Daten von NAS auf Externe HDD sichern nach Hacker Angriff

[Mrs. Bridges]

Hallo Alle Miteinenader,

ich habe eine QNAP NAS TS-431 2 x 4 TB. Über Weinachten 2021 wurde meine QNAP NAS angegriffen und über 10.000 Dateien encrypted (Ech0raix (QNAPCrypt) Ransomware Weihnachten 2021). Eh jetzt hier die Vorwürfe kommen was ich hätte machen können, sollen usw., ich habe mir keine fishing E-Mail angefangen oder auf einen Link geklickt, der Port 8080 war offen und da konnte man sich auch noch ein Admin Konto anlegen. Der PC ist nicht betroffen, der war aus, ohne Strom und nicht im Netzt. Ich hatte mich auf den Menschen (Kleinunternehmer ) verlassen der das System installiert hatte, der wurde auch ordnungsgemäß gegen Rechnung bezahlt, und nun bin ich verlassen. Ein Backup hatte ich bestellt, bekommen habe ich aber nur ein raid. Ich kann ganz gut mit PC aber von NAS hatte ich damals keine Ahnung, jetzt leider ein bisschen mehr.
Nun zur eigentlichen Frage. Die restlichen ca. 40.000 nicht encrypteten Dateien müssen nun auf einer externen HDD gesichert werden. Ich kann über einen PC Windows, Betriebsystem: Microsoft Windows 10 Pro; Prozessor: 12th Gen Intel(R) Core(TM) i7-12700, 2100 MHz, 12 Kern(e), 20 logische(r) Prozessor(en), mittels Explorer zugreifen, aber zahlreiche Dateien werden nicht kopiert. Hauptsächlich Fotos, die bearbeitet wurden, bei Musik solche die ich z.B. gekauft und dann downgeloaded habe oder solche die auch bearbeitet wurden. Bei Musik kommt die Fehlermeldung, dass sich die Datei nicht mehr an dem Ort befinden, oder das Total Commander die Datei nicht lesen kann. Bearbeitet Fotos werden einfach nicht kopiert und es gibt auch keinen Hinweis. Die fehlen dann einfach.
Ich habe schon viel versucht u.a. Total commander aber keinen Erfolg gehabt. Da die gehackte NAS nicht mehr ins Netzt soll, muss ich, um auf die NAS zuzugreifen, immer den Router vom Netz nehmen und das ist sehr lästig und ich muss ja auch mal wieder ein richtiges Backup machen, sonst sind die nicht verschlüsselten Dateien auch noch weg. Hast jemand eine Idee? Vielen Dank im Voraus.

 

[Dr. McCoy]

Da ist ja alles schief gelaufen, was falsch gemacht werden konnte.

Verstehe ich das richtig, es wurden nicht alle Dateien verschlüsselt? Und das ganze liegt jetzt dort seit 2021 verschlüsselt, und wurde seitdem nicht angerührt?

Ein Backup hatte ich bestellt, bekommen habe ich aber nur ein raid.

Ein NAS, das am Web hängt bzw. Zugriff von dort zulässt, ist kein Backup. Ein RAID ist ebenfalls kein Backup. Und selbst, wenn das NAS richtig eingerichtet gewesen wäre, wäre es alleine immer noch kein richtiges Backupkonzept. Da hätten zusätzlich alle Dateien in Mehrfachkopien beispielsweise auf externen Datenträgern im Schrank gelagert werden müssen.

Dateien, die jetzt nicht mehr gefunden werden können, können beispielsweise Dateien sein, die von der Ransomware gelöscht bzw. durch die verschlüsselten Pendants ersetzt wurden.

Wie genau ist denn dieses NAS eingerichtet? Welches RAID?

Ergänzung (25. März 2024)

Lass eine verschlüsselte Datei einmal hier analysieren:

https://id-ransomware.malwarehunterteam.com/index.php?lang=de_DE

Poste bitte das Ergebnis.

 

[redjack1000]

Da die gehackte NAS nicht mehr ins Netzt soll, muss ich, um auf die NAS zuzugreifen, immer den Router vom Netz nehmen

Entferne als erstes das Standardgateway und den DNS aus der Netzwerkkonfiguration vom NAS, dann sollte das Gerät nicht mehr Online kommen.

Alternativ bau dir ein zweites Netzwerk, bestehend aus NAS und Rechner auf, sorge dafür, das dass Netzwerk nicht mit dem Router verbunden wird.

Sollte Ech0raix auf dem System noch aktiv sein (im Zweifel muss man davon ausgehen, das dass so ist), hast du keine andere Wahl, als das NAS tot zu lassen und die Daten z.B. mit einem weiteren Linuxsystem direkt von den HDD auszulesen.

Was auch funktionieren könnte, alle HDD raus aus dem NAS, NAS mit einer neuen HDD einrichten, als erstes Firmware aktualisieren, schauen ob das NAS läuft. Wenn das erfolgreich geprüft wurde, eine der HDD hinzufügen und versuchen Zugriff auf die Daten zu bekommen.



CU
redjack

 

[Dr. McCoy]

Sollte Ech0raix auf dem System noch aktiv sein (im Zweifel muss man davon ausgehen, das dass so ist), hast du keine andere Wahl, als das NAS tot zu lassen

Genau diesen Punkt empfehle ich auch unbedingt, bis die weiteren Fragen geklärt sind. Je länger man da jetzt unqualifiziert herumprobiert, desto größer ist die Gefahr von weiterer Verschlüsselung und Ausbreitung im Netzwerk.

 

[Mrs. Bridges]

Danke für Deine Antwort, ja es ist richtig es wurden nicht alle Daten verschlüsselt. Dafür hatten diese subversiven Elemente nicht genug Zeit. Das kann man daran sehen, das einer von den vielen ordnern bei de Dateein enthaält die encrypteten und noch die nicht verschlüsselten Originale. Aber von ca. 150.000 Dateien wurden 10.000 encryptet. Ca. 5.000 Dateien habe ich in mühevoller Kleinarbeit von zuvor genutzten Speichermedien wie SD-karten oder HDDs, auf denen die Dateien vorher gesichert waren, durch eine Wiederherstellungssoftware wieder zurückbekommen, der Rest ist wohl für immer verloren. Das Ganze hat fast sechs Wochen gedauert. Bestellt hatte ich ja ein Backup aber dieser Kleinunternehmer hat ein raid eingerichtet. Natürlich hatte ich auch alles schriftlich in Auftrag gegeben. Aber was nützt mir das jetzt.
Ja, die Daten liegen da seit Januar 2022 als ich den Angriff festgestellt noch auf der NAS. Ich habe mehrere Fachfirmen bemüht, wovon eine die NAS wenigsten wieder erreichbar gemacht hat, aber für mehr Fachfirmen fehlen mir die Mittel. Ich muss die Daten da runter holen, damit ich diese dann auch durch 2 Backups sichern kann. Ein Backup wird ausgelagert, eins bleibt hier. Die Backups möchte ich in Zukunft händisch anstoßen. Es müssen ca. 3,5 T Daten kopiert werden. HDDs stehen bereit. Alle Dateien sind noch auf der NAS auch die encrypteten. Ich möchte nur die nicht encrypteten Dateien kopieren und dann die NAS abklemmen und nicht löschen. Vielleicht geschieht ja irgendwann ein Wunder und es findet jemand einen Schlüssel. Bin bei Qnap und bei der Schweizer Polizei gemeldet mit dem Angriff und in D habe ich natürlich auch Anzeige erstattet.

 

[Dr. McCoy]

Okay, das beantwortet aber noch nicht die Frage, wie das NAS bzw. welches RAID eingerichtet ist.

Hilfreich wäre es auch auf jeden Fall, wenn du dir Live-Systeme auf Linux-Basis erstellst., wie zuvor schon oben drüber in #3 erläutert.

Dafür z.B. USB 3.0 Sticks verwenden.

 

[BFF]

War das ein RAID1? @Mrs. Bridges

Nur um nicht verschluesselte Dateien von dem NAS zu kratzen koennte gehen:

1. Von jeder Platte ein bit genaues Image ziehen.
2. mit faehiger Software den RAID wieder zusammen zu setzen

Das geht z.B. mit R-Studio

In Theorie kann man eine Platte eines RAID1 auch auslesen.
Wuerde ich nicht mit einem Windows machen wollen.

 

[redjack1000]

Ich habe mehrere Fachfirmen bemüht, wovon eine die NAS wenigsten wieder erreichbar gemacht hat,

Wurde von einer Firmen bestätig, das dass Gerät frei von Schadsoftware ist?

CU
redjack

 

[Mrs. Bridges]

Ja, diese Hacker hinterlassen keine Schadsoftware. Die wollen nur Geld, das ich leider nicht habe. Die "TXTT"-Datei (richtig mit zwei "TT") war dabei mit dem Link zum Darknet.

 

[M@rsupil@mi]

Ja, diese Hacker hinterlassen keine Schadsoftware. Die wollen nur Geld, das ich leider nicht habe.

Naja, so ganz beantwortet das nicht die Frage von @redjack1000 Auf dem Gerät ist Schadsoftware zumindest gewesen. Ohne wären die Daten ja nicht verschlüsselt. Sollte also die 'Fachfirma' die Schadsoftware nicht vollständig beseitigt haben, dann könnte die durchaus weiterhin im Hintergrund an der Verschlüsselung deiner Daten weiter gearbeitet werden.

Daher ist es keine Gute Idee das Gerät wieder in Betrieb zu nehmen, wenn dies nicht zu 110% sicher ist. Daher besser: NAS aus, Platten ausbauen, Image ziehen und damit arbeiten / Daten retten. (Wie von @BFF in #7 beschrieben),

 

[Mrs. Bridges]

Das Raid sieht genauso aus wie die andere Platte, ist halt ein raid. Die Platte ist erreichbar, ich kann auch kopieren, aber wie beschrieben einige Dateien werden nicht kopiert. Ich habe versucht diese händisch zu kopieren, aber da bin ich dann wohl noch 1 Jahr oder länger mit beschäftigt und es muss ein Backup her, damit nicht noch was passiert und dann alles weg ist.

 

[redjack1000]

Wenn das bestätigt ist, NAS an, USB HDD anschließen mit NTFS formatieren, per SSH am NAS anmelden und anfangen zu kopieren.

Cu
redjack

 

[Mrs. Bridges]

Hacker arbeiten nicht mit Schadsoftware, die gucken ein bis zwei Tage vorher welche Datenmengen vorhanden sind und ob es sich lohnt diese Geräte anzugreifen. Später erfolgt dann der Angriff und die Dateien werden verschlüsselt. Bei mir hauptsächlich Fotos. Dann verlässt man das Gerät wieder. Das hat auch die Polizei so bestätigt. Die möchten Geld und sonst nichts. Die Dateien werden auch nicht zerstört nur verschlüsselt. Auf dem Gerät ist KEINE Schadsoftware.

 

[Dr. McCoy]

Hacker arbeiten nicht mit Schadsoftware,

Doch, für diesen Vorfall ist eine Schadsoftware verantwortlich, eine sogenannte Ransomware.

 

[M@rsupil@mi]

die gucken ein bis zwei Tage vorher welche Datenmengen vorhanden sind und ob es sich lohnt diese Geräte anzugreifen

Nein, nicht im Home-NAS-Bereich. Da wird geschaut welcher User so unvorsichtig war und das NAS nicht vom Internet abgeschottet hat. (Dafür gibt es entsprechende Suchmaschinen im Netz.) Durch eine Sicherheitslücke werden dann alle Geräte angegriffen, die über das Internet erreichbar sind. Da sitzt keiner und analysiert erst einmal deine Daten. Und ohne Schadsoftware geht das alles gar nicht. So eine Datenverschlüsselung haben die Geräte ab Werk gar nicht.

 

[BFF]

Hast Du mal ein genaues Datum wann das passiert ist?
Weil es gab zwei Versionen der Verschluesselung. Die aeltere Version waere entschluesselbar.

Anyway.
War das nun ein RAID1 oder ein RAID0?

Wenn die Platten ohne das NAS in Betrieb genommen werden kann eigentlich keine Software laufen die weiter verschluesselt oder was anderes verschluesselt.

 

[Mrs. Bridges]

Ja, das nennt man Ransomeware. Es gibt zwei grundsätzliche Arten von Ransomware. Der häufigste Typ, die so genannte verschlüsselnde Ransomware oder Krypto-Ransomware, nimmt die Daten des Opfers als Geisel, indem sie sie verschlüsselt. Diese bleibt nicht auf den Platten und arbeitet weiter.

 

[redjack1000]

Möchtest du jetzt über Ransomware diskutieren oder eine eventuelle Lösung für dein Problem haben?

Cu
redjack

 

[Dr. McCoy]

Diese bleibt nicht auf den Platten und arbeitet weiter.

Diese Auskunft ist falsch. Ransomware läuft als Schadsoftware auf dem jeweils betroffenen Gerät. Wie lange sie dort aktiv bleibt, hängt von der jeweiligen Ransomware individuell ab. Sie kann dort beispielsweise auch mehrere Monate, ohne aktiv zu werden, verbleiben, und dann plötzlich zuschlagen. Auch solche Varianten gibt es.

 

[BFF]

Diese bleibt nicht auf den Platten und arbeitet weiter.

Ja die arbeitet mit dem OS der NAS. Wie in Deinem Fall.

Da keine meiner Fragen beantwortet wurden besteht wohl kein Bedarf.
Damit bin ich mal raus. Hab eh genug getippt.

-> https://www.computerbase.de/forum/t...systeme-von-qnap.2067358/page-2#post-26526255

Damals™ haette man was tun sollen.