Hi Mic,
ja bei der Neuinstallation von DMS werden die/Deine Daten im Normalfall nicht gelöscht. Das wäre in anderen Szenarien ja auch ziemlich fatal.
Deine Überlegung bzgl. der Verbreitung bzw. den Aktivitäten sind schon richtig und es hängt natürlich davon ab wo sich ein Virus/Trojaner eingeschlichen und festgesetzt hat. Wenn Deine Daten z.B. nur aus *.png Bildern und *.ts Videos bestehen wird sich ein Virus dort nicht einnisten (können) und sich somit von da aus auch nicht wieder aktivieren können. Wenn bei Deinen Daten aber
z.B. auch *.exe, *.html, Java Dateien vorhanden sind,
könnten diese von einem Virus wieder befallen werden und sich von dort aus dann auch wieder verbreiten.
Wobei das jetzt nur Beispiele sein sollen. Bei Dir ging es ja darum das Deine Daten verschlüsselt wurden und solche Viren/Trojaner legen meist den Schwerpunkt darauf Daten zu verschlüsseln und weniger darauf sich irgendwie verbreiten zu können. Aber ohne genau zu wissen was bei Dir abgeht, oder abgegangen ist, kann man das halt nicht beurteilen und somit nichts ausschließen.
Da Du eh nicht weiß was bei Dir sein Unwesen treibt würde ich pers. da keine Kompromisse machen und auf Nummer sicher gehen. D.h. HDD(s) raus aus dem NAS und wie ich schon geschrieben hatte extern per Linux USB bootable Stick und entsprechenden Tools überprüfen und platt machen. Erst danach wieder zurück ins NAS und dann alles kompl. neu einrichten.
Ein einfaches formatieren
kann ggf. nicht reichen - daher zusätzlich mit entsprechenden Tools untersuchen und auf keinen Fall die Festplatte einfach extern an einen PC hängen, von dessen interner Festplatte dann Windows/Linux gebootet wird. Immer nur mit einem Linux USB bootable Stick booten und am besten vorher die internen Festplatten aus dem PC ausbauen oder stilllegen.
Anm.: Ich pers. hätte in den letzten Jahrzehnten schon mit den unterschiedlichen Viren und Trojaner zu tun.
Neben denen die sich in Dateien eingenistet hatte auch welche im BIOS und direkt auf der HDD. Letztere hatten einen Bereich der HDD als defekt markiert und sich da eingenistet, sodass dieser Bereich von den üblichen Tools einfach ignoriert wurde und sie von da aus weiter ihr Unwesen treiben konnten. Das war aber noch zu MBR Zeiten. Wie es bei GPT aussieht und was da möglich ist oder auch nicht, kann ich nicht beurteilen. Ich bin kein Virus-/Trojaner- oder Verschlüsselungsexperte.
Dafür gibt es andere Leute.