Ransomware: DeadBolt verschlüsselt auch NAS-Systeme von Asustor
Ende Januar schlug die Ransomware DeadBolt auf NAS-Systemen von QNAP zu. Das Unternehmen forderte Nutzer auf, die Systeme vom Internet zu trennen, bevor die Dateien verschlüsselt werden. Nun greift DeadBolt auch NAS-Systeme von Asustor an und verschlüsselt die Laufwerke der Nutzer, wenn das NAS über das Internet erreichbar ist.
Zugriff übers Internet umgehend deaktivieren
Asustor hat Nutzer per E-Mail auf die Gefahr von DeadBolt aufmerksam gemacht und den DDNS-Dienst myasustor.com zunächst deaktiviert, solange die Untersuchungen andauern. Das Unternehmen sichert Betroffenen Unterstützung zu, unklar bleibt wie diese bei einem durch DeadBolt verschlüsselten NAS aussehen soll. Man wolle neue Informationen mit Nutzern teilen, sobald diese vorlägen, und sicherstellen, dass so etwas künftig nicht mehr passieren könne.
Sofort ein Backup des NAS erstellen
Um bis zur Schließung der Sicherheitslücke nicht Opfer von DeadBolt zu werden, empfiehlt Asustor allen Nutzern, umgehend alle Standardports zu ändern, etwa Port 8000 und 8001 für den Web-Zugriff und Port 80 und 443 für Webserver. EZ Connect soll ebenso wie SSH-, Terminal- und SFTP-Zugriff deaktiviert werden. Zudem solle umgehend ein vollständiges Backup des NAS-Systems angelegt werden, um nicht alle Dateien durch ein verschlüsseltes NAS zu verlieren. Eine weitere Hilfestellung hält ein kleiner Leitfaden von Asustor bereit.
Asustor will bei erfolgter Verschlüsselung helfen
Sollte das eigene Asustor-NAS bereits mit DeadBolt verschlüsselt worden sein, sollen folgende Schritte befolgt werden:
- Ethernet-Kabel entfernen
- NAS herunterfahren, indem der Power-Knopf gedrückt gehalten wird
- Das NAS nicht neu initialisieren, da dadurch alle Daten gelöscht werden
- Asustor für weitere Informationen und Hilfe kontaktieren, indem das Google-Doc ausgefüllt wird. Mitarbeiter werden sich laut Asustor dann so schnell wie möglich mit den Nutzern in Verbindung setzen.
Freikaufen gegen Bitcoin
Erneut haben die Angreifer Asustor auch die Option angeboten, sich gegen eine Zahlung von Bitcoin mit einem Master-Key freizukaufen, der alle NAS-Systeme von betroffenen Nutzern wieder entschlüsselt. Jedem einzelnen Nutzer wird zudem wie bei QNAP angezeigt, seine Dateien gegen eine Zahlung von 0,03 Bitcoin freikaufen zu können. Der angezeigte Hinweis, den Nutzer sehen, wenn sie sich mit ihrem verschlüsselten Asustor-NAS verbinden, gleicht dem von befallenen QNAP-NAS.