingaben mitloggt und dem botnetz penner schickt. Was ich sagen will ist wenn du persönliche informationen eingeben musst wie nutzernamen oder passwörter usw. kopiere dir am besten die buchstaben zahlen etc. am besten aus einem x-beliebigen text und füge sie ein..

man kann x-beliebige laufwerke durchsuchen egal ob vorher bekannt oder nicht. wenn es vollautomatisch abläuft stürzt das tool immer nach einer weile ab weil es alle platten gleichzeitig durchsuucht. Habe dann immer nur 1 laufwerk durchsuchen lassen, und wenn es entschlüsselt war vom rechner abgezogen und das nächste gemacht. Nachdem alle entschlüsselt waren alle wieder angeschlossen und mailwarebytes anti-mailware durchlaufen lassen. Habe alles ohne netz also ohne internet anschluss am rechner durchgeführt.

habe alles vom befallenen Laufmerk aus gemacht

ransomeware war auf allen platten

ich weiss noch nicht, was die Erpresser für eine Summe verlangen. Ich las von einem Betrag um die ca. $/€ 500 (umgerechnet in Bitcoins). Ich habe nicht mal eine Ahnung was Bitcoins sind. Aber ich weiss, dass ich keine andere Wahl habe, wenn ich auch nur den Hauch einer Chance wahrnehmen will, meine verschlüsselten Daten zu retten...

vg
alouette

 

[jahlives]

ich glaube nicht, dass es einen speziellen Decryptor braucht. Die Verschlüsselung wird mit dem Standarttool openssl erfolgt sein (zumindest beim Synolocker war das so). Wenn man den korrekten Schlüssel hat kann man openssl eine Datei damit entschlüsseln lassen. Es muss nicht der Synolocker sein, kann auch gut sein, dass dir eine Malware auf dem PC die Dateien in den Freigaben verschlüsselt hat. Wobei das eigentlich von aktuellen Virenscannern erkannt werden sollte