Ransomware: Nach QNAP & Asustor ist Terra­Master Ziel von DeadBolt

Update Frank Hüber
52 Kommentare
Ransomware: Nach QNAP & Asustor ist Terra­Master Ziel von DeadBolt

Nachdem im Januar zunächst NAS-Systeme von QNAP zum Angriffsziel der Ransomware DeadBolt wurden und im Februar NAS-Systeme von Asustor folgten, häufen sich nun Berichte von Nutzern von TerraMaster, deren Daten auf den NAS-Systemen nach einem Angriff verschlüsselt sind.

Lösegeld für Entschlüsselung gefordert

Wie bei den anderen Herstellern stehen auch die Nutzer von betroffenen NAS-Systemen von TerraMaster vor verschlüsselten Dateien, auf die sie keinen Zugriff mehr haben, und werden in der Web-Oberfläche mit einer Nachricht der Angreifer begrüßt, die ihnen das Freikaufen der Dateien anbietet, wenn sie 0,03 Bitcoin an die angegebene Wallet schicken. Im Gegenzug sollen sie einen Schlüssel zum Entschlüsseln der Dateien auf ihrem NAS erhalten.

Zahlreiche Nutzer suchen nach Antwort

Im Forum von TerraMaster, in dem sich seit gestern immer mehr betroffene Nutzer melden, suchen diese nach Gemeinsamkeiten, die den Angriffspunkt offenbaren, und etwaigen Lösungen. Bislang ist aber nur wie bei QNAP und Asustor bekannt, dass die NAS-Systeme in irgendeiner Form einen Zugriff über das Internet ermöglichten. Eine Lösung für die NAS-Systeme von TerraMaster gibt es bislang nicht, weder um den Angriff und die Verschlüsselung der Daten schon im Vorfeld durch ein Firmware-Update zu verhindern, noch im Nachhinein zur Entschlüsselung der persönlichen Daten ohne Zahlung des Lösegeldes.

Noch kein Firmware-Update

Bislang steht kein Firmware-Update für die NAS-Systeme von TerraMaster bereit, weshalb betroffene Nutzer alle Dienste abschalten und die Standardports des Systems ändern sollten, die einen Zugriff auf das NAS über das Internet ermöglichen. Dazu gehören beispielsweise der Remote-Access-Dienst TNAS.online sowie der SSH-, Terminal- und FTP-Zugriff. Zudem sollte immer ein aktuelles, externes Backup der auf dem NAS gespeicherten Daten vorgehalten werden.

ComputerBase hat bei TerraMaster nachgefragt, wann mit Firmware-Updates für die TerraMaster-NAS zu rechnen ist, die die DeadBolt-Lücke schließen.

Update

TerraMaster hat inzwischen bestätigt, dass die neue Firmware 4.2.30 (oder neuer) vor der Ransomware DeadBolt und somit einer Verschlüsselung der Daten des NAS bei einem Angriff schützen soll. Nutzer im Forum von ComputerBase hatten gestern bereits gemeldet, dass ihnen diese neue Version in der Oberfläche des NAS angeboten wird, die über die Website von TerraMaster noch nicht angeboten wurde, inzwischen aber auch dort bereit steht. Wessen NAS bereits verschlüsselt ist, dem bleibt aber nur die Zahlung des Lösegeldes oder die komplette Neuinstallation von TOS, was mit einem Verlust aller Daten auf den Laufwerken einhergeht und das Einspielen eines Backups erforderlich macht, das hoffentlich besteht.

Changelog des Firmware-Updates 4.2.30
  • Fixed a security vulnerability related to the Deadbolt ransomware attack.
  • Optimized fan control during HDD hibernation.