Toggle sidebar

Opfer von Ransomangriff - Festplatte verschlüsselt - was kann ich jetzt tun?

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
D

DaDe81

Benutzer
Registriert
14. Aug. 2022
Beiträge
16
Reaktionspunkte
0
Punkte
1
Hallo Zusammen,

mich hat es leider erwischt, mir wurde die gesamte Syn verschlüsselt und ich habe keinen Zugriff mehr auf all meine Dateien.

Was kann ich nun tun um wieder an mei e Daten zu kommen.

Der Verursacher möchte gut 1000€ per Bitcoin Überweisung, dass möchte ich aber auf keinen Fall machen.

Hat jemand Erfahrung/Ideen bzw. kennt jemand einen fähigen Entschlüssler?

Besten Dank!

Daniel
 
Kiste platt machen und das Backup zurück holen? ;)
 
Einen solch fähigen Entschlüssler zu finden wird extrem schwer sein. Schau mal hier, vielleicht ist was dabei:
https://www.heise.de/news/Web-Porta...ss.red.security.security.atom.beitrag.beitrag

Hoffe du hast ein Backup von den wichtigsten Daten.

Wichtiger ist herauszufinden wie er die Daten verschlüsseln konnte damit es nicht wieder passiert. DS via Internet erreichbar oder nur direkt via PC, admin User deaktiviert, brauchbares Kennwort als admin Ersatzuser, 2FA für admin/user aktiv, User Kennwörter ausreichend, welche Ports auf Ds umgeleitet, interne Firewall aktiv?
 
  • Like
Reaktionen: AndiHeitzer
Herzlich Willkommen im Forum.
Aktuell ist grob gesehen nur veraltete Ransomware im Umlauf und die Schutzmechanismen sind hinreichend bekannt. Spannend wäre zu erfahren ob da jemand alte Ware oder was neues einsetzt.
Wie äussert sich der Ransomware Angriff konkret?

Ansonsten wie @AndiHeitzer schreibt. Ist Regel 3 ist eingehalten?
 
  • Like
Reaktionen: AndiHeitzer
Auch ein fähiger Entschlüsseler kann dir nicht unbedingt helfen. Moderne Schlüssel sind praktisch (in endlicher Zeit) nicht zu knacken. Soweit entschlüsselt werden kann, haben entweder die Hacker ihre Generalschlüssel selbst ins Netz gestellt, oder es ist ein Bug in der benutzen Verschlüsselung vorhanden.

Um das beurteilen zu können, muss bekannt sein, welche Software dich angegriffen hat.

Ansonsten ist das gesamte Netzwerk als kompromittiert zu betrachten. Es kann durchaus sein, dass die eigentliche Schadsoftware nicht auf der DS, sondern auf einem PC liegt. Prinzipiell kann jedes Gerät im Netzwerk dazu dienen, die Schadsoftware zu lagern und später wieder auszuführen.

Bei der DS ist es einfach: Du hast ein Backup, dann lässt es sich (eventuell mit begrenztem Datenverlust) beherrschen. Du hast kein Backup: Zahlen (erst mal verhandeln …) oder wahrscheinlich Daten futsch.
 
  • Like
Reaktionen: AndiHeitzer
OT:
Es irritiert mich immer wieder, dass sich Leute mit einem gravierenden Problem (oder auch nicht) anmelden und nicht mal eine halbe Stunde im Forum bleiben um Antworten zu erhalten…
 
  • Like
Reaktionen: weyon und Thorfinn
OT:
Vielleicht zwischendurch mal zum Heulen auf‘s Klo … ?

So ganz ruhig im Forum sitzen würde ich vermutlich auch nicht.
 
Danke für die zahlreichen Rückmeldungen!

Zum Thema Aktivität sage ich nur: 3 Kinder 😄

Hatte Hyper Backup laufen aber komischerweise ist die App von der Synology verschwunden. Hat hierfür jemand eine Erklärung?
Oder meint ihr ein Backup auf einer USB Platte?
 
Was bräuchtet ihr noch für weitere Infos von mir um mir zu helfen?
 
weyon schrieb:
Einen solch fähigen Entschlüssler zu finden wird extrem schwer sein. Schau mal hier, vielleicht ist was dabei:
https://www.heise.de/news/Web-Porta...ss.red.security.security.atom.beitrag.beitrag

Hoffe du hast ein Backup von den wichtigsten Daten.

Wichtiger ist herauszufinden wie er die Daten verschlüsseln konnte damit es nicht wieder passiert. DS via Internet erreichbar oder nur direkt via PC, admin User deaktiviert, brauchbares Kennwort als admin Ersatzuser, 2FA für admin/user aktiv, User Kennwörter ausreichend, welche Ports auf Ds umgeleitet, interne Firewall aktiv?
Zum Vergrößern anklicken....
Ich gehe davon aus, das ich viele Regeln nicht beachtet habe ( Unwissenheit) und er über das Internet und Admin User aktiv eindringen konnte…
 
Elter sein kostet Zeit - volles Verständnis. Wichtigeres geht vor.

Sofort die Synology von jeder WAN Verbindung trennen.
A: kommst du auf die Weboberfläche von Synology DSM?
B: kannst du dich dort anmelden?

wenn ja: Wie bemerkst du den Ransonware Angriff?

Wo sind die Medien die das Backup tragen?
 
Ja, habe das PW bereits zurückgesetzt und den Admin Zugang deaktiviert.
Die Syn wurde seit Bekanntwerden des Angriffs vom Netz getrennt.

Bemerkt habe ich es erst, als ich eine Datei öffnen wollte, diese war dann aber verschlüsselt…
 
Zuletzt bearbeitet von einem Moderator:
Die Medien sind ebenfalls auf der Syn - eben auf der anderen Bay…
 
Zuletzt bearbeitet von einem Moderator:
und du hast die Datei nicht etwa selber mit der Dateiverschlüsselung von DSM verschlüsselt?

Wenn nein: Wie @AndiHeitzer schreibt.
 
Nein…
Das Problem ist, dass die Hyper Backup App zwar auf der Syn läuft (aktiv) aber ich nicht auf die Programmoberfläche komme, da die App nicht mehr geöffnet werden kann oder wo finde ich die Oberfläche um die Hyper Backups zu öffnen?
 
DaDe81 schrieb:
wo finde ich die Oberfläche um die Hyper Backups zu öffnen?
Zum Vergrößern anklicken....
Die Backupmedien nimmst du aus dem verseuchtem System. Die gehören ersteinmal in Karantäne.

Dann kannst du sie dir mit dem Hyperbackup Explorer mal ansehen.

Wenn die Backupdateien 100% sauber sind und das System neu aufgesetzt ist, kannst du zurückspielen.

Das nächste mal: Regel 3 einhalten!
Backupmedien haben ausser beim Bespielen oder beim Wiederherstellen keine Verbindung zum System, weder physisch noch geografisch.
 
  • Like
Reaktionen: RReinhard
Hallo Zusammen,
sorry das ich mich so lange nicht melden konnte - mich hat Corona niedergestreckt :-(

Danke für Eure Tipps und Infos.

Ich bin heute wieder aktiv an dem Thema dran und habe eben versucht ein altes Backup wiederherzustellen.

Leider kommt dann immer diese Fehlermeldung:

1661337103028.pngBild 24.08.22 um 12.25.jpeg


Wurde das Backup auch gehakt und verschlüsselt oder liegt hier ein anderer Fehler vor?


Danke Euch!

Grüße
Daniel
 
So wie ich das sehe, liegt das Backup auf der gleichen DS oder?
Ist denn der Ordner, wo das Backup liegt noch vorhanden und hast du darauf Zugriff (mal via FileStation prüfen)?
 
ja, liegt auf der gleichen DS in einem anderen Pool.

Zugriff möglich aber auch hier liegt die README....

1661337706240.png
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten