Nach Malware Befall alte Platte wiederherstellen

mischelle

Benutzer
Mitglied seit
17. Aug 2012
Beiträge
9
Punkte für Reaktionen
1
Punkte
3
Hallo Team,
DS218j.
ich hatte Anfang Oktober Ransomware Angriff der alle Daten verschlüsselt hat. Die Computerwerkstatt hat mir heute Bescheid gegeben, dass sie nichts wiederherstellen konnte.
Anfang September hatte ich eine Festplatte die defekte Sektoren hatte getauscht. sie ist also vermutlich nicht befallen.
Gibt es eine Möglichkeit mit der ausrangierten Platte die Daten (zumindest teilweise) wieder herzustellen?
verwendetes Raid ist SHR.

schöne Grüße
Michael
 

Jim_OS

Benutzer
Sehr erfahren
Mitglied seit
05. Nov 2015
Beiträge
4.318
Punkte für Reaktionen
1.669
Punkte
214
Hallo Michael,
sie ist also vermutlich nicht befallen.
das "vermutlich" müsstest Du eigentlich erst einmal genauer abklären (lassen). Nicht das sich auf der Platte ggf. irgendwelche Viren, Trojaner, Malware befinden, über die der Ransomware Angriff ausgelöst wurde, bzw. ausgelöst werden konnte/kann.

Erst wenn das sichergestellt ist
würde ich als erstes die HDD z.B. per USB-Dockingstation an einen PC anschließen und mir dann mit entsprechenden Tools erst einmal anschauen was genau mit ihr los ist. D.h. was für Sektoren sind defekt, welche Daten sind sichtbar und können ggf. wiederhergestellt werden usw. Diese Daten würde ich dann entsprechend sichern und später wieder auf das NAS zurückspielen.

Alternativ könntest Du die HDD auch in einen PC einbauen, diesen dann per Linux-Live USB Bootstick booten und dann mit entsprechenden Tools die Festplatte überprüfen. Hier ein paar Google Links zu dem Thema: Linux-Live Datenrettung

VG Jim
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
War das SHR mit Ext4 (einfacher) oder btrfs am Laufen?
SHR mit 2 Platten ist auch nur ein raid-1, Standard mdadm+lvm Werkzeuge.

Sollte im Ext4 Fall also nach Synology Anleitung (Wiederherstellung am PC) funktionieren mit Live Linux.
Bei btrfs muss man erst die passende Distribution (mit btrfs Tools bestimmen).
 

mischelle

Benutzer
Mitglied seit
17. Aug 2012
Beiträge
9
Punkte für Reaktionen
1
Punkte
3
Hallo Fusion und Jim,
danke für die schnellen rückmeldungen.
@Jim: hast recht. vermutlich ist nicht wirklich ausreichend. werde ich prüfen. welche "entsprechenden Tools" meinst du denn? ist eine SHR Raid Platte wirklich eine "normale Platte" die ich mit Linux Tools untersuchen kann?

@Fusion: nicht wirklich eine Ahnung. vermutlich Ext4 weil mir btrfs nicht mal als begriff bekannt vorkommt.
Eigentlich stelle ich mir es so vor, dass ich die "alte Platte" wieder in die Syno einbaue und auf eine neue (alte, neu gelöschte) "kopiere". wenn das geht?

sg Michel
 

Jim_OS

Benutzer
Sehr erfahren
Mitglied seit
05. Nov 2015
Beiträge
4.318
Punkte für Reaktionen
1.669
Punkte
214
Es gibt die unterschiedlichsten Tools mit den man Festplatten überprüfen kann. Eigentlich bietet so etwas auch jeder Festplattenhersteller für seine Platten an. Oder man nutzt halt andere Tools: Google Suche Aber das hängt natürlich auch vom verwendeten Betriebssystem ab. Ich würde so etwas immer mit und unter Linux machen. Aber das hängt natürlich auch von den/Deinen Kenntnissen ab.

Und wie Fusion schon richtig angemerkt hat: Bei BTRFS braucht man eine passende Distribution und z.B. btrfs-check und das macht es etwas komplizierter.

Also:
1. Defekte Festplatte entsprechend überprüfen und die Daten auf einer (ext.) HDD sichern die noch zu retten sind.
2. Neue Festplatte in die DS einbauen und alles kompl. einrichten
3. Die geretteten Daten von der ext. HDD auf die DS kopieren.

Den Weg über defekte HDD in DS rein und wieder raus würde ich pers. nicht wählen.

VG Jim
 

mischelle

Benutzer
Mitglied seit
17. Aug 2012
Beiträge
9
Punkte für Reaktionen
1
Punkte
3
Danke! hab die HDD auf viren gescanned: no issue. ich kopiere nun die relevanten Daten was etwas dauert. ich melde mich dann wieder.
lg Mic
 

mischelle

Benutzer
Mitglied seit
17. Aug 2012
Beiträge
9
Punkte für Reaktionen
1
Punkte
3
hat nun tatsächlich etwa gedauert :)
konnte alle relevanten Daten von der defekten HDD auf einer externen HDD mit Windows tools sichern. und nochmal viren checken. soweit ok.
Die DS hab ich an einem Netzwerk mit einem Linux PC gestartet. Dann hat sich tatsächlich der Verschlüssler wieder gestartet und munter weiter gemacht (Computer Werkstatt nicht zu empfehlen).

ich hab nun eine DS mit zwei verseuchten HDDs die ich wiederbeleben möchte. HDDs löschen/formatieren so dass auch die Ransomware weg ist und neu aufsetzen. geht das überhaupt? wenn ja wie?
kann sich ein Virus auch in einem Bereich der DS einschleichen der nichts mit den Festplatten zu tun hat?

lg Mic
 

Jim_OS

Benutzer
Sehr erfahren
Mitglied seit
05. Nov 2015
Beiträge
4.318
Punkte für Reaktionen
1.669
Punkte
214
Schon mal gut das Du noch Daten retten bzw. wiederherstellen konntest. (y)

Was das wiederbeleben betrifft: Synology empfiehlt in so einem Fall eigentlich nur ein Reset und dann eine Neuinstallation von DMS: https://kb.synology.com/en-uk/DSM/tutorial/What_to_do_when_NAS_attacked_by_ransomware
Ja theoretisch könnte sich ein Virus auch im BIOS eines Systems einnisten, aber so etwas habe ich pers. aktuell bzgl. Synology noch nicht gehört/gelesen.

Falls Du die HDD zu Fuß formatieren müsstest käme wieder eine Linux USB bootable Stick in Frage. Speziell um irgendwelche Viren usw. zu killen gibt es dort div. Lösungsansätze. Schau Dir dazu mal die entsprechenden Google Suchergebnisse durch.

VG Jim
 
  • Like
Reaktionen: ctrlaltdelete

mischelle

Benutzer
Mitglied seit
17. Aug 2012
Beiträge
9
Punkte für Reaktionen
1
Punkte
3
Hi Jim,
hab die Anleitung durchgelesen.
wenn ich es richtig verstanden habe, werden bei der Neuinstallation des DSM die Daten auf den HDDs nicht gelöscht.
Das heisst beim nächsten Booten könnten noch auf der Platte vorhandene Viren sofort wieder aktiv werden.
ich kenn mich ja mit Viren nicht sonderlich gut aus, stell mir aber vor, dass sich der Virus nach dem Booten ins Ram setzt und nach dem Löschen der Platten sich selbst wieder auf die Platten kopiert. vielleicht bin ich schon paranoid...

kann ich nicht die Platten extern formatieren (als USB Platte mit GParted z.B.) dann ins NAS rein und die Neuinstallation starten? oder geht das mit nackten Platten garnicht?

lg Mic
 

Jim_OS

Benutzer
Sehr erfahren
Mitglied seit
05. Nov 2015
Beiträge
4.318
Punkte für Reaktionen
1.669
Punkte
214
Hi Mic,

ja bei der Neuinstallation von DMS werden die/Deine Daten im Normalfall nicht gelöscht. Das wäre in anderen Szenarien ja auch ziemlich fatal. :)

Deine Überlegung bzgl. der Verbreitung bzw. den Aktivitäten sind schon richtig und es hängt natürlich davon ab wo sich ein Virus/Trojaner eingeschlichen und festgesetzt hat. Wenn Deine Daten z.B. nur aus *.png Bildern und *.ts Videos bestehen wird sich ein Virus dort nicht einnisten (können) und sich somit von da aus auch nicht wieder aktivieren können. Wenn bei Deinen Daten aber z.B. auch *.exe, *.html, Java Dateien vorhanden sind, könnten diese von einem Virus wieder befallen werden und sich von dort aus dann auch wieder verbreiten.
Wobei das jetzt nur Beispiele sein sollen. Bei Dir ging es ja darum das Deine Daten verschlüsselt wurden und solche Viren/Trojaner legen meist den Schwerpunkt darauf Daten zu verschlüsseln und weniger darauf sich irgendwie verbreiten zu können. Aber ohne genau zu wissen was bei Dir abgeht, oder abgegangen ist, kann man das halt nicht beurteilen und somit nichts ausschließen.

Da Du eh nicht weiß was bei Dir sein Unwesen treibt würde ich pers. da keine Kompromisse machen und auf Nummer sicher gehen. D.h. HDD(s) raus aus dem NAS und wie ich schon geschrieben hatte extern per Linux USB bootable Stick und entsprechenden Tools überprüfen und platt machen. Erst danach wieder zurück ins NAS und dann alles kompl. neu einrichten.

Ein einfaches formatieren kann ggf. nicht reichen - daher zusätzlich mit entsprechenden Tools untersuchen und auf keinen Fall die Festplatte einfach extern an einen PC hängen, von dessen interner Festplatte dann Windows/Linux gebootet wird. Immer nur mit einem Linux USB bootable Stick booten und am besten vorher die internen Festplatten aus dem PC ausbauen oder stilllegen.


Anm.: Ich pers. hätte in den letzten Jahrzehnten schon mit den unterschiedlichen Viren und Trojaner zu tun. :) Neben denen die sich in Dateien eingenistet hatte auch welche im BIOS und direkt auf der HDD. Letztere hatten einen Bereich der HDD als defekt markiert und sich da eingenistet, sodass dieser Bereich von den üblichen Tools einfach ignoriert wurde und sie von da aus weiter ihr Unwesen treiben konnten. Das war aber noch zu MBR Zeiten. Wie es bei GPT aussieht und was da möglich ist oder auch nicht, kann ich nicht beurteilen. Ich bin kein Virus-/Trojaner- oder Verschlüsselungsexperte. :D Dafür gibt es andere Leute.
 
Zuletzt bearbeitet:

mischelle

Benutzer
Mitglied seit
17. Aug 2012
Beiträge
9
Punkte für Reaktionen
1
Punkte
3
Hi Jim,
danke dir. dann ist meine Vorgehensweise jetzt klar. Erste Platte wird als USB nach deinem Vorschlag auf einem PC ohne interne HDD mit Linux vom Stick gebootet gelöscht mit dd ... if=/dev/zero ...
das gleiche mit der zweiten Platte. und dann eine neuinstallation.

nochmals danke.

lg Mic
 

mischelle

Benutzer
Mitglied seit
17. Aug 2012
Beiträge
9
Punkte für Reaktionen
1
Punkte
3
Hm. das mit den defekt markierten Sektoren bringt mich zu der Frage was denn dd mit solchen Sektoren macht? werden die trotzdem überschrieben?
 

Jim_OS

Benutzer
Sehr erfahren
Mitglied seit
05. Nov 2015
Beiträge
4.318
Punkte für Reaktionen
1.669
Punkte
214
Ich kann Dir leider nicht sagen wie das heutzutage genau funktioniert. Ob die Sektoren dann wie mit "Clean all" genullt werden, oder der Zugriff darauf gesperrt wird, was z.B. mit Enhanced Security Erase ist usw. Dazu müsste sich hier ein Experte äußern, oder Du es auf anderen Webseiten in Erfahrung bringen.

VG Jim
 
Zuletzt bearbeitet:

synfor

Benutzer
Sehr erfahren
Mitglied seit
22. Dez 2017
Beiträge
8.461
Punkte für Reaktionen
1.395
Punkte
288
Das hängt ganz davon ab, wo die als defekt markiert werden.
 

Jim_OS

Benutzer
Sehr erfahren
Mitglied seit
05. Nov 2015
Beiträge
4.318
Punkte für Reaktionen
1.669
Punkte
214
Eben, aber das "wo" wäre dann genau die Frage. :) Könntest Du das noch ein wenig weiter ausführen?
Früher gab es ja z.B. auch noch eine Low-Level-Formatierung, die man als User machen konnte. Bei aktuellen HDD ist das wohl nicht mehr möglich, bzw. könnte das ggf. nur noch der Hersteller machen.
 

Dummbatz

Benutzer
Mitglied seit
14. Mrz 2021
Beiträge
86
Punkte für Reaktionen
9
Punkte
8

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.101
Punkte für Reaktionen
253
Punkte
129
Habe das hier mal nachgelesen. Gut, dass du deine Daten retten konntest.

Wie wurde deine Syno verschlüsselt? Hast du auch Windows im Einsatz oder woher kam die Malware. Gab es die Möglichkeit zum Freikaufen für dich nicht? Gab hier ein paar Fälle, wo Software Lücken das Scheunentor waren.

Zwecks btrfs oder ext4. Die J Modelle können kein btrfs, also war es hier ext4 nehme ich an?
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.101
Punkte für Reaktionen
253
Punkte
129
defekt markierten Sektoren bringt mich zu der Frage was denn dd mit solchen Sektoren macht? werden die trotzdem überschrieben

MWn macht da dann ja die Festplatten-Firmware den Cut und schreibt-/liest einen anderen Sektor statt dem defekten. Also würde ich sagen, dd macht da dann gar nichts mehr (weil es davon nix mitbekommt), und der Sektor bleibt unberührt. Aber das wird auch zum Wiederherstellen nicht mehr einfach, der Hersteller wird theoretisch Wege haben zum Auslesen.

Wenns am Datenvernichtung geht dann schreddern. Oder privat evt. den Akkubohrer bzw. Winkelschleifer verwenden… 🤪
 

mischelle

Benutzer
Mitglied seit
17. Aug 2012
Beiträge
9
Punkte für Reaktionen
1
Punkte
3
Hallo ihr Getreuen.
Tproko: wie verschlüsselt wurde weiss ich nicht. ich hatte eine Syno als Mailserver (dauernde Verbindung zum Internet :-(- ) am laufen und plötzlich verschwand auf den Mailclients ein Ordner/eine Mail nach der anderen. Beim Nachschauen war dann das .Maildir verzeichnis der User blank und die verschlüsselten Directories lagen im Format @xxxxx@ auf der Platte. In den Home Verzeichnissen waren TXT dateien mit einer Mailadresse und dem Hinweis BitCoins zu überweisen (kein Betrag oder Adresse) und dass dann wieder entschlüsselt wird.

die zweite Syno (Dateispeicher, Photo und Medien streamer) wurde dann auch befallen, gleiches Muster.

Der Computer Shop ums Eck konnte keine Daten wiederherstellen und hat auch keinen Befall (mehr) festgestellt!
Nach Wiederanschluss (im Netzwerk mit einem USB-PC) hat der verschlüssler sein Werk einfach wieder aufgenommen.

ich hab die zwei Platten mit dd mit Nullen überschrieben (hat 3x 29 Stunden gedauert) und die Synology neu aufgesetzt. Plattencheck ergab keine defekten Sektoren.

ich denke damit bin ich safe für den weiteren Einsatz.
 
  • Like
Reaktionen: Jim_OS


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat