ComputerBase Menü
Aktuelles

News DeadBolt: Neue Ransomware ver­schlüs­selt NAS-Systeme von QNAP

Wilhelm14 schrieb:
Ich behaupte, wenn man am Supermarkteingang die ersten 10 Leute abfängt, schaffen es mindestens 9 von denen nicht, ein Selbstbau-NAS sichererer zu betreiben, als ein Fertig-NAS, was sich mit Mausklicks updaten lässt.
Zum Vergrößern anklicken....

Ich behaupte, 9 von 10 Normalos wissen nicht mal was ein NAS ist oder wozu sie dieses brauchen sollten. Leute, die einen Anwendungszweck dafür haben, sind idR. ohnehin etwas technikaffin.
Ergänzung ()

Wilhelm14 schrieb:
Und dieses Buzzword-Bingo leitest du mit einem "Was für ein Quatsch." ein? Das lässt sich auch mit einem Fertig-NAS veranstalten. 😉
Zum Vergrößern anklicken....

Das ist kein Buzzword Bingo sondern eine Beschreibung meines Setups. Klar, wenn man das nicht kapiert weil man keine Ahnung davon hat klingt das natürlich alles wie Spanisch.
 
  • Gefällt mir
Reaktionen: MidwayCV41
HRX-XRH schrieb:
--So vermeidet man Vollzitate--
Zum Vergrößern anklicken....
Gaaanz lieben Dank für Deinen Beitrag.
Ich habe gestern den ganzen Tag mit googeln verbracht und folgendes herausgefunden:
1. Es ist nur die NAS betroffen, PC war in dieser Zeit ohne Strom, ohne Netzt also komplett aus
leider ist die NAS heruntergefahren, weil es bei mir zwischen Weihnachten und Silvester einen
Stromausfall gab
2. Ich habe die NAS vom Netzwerk genommen, also ausgestöpselt und an einen Laptop ohne Internet Zugang angeschlossen, auf dem keine Daten sind, wenn da was passiert egal, dann gibt es eine neue Installation und fertig
3. Ich weiß jetzt genau von welcher ransomware die NAS betroffen ist und das war gar nicht so einfach, weil ja alle Parameter stimmen müssen:
  • Die Dateien haben die Endung .encrypt
  • die Textdatei ist bei mir eine .txtt (richtig gelesen zwei t) mit den Namen: README_FOR_DECRYPT.txtt

Inhalt:
All your data has been locked(crypted).
How to unlock(decrypt) instruction located in this TOR website: http://veqlxhq7ub5qze3qy56zx2cig2e6...nion/order/1MvivasJz8W9VG9VyUdq66JLUm2puZ3nHX
Use TOR browser to access .onion websites.
https://duckduckgo.com/html?q=tor+browser+how+to

Diese ransomeware ist eine Variation die schon verschiedene Namen hatte:
QNAPCrypt Ransomware, QNAPCrypt-1: QNAP-NAS-Encrypt, Synology-NAS-Encrypt,
Alias: eCh0raix Ransomware

Im Moment wird die ransomeware als eCh0raix Ransomware bezeichnet. Die neuste Variation ist von Ende Dezember 2021.

Qnap habe ich auch angeschrieben, schon zweimal und die haben beide male innerhalb von 48 h Stunden geantwortet. Da nicht alle Dateien betroffen sind, hat man mir gesagt, ich könne die nicht betroffenen Dateien auf einem externen Medium sichern. Externe Festplatte mir 6 TB ist bestellt. Sobald die da ist werde ich sichern. Die Anleitung zur Wiederherstellung die Qnap mir gesendet hat ist leider für die ist leider für die .7z Verschlüsselung, die geht also nicht.
Viel gesucht und viel gefunden. Aber nun meine Frage kann man mir ab hier weiter helfen? Wo kann ich erfahren, ob jemand einen Weg gefunden hat die Dateien zu entschlüsseln?

Schon jetzt Danke an alle die diesen langen Text lesen.
 
Zuletzt bearbeitet von einem Moderator:
luckyfreddy schrieb:
--So vermeidet man Vollzitate--
Zum Vergrößern anklicken....
Vielen Dank, für Deinen Text.

Qnap hat sich schon zweimal gemeldet und meine Fragen beantwortet. Ich werde Deinem Rat folgen und dort noch einmal hinschreiben, jetzt wo ich weiß, welche ransomeware auf meiner NAS ist. Die ursprüngliche Varianten ist schon älter, ein Vergleich von file Endung .enrypted und die txt Datei, die bei mir README_FOR_DECRYPT.txtt (richtig gelesen mit doppelt t) heißt und der Vergleich des Inhaltes der txtt. Datei
haben den Namen der ransomeware ergeben: eCh0raix, früher QNAPCrypt Ransomware oder QNAPCrypt-1: QNAP-NAS-Encrypt oder Synology-NAS-Encrypt

Ich hoffe, das irgend jemand bald eine Lösung findet.
 
Zuletzt bearbeitet von einem Moderator:
Nachdem einige QNAP NAS gestern ein automatisches Firmware-Update auf QTS 5 durchgeführt haben, Nutzer aber angeben diese Funktion nicht aktiv zu haben, wäre Recherche seitens Computerbase dazu doch recht interessant.
Aktuell liegen Behauptungen in der Luft, dass QNAP eine Backdoor in QTS hätte und so ein Update trotz deaktivierter Updates erzwungen hat.

-> Dagegen spricht:
Release Notes QTS 4.5.3.1652 Build 20210428 (2021-04-28)
QTS now automatically installs recommended firmware updates by default. Administrators can specify a schedule to check for and perform updates.
Quelle: https://www.qnap.com/en/release-notes/qts/4.5.3.1652/20210428

D.h. mit einem älteren Firmwäre-Update 4.5.3 gab es eine neue Funktion, die standardmäßig aktiviert ist und die täglich auf sog. „Empfohlene Updates“ prüft, um diese dann selbstständig zu installieren. Dies war wohl einigen Nutzern unbekannt, die sich bereits über eine Backdoor aufgeregt hatten. Vermutlich ist QTS 5 gestern einfach als „Empfohlenes Update“ eingestuft worden und entsprechend der Einstellung wurde eine automatische Installation angestoßen.

-> Dafür spricht:
reddit.com/user/QNAPDaniel“, scheinbar Support-Mitarbeiter bei QNAP
„In QTS there was a message in control panel/auto-update that "QTS/QuTS hero will enable recommended version update soon to protect nas from deadbolt"
But I think a lot of people did not see that message.
We are trying to increase protection against deadbolt. „
Quelle: https://www.reddit.com/r/qnap/comme...now_why_your_qnap_updated_last_night/huhlp5t/

Dies wäre ja eine Bestätigung, dass QNAP von Remote zugreifen und lokale Einstellungen verändern kann, als direkte Reaktion auf Deadbolt. Damit verbunden wäre die Frage: Wie?
Tatsächlich eine eingebaute Backdoor in QTS? Hatten die Nutzer vielleicht einen Account oder speziellen QNAP Dienst laufen, der solche lokalen Veränderungen erlaubt?
 
Zuletzt bearbeitet:
CPat schrieb:
Release Notes QTS 4.5.3.1652 Build 20210428 (2021-04-28)
Zum Vergrößern anklicken....
Mit dem Release wurde das automatisches Firmwareupdate standardmäßig eingeführt. Diese Funktion konnte man aber nachträglich in den Einstellungen deaktivieren.

Es gab aber in den letzten 2 Tagen User die ein "Zwangsupdate" erhalten haben obwohl diese Funktion deaktiviert ist. Wenn das stimmt dann wäre das ein ordentlicher Vertrauensverlust, da QNAP dann tatsächlich Zugriff auf die Geräte hat (Backdoor).
 
QNAP und die Updates, das ist allerdings so eine Sache bei älteren NAS die kein QTS 5 oder keine Updates mehr bekommen. Sollte so was noch weiter betrieben werden? Ich habe da meine Zweifel.

Die Platten lassen sich in einem neuen NAS ja einbauen. Wenn die Migration nicht unterstützt ist, dann halt neu formatiert und Restore vom Backup. Ich fürchte wir können uns nur dann einigermassen sicher fühlen, wenn auch die NAS Hardware nach Abkündigen des Support in die Entsorgung kommt, wenn sie nicht im eigenen Umfeld als Backup zum Einsatz kommen kann.

Ich sehe viele NAS ohne Support, die auf unterschiedlichen Kanälen neue Besitzer suchen. Wer neu einsteigen möchte, wäre sehr gut beraten nichts zu kaufen das keine Updates mehr bekommt.
 
na gut dass meine qnap-nas nicht frei im internet hängt sondern nur per vpn erreichbar ist.

problem gelöst, weil es keins gibt.

@StardustOne ich habe unter anderem die TS-231P die ist 2016 erschienen, das sind bereits 6 jahre nutzung, das letzte update war am 23.12.2021 demensprechend qnap eine schlechte update politik vorzuwerfen halte ich für falsch. da beiten andere hersteller vergleichbarer systeme wesentlich weniger support.
 
Mrs. Bridges schrieb:
Diese ransomeware ist eine Variation die schon verschiedene Namen hatte:
QNAPCrypt Ransomware, QNAPCrypt-1: QNAP-NAS-Encrypt, Synology-NAS-Encrypt,
Alias: eCh0raix Ransomware

Im Moment wird die ransomeware als eCh0raix Ransomware bezeichnet. Die neuste Variation ist von Ende Dezember 2021.
Zum Vergrößern anklicken....

Gut gefunden, also nicht der Qlocker.
Dann kannst Du dich hier an 70 Seiten Dialog erfreuen.

https://www.bleepingcomputer.com/fo...yptsynology-nas-encrypt-support-topic/page-70

Mrs. Bridges schrieb:
Qnap habe ich auch angeschrieben, schon zweimal und die haben beide male innerhalb von 48 h Stunden geantwortet. Da nicht alle Dateien betroffen sind, hat man mir gesagt, ich könne die nicht betroffenen Dateien auf einem externen Medium sichern.
Zum Vergrößern anklicken....
Das würde ich ohnehin immer direkt empfehlen.
Und dann auch nochmal die BETROFFENEN Dateien in einem Extra Ordner oder Medium -- von ihnen geht ja keine direkte Gefahr aus. Arbeite aber nur mit Kopien, ändere nicht die Grundstruktur, führe keine unbekannten Dateien aus.. das übliche....
Und vorsichtig sein, in den Foren schreiben die Täter mittlerweile die Opfer direkt an, auch mit vermeintlichen Hilfsangeboten ...wird dort auch thematisiert.
 
ich nutze das vom rasperry pi da ich damit auch die heizung steuer, (und werte wie temperatur innen, ausen, luftfeuchtigkeit etc. auslesen kann)
 
Hier ist die Stellungnahme von Qnap bezüglich der "Zwangspatches". Am Ende hat Qnap nur eine aktuelle Firmware als Recommended Version eingestuft und viele hatten bei der Einführung diese Art der Aktualisierung nicht ausgeschaltet.

Link

@Frank vielleicht kann man dahingehend die News aktualisieren?
 
Zuletzt bearbeitet:
Genau. Qnap NAS mit aktiviertem Auto Update haben sich von selbst aktualisiert. Mit deaktiviertem Auto Update erhalten Nutzer Meldungen im Webinterface oder per E-Mail, je nach Einstellung.
Und ja, das Katz-Maus-Spiel gibt es bei jedem komplexeren System, Windows, Linux (Qnap/Synology), Mac OS, Android, iOS, Router,...
 
Heise verweist in diesem Thread übrigens auf ein Masterschlüssel für weitere Verschlüsselungstrojaner. Vielleicht ist euer ja dabei. Ansonsten verweist Heise auch auf das Portal "ID Ransomware", bei der eine Beispieldatei hochgeladen werden kann und dann geprüft wird, ob es dafür schon ein kostenloses Entschlüsselungstool gibt.

Vielleicht hilft es dem ein oder anderen ja.
 
  • Gefällt mir
Reaktionen: Je_Tho und Wilhelm14
Ich meine ja nur, dass es vielleicht recht hilfreich wäre, wenn man den ursprünglichen News-Artikel entsprechend updaten würde..
 
Ich bin nicht sicher ob auch für deadbolt schon eine Lösung in Sicht ist. Aber auf lange Sicht kann es ja trotzdem helfen zumindest das Portal "ID-Ransomware" im Hinterkopf zu halten.
 
Die Meldung ist an mir vorbei gegangen. Aber gut, dass ich mit meinem QNAP nicht betroffen bin. Aber ich nutze auch keine myQNAPCloud und afair habe ich auch das Webinterface nicht nach draußen geöffnet.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Frank
News Ransomware: DeadBolt verschlüsselt auch NAS-Systeme von Asustor
2 3
Antworten
46
Aufrufe
7.041
catch 22
catch 22
Frank
News Ransomware: Nach QNAP & Asustor ist Terra­Master Ziel von DeadBolt
2 3
Antworten
52
Aufrufe
9.334
M-X
M-X
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz