Daten von NAS auf Externe HDD sichern nach Hacker Angriff

[Mrs. Bridges]

Warum nicht?
DU markierst sie doch und kopierst sie auf eine andere Platte??

Es kommt keine Fehlermeldung. Ich muss dann immer genau suchen, ob was fehlt.
Ich habe das anfangsversucht so zu machen aber da sitze ich Jahre ran. Keine Übertreibung, habe es ja probiert

 

[Skudrinka]

Beim Zusammenkratzen von Datentraegern hat Du nur Dateien. Da rennt kein Prozess der irgendwas aus dem OS eines NAS ausfuehrt.

Qnap speichert das BS auf den Platten..
Ja, verstehe schon was du meinst. Wäre mir dennoch zu heikel.
Aber du wirst dann bestimmt ein getrenntes System dafür haben

 

[BFF]

Wenn das Wörtchen Wenn nicht wär..

Dann zieht man Image und baut aus den Imagen wieder ein RAID. Bei zwei Platten bleibt ja nutr RAID0.

 

[Skudrinka]

Ich muss dann immer genau suchen, ob was fehlt.

Ein Kopierprozess überspringt aber nicht einfach willkürlich Daten..
Wenn er ohne Fehlermeldung durchgelaufen ist, sind alle Daten auch kopiert..

Wie und worauf kopierst du denn?
Und machst du das noch immer Online oder über das eigene interne Netzwerk?

 

[nutrix]

Qnap speichert das BS auf den Platten..

Deshalb ja auch mein Vorschlag: Neues QNAP NAS kaufen, eine neuer Datenträger, installieren, schon hat man ein sauberes System. Und dann hängt man die anderen HDDs einfach ein, stellt das RAID wieder - ohne das OS über die Systempartitionen - wieder her. Schon ist alles sauber und schick. Ich versteh nicht, warum man hier so umständlich vorgeht.

Wenn ich so recht überlege, es geht ja noch einfacher, vorausgesetzt, das BIOS bzw. Firmware ist nicht irgendwie kompromitiert:

1. HDDs aus dem NAS ausbauen
2. Neue SSD kaufen, diese einbauen und als 1 Datenträger installieren incl. Systempartition
3. HDDs wieder dazubauen, dann sollte das dortige OS nicht zum tragen kommen
4. RAID wiederherstellen lassen
5. schon kann man alles kopieren

 

[Mrs. Bridges]

Hast Du Dich schon mal an den Herrn direkt gewandt?

Das war die ransomeware vom 23.04.2021, da hat der Mensch tatsächlich einen Schlüssel dafür gefunden.
Ich wurde im Dezember 2021 angegriffen, das war dann leider eine neue Version von Ech0irax.

 

[redjack1000]

Nur jetzt bin ich hilflos.

Wieso denn das? Du hast jede Menge Hilfestellungen bekommen, jetzt beruhig Dich erstmal, fasse die Informationen zusammen und beginne damit das für Dich auszuwerten.

CU
redjack

 

[Mrs. Bridges]

Neues QNAP NAS kaufen

Ich habe dazu leider nicht die finanziellen Mittel. Da hilft auch kein Sparen. Ich möchte und brauche auch keine NAS mehr.

 

[nutrix]

Aber einen leeren Datenträger oder SSD wirst Du doch auftreiben können. Nimm meinetwegen eine alte Festplatte, die Du nicht mehr brauchst. Wichtig ist, daß Du eine neue saubere Systempartition erstellst, von der das NAS starten kann.

 

[Skudrinka]

1. Neue SSD kaufen, diese einbauen und als 1 Datenträger installieren incl. Systempartition
2. HDDs wieder dazubauen, dann sollte das dortige OS nicht zum tragen kommen

Bei einem Leergehäuse muss aber das BS auf den Platten installiert werden. Dazu müssen sie formatiert werden.
So einfach ist das nicht.

 

[nutrix]

Deshalb sagte ich ja, ein neuen/gebrauchten leeren Datenträger einbauen, und den initial formatieren, dann paßt das doch. 😉 Die alten HDDs einbauen, und gestartet wird das OS von der bereits vorhandenen Platte. Das System erkennt doch seine Platten wieder und kann das RAID und die Datenpartitionen ohne weiteres wieder herstellen.

 

[CountSero]

Hacker arbeiten nicht mit Schadsoftware, die gucken ein bis zwei Tage vorher welche Datenmengen vorhanden sind und ob es sich lohnt diese Geräte anzugreifen. Später erfolgt dann der Angriff und die Dateien werden verschlüsselt. Bei mir hauptsächlich Fotos. Dann verlässt man das Gerät wieder. Das hat auch die Polizei so bestätigt. Die möchten Geld und sonst nichts. Die Dateien werden auch nicht zerstört nur verschlüsselt. Auf dem Gerät ist KEINE Schadsoftware.

Du weißt aber schon das Ransomware Schadsoftware ist ?

Und du glaubst ehrlich das da jemand über die Files schaut ?

Das ist absoluter Quatsch das wird alles Automatisiert.

• Erst das suchen der NAS die im Internet hängen (Warum auch immer man das macht wenn es das einzige BackUp ist).
• Dann das Brootforcen von Passwörtern und hoffen das man ein gängiges oder schwache erwischt.
• Wenn das nicht klappt schauen ob das NAS gepatcht ist wenn nicht die üblichen Lücken checken
• Ist man drin prüfen ob man ein dauerhaftes Konto mit Admin rechten anlegen kann
• Dann die Daten nach und nach im System verschlüsseln (Hier mal die Reihenfolge wie ich es machen würde):

1. Word- und Exceldokument, PDF- und Textdateien dann evtl. noch die Gängigen Dokumentformate. Warum diese zuerst ? Weil diese sehr klein sind und oft viele wichtige Informationen enthalten

2. Bilddokumente mit den Gängigen Endungen JPG, TIFF, PNG usw. Durch den sentimentalen Wert sind solche Dokumente den Nutzern immer was Wert.

3. Musikdateien, hier kann man Gegenbefalls auch einen Finanzdielenschaden anrichten.

4. Alles andere was noch gängig ist (Mir fällt so auf die schnelle nichts ein)

5. Videodateien hier gilt das Gleiche wie bei den Bildern. Solche Dateien würde ich aber als letztes machen da Videos oft sehr Groß sind und somit länger zum Verschlüssen brauchen.

Alles andere auf einer Festplatte ist nicht Relevant, man will bei so etwas ja das System nicht lahmlegen da man ja auch noch eine Botschaft übermitteln will.

Auch gehe ich davon aus das die Angreifer das Script\die Software direkt auf der NAS ausgeführt haben. Mit ein bisschen suchen im WEB kommt man dann zu dem Ergebnis: Wenn man es schafft die Hardware zu nutzen ca. 30MB/s verschlüsseln kann, dass heißt 2TB Daten zu Verschlüssen (mit AES256) nimmt etwas um 18 Stunden in Anspruch.


Allein das reicht mir schon das hier immer mit Script und System vorgegangen werden muss man will ja nicht ewig auf dem System bleiben will. Somit muss System ins Chaos gebracht werden.


Es tut mir ehrlich leid das du Opfer von Ransomware geworden bist und ich hoffe du schaffst einen Teil der Daten zu retten.

Aber solltest du bei deinen Antworten bedenken das die Vorposter dir „kostenlos“ Helfen wollen und dir dafür ihren Erfahrungsschatz zur Verfügung stellen

 

[redjack1000]

Wie schon in #3 erwähnt...........Wege wurden jede Menge aufgezeigt.........es liegt am TE das umzusetzen.

Cu
redjack

 

[Mrs. Bridges]

Ein Kopierprozess überspringt aber nicht einfach willkürlich Daten..
Wenn er ohne Fehlermeldung durchgelaufen ist, sind alle Daten auch kopiert..

Leider wurden och Dateien übersprungen. Ich habe als ich das bemerkte die Eigenschaften der zu kopierenden Ordner aufgeschrieben z.B. 1 Ordner 3 Unterordner 512 Dateien. Und musste dann feststellen das nur 500 Dateien kopiert wurden und dann habe ich angefangen zu suchen was fehlt und folgendes herausgefunden:
Nicht kopiert wurden
Hauptsächlich Fotos ,die bearbeitet wurden, bei Musik solche die ich z.B. gekauft und dann downgeloaded habe oder solche die auch bearbeitet wurden. Dann habe ich das Kopieren mit Total Commander versucht, da kommt bei mp3s die Fehlermeldung, dass sich die Datei nicht mehr an dem Ort befinden, oder das Total Commander die Datei nicht lesen kann. Nicht kopierte Fotos hat der Total Commander nicht angezeigt.

 

[nutrix]

Mit ImageMagick kannst Du per Script prüfen, ob Deine Bilddateien valide sind, hab ich mal mit einem kaputten Raid und vielen Bildern so gemacht, funktioniert gut.

 

[Mrs. Bridges]

2. Bilddokumente mit den Gängigen Endungen JPG, TIFF, PNG usw. Durch den sentimentalen Wert sind solche Dokumente den Nutzern immer was Wert.

Es waren zu 99,5 Prozent Fotos. Mindestgröße 5 MB die meisten Fotos hatten 15 MB. Wie gesagt 30 Prozent der verschlüsselten Fotos konnte ich wieder finden auf alten Platten, das hat Wochen gedauert. Leider sind über 6.000 Fotos aus einem Bereich dabei, die ich nicht wiederherstellen konnte, da diese zuvor nirgendwo anders gespeichert waren.
Danke für Dein Mitgefühl es ist ein schwieriger Prozess für mich.

 

[Skudrinka]

Oder freefilesync. Der kann Daten kopieren und vergleichen.
Nutze ich für meine ganzen Backups

Ergänzung (25. März 2024)

da diese zuvor nirgendwo anders gespeichert waren.

Also hast du von der Nas noch gar nichts kopiert bekommen?

 

[redjack1000]

In meinen Augen gibt es dafür zwei Möglichkeiten

1. Die Dateien werden während es Kopierprozess geändert, das würde eventuell darauf hindeuten, das die Ransomware noch aktiv ist.

2. Die Dateien sind aus irgendwelchen, noch unbekannten Gründen, nicht mehr lesbar.

Cu
redjack

 

[nutrix]

Es gibt sogar einen Decrypter auf github, leider nur für die ältere Variante
https://github.com/vricosti/ech0raix_decryptor

 

[CountSero]

Das die Dateien evtl. nicht Kopiert werden können kann auch daran liegen das dier Index noch meint das die Dateien da sind die aber eigentlich bereits von der Platte gelöscht wurden.

[EDIT]
@redjack1000 ja das noch was Aktiv läuft würde dann nahe liegen.