In einer Virtuellen Maschine gehackt worden - Auswirkungen?

Tryptoff

Cadet 2nd Year
Registriert
Feb. 2020
Beiträge
16
Hallo Forum,
ich hoffe ich bin hier richtig, denn ich weiß mein Problem gerade nicht wirklich einzuordnen und brauche unbedingt ein paar außenstehende Meinungen. Sollte ich hier falsch sein, wäre ich dankbar zu erfahren wo ich mich mit diesem Problem hinwenden kann.

Allgemeine Infos: Ich habe seit jeher virtuelle Windows 10 Maschinen über VMware laufen. Damit ich eben unabhängig vom Hauptsystem Sachen testen und auch mal etwas unvorsichtiger im Internet sein kann.

Auf einer dieser VMs hat sich vor einigen Wochen jemand eingehackt und über ein Tool Daten von meinem NAS (eingebundene Netzlaufwerke) abgreifen können. Es sind ganz sicher meine Daten, die Ordner auf dem angehängten Screenshot sind richtig und auch die Bilder im Mail-Anhang sind sicher von meiner Platte...

Dieser Typ hat mir eine Mail geschickt mit einigen Dateien als Anhang und folgendem Text:

Anhänge und Bilder entfernt. Falls die jemand haben möchte bitte PN schreiben.

Wäre eine Antwort auf diese Email überhaupt ratsam? Man weiß halt nicht wie ernst der das meint und was der noch alles über mich weiß... Wäre da nicht das NAS-Laufwerk eingebunden würde ich da nur drüber lachen aber so macht mich das extrem unruhig. Von Cryptowährungen habe ich auch überhaupt keine Ahnung. WENN ich zahlen würde, dann halt normal über Paypal etc. und da könnte man auch wieder mehr Daten rausbekommen...

Die Passwörter sind alle unwichtig bzw. dort gibts nichts zu holen. Ich habe sowieso überall verschiedene Passwörter. Was mich aber sehr unruhig macht ist die Tatsache, dass dieser Typ theoretischen Zugriff auf meine Daten auf dem NAS hatte.
Es sind in den Anhängen der Mail nur Dateien von einem eher unwichtigen Laufwerk, ich hatte jedoch auch ein Laufwerk mit persönlichen Daten eingebunden. Ich weiß, das ist sehr dumm gewesen aber ich kann es jetzt nicht mehr ändern...

Diese Screenshots (Anhang) von seinem Tool hat er mir auch noch mitgeschickt. Die IP von mir habe ich verschleiert, ich habe jedoch mittlerweile eine neue von Vodafone bekommen. Jedenfalls sind die letzten 6 Zahlen anders wenn ich mir meine aktuelle IP anschaue. So dürfte zumindest kein weiterer Zugriff auf mich möglich sein bzw. auf meinen HauptPC. Die VM werde ich selbstverständlich löschen bzw. nur noch ohne Netzwerk booten.

Ich bedanke mich schon mal für jegliche Hilfe und hoffe, dass man meine Beschreibungen nachvollziehen kann.

Grüße
 
Zuletzt bearbeitet:
Und was für Hilfe suchst Du jetzt? Ändere Dein Netzwerk. Warum nutzt Du VMs? Warum sind diese VMs in Deinem Heimnetzwerk und NAS eingebunden. So wie Du Dein Netzwerk aufgebaut hast, solltest Du das nicht machen.

Tryptoff schrieb:
Allgemeine Infos: Ich habe seit jeher virtuelle Windows 10 Maschinen über VMware laufen. Damit ich eben unabhängig vom Hauptsystem Sachen testen und auch mal etwas unvorsichtiger im Internet sein kann.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: nvidia4ever
Was sollen wir jetzt machen? Such dir nen Anwalt, der weiß am ehesten, was zu machen ist. (Anzeige wegen Erpressung etc.)
Von technischer Seite: Analysiere dein Netzwerk und schließe die Lücke über der Angriff erfolgt ist.
 
Ich bräuchte einfach nur Ratschläge wie ich mich da jetzt verhalten soll. Warum ich VMs nutze steht oben, warum ich die im Heimnetzwerk eingebunden habe war pure Dummheit, das ist mir auch klar und wird auch so nicht mehr passieren :stacheln:
 
die frage verstehe ich auch nicht..

du benutzt ein vm und suchst gezielt nach schadware/verschlüsselungstrojaner (um sachen zu testen/unvorsichtiger ins internet) und erschrickst, wenn so kommt wie es kommen muss?

und im vm verbindest du noch ein Nas? mir fehlen ein wenig die Buchstaben...

ist dein nas verschlüsselt worden?
falls ja, nas platt machen und backup aufspielen
falls nein, war das wohl ein schuss Richtung popo und auf dein popo solltest du hören.
 
  • Gefällt mir
Reaktionen: nvidia4ever
Was zeigt der Screenshot denn? AppData... der VM? Hast du Beweise, dass er überhaupt auf deinem NAS war? Beweise, Screenshots, von echt wichtigen Daten, die garantiert von dir sind? Denn mit der schlichten Behauptung, eine Pornosammlung gefunden zu haben, wird man vermutlich bei 4 von 5 Leuten recht haben. Häufig ist das nur eine Masche: https://www.google.com/search?q=scam+porno
Tryptoff schrieb:
your low quality bait on your desktop
"wallet" and the "decryptor" shit
Was könnte er damit meinen?
 
Zuletzt bearbeitet:
Hi. Ich würde dir empfehlen auf keinen Fall zu zahlen und Anzeige zu erstatten. Wer sagt dir, dass die Daten zukünftig nicht gegen dich verwendet werden? Oder wenn er/sie merkt, dass du zahlst und da eventuell noch mehr Geld zu holen ist. Da kommst du dann nicht mehr raus.
 
Benutze in Zukunft in der VM das NAT-Netzwerk (so heisst es in Virtualbox), und keine IP aus deinem eigentlichen Netzwerk.
Und spiele dein Backup der VM ( hoffentlich vorhanden) zurück, ändere dann auf NAT.
 
Nicht auf seine Forderungen eingehen wenn du sagst das die Daten für dich nicht so wichtig sind. Du bist halt an eineem Erpressertrojaner geraten und dein fehlerr war halt das du das NAS auf dem du Daten gesichert hast, ins Netzwerk eingebunden war und da ist der fehler: Festplatten egal ob USB Festplatte oder NAS mit Datensicherungen gehören offline und nur angeschlossen, wenn man gerde darauf Backups und haben normal nichts im Netzwerk zu suchen.
 
Wenn du die Dateien noch sichern kannst mach es jetzt. Wenn es eine Verschlüsselung geben sollte und sie aktiv werden sollte war es das.
Nach dem Retten der Daten aus der VM installiere sie neu. Beachte bitte ebenfalls die Daten von der NAS.
 
Danke schon mal für die Antworten. Im Leben passieren manchmal blöde Sachen weil es eben noch nie zu einem Zwischenfall gekommen ist und man mal unvorsichtig war im Glauben man wäre sicher... Ich könnte mich gar nicht so hart facepalmen aber es ist jetzt nun mal passiert und ich muss da irgendwie raus.

Zahlen werde ich ganz sicher nicht, dazu müsste der Typ mir erst beweisen, dass er mir wirklich irgendwie schaden kann. Da stelle ich mir eben die Frage ob ich überhaupt auf diese Mail antworten soll und mal fragen soll was er denn machen würde bzw. welche persönlichen Daten von mir vorhanden sind? Evtl. auch im Vorwand dann zahlen zu würden?!

Das NAS ist nicht verschlüsselt worden, ich kann weiterhin auf alle Daten zugreifen und ohne seine Mail hätte ich das Eindringen auf die VM wahrscheinlich nie gemerkt...

Ich kann ja ganz offen sagen, dass ich tatsächlich pornografisches Material gespeichert habe, daran ist ja heutzutage auch nichts verwerfliches und da gehe ich auch ganz offen mit um. Diese "Questionable Folders" dürften halt Manga-Comics sein... Ansonsten ist da nichts "ungewöhnliches" dabei.

@Eishunter Backup der VM sind vorhanden, danke für den Hinweis mit dem NAT-Netzwerk. Das sind alles Sachen die ich hätte ich vorher wissen müssen, aber ich bin leider zu blauäugig gewesen :rolleyes:

An eine Anzeige dachte ich auch schon, doch wie soll man herausfinden wer dahinter steckt? Der Typ wird sicherlich hinter einem VPN oder ähnliches stecken und sicherlich nicht aus Deutschland kommen.
 
Nicht zahlen!
Anzeige bei der Polizei machen!

Wenn du zahlst bist du ein gefundenes Opfer für die nächste Erpressung, dann sind es halt in 3 Monate wieder 1500€ etc....

Wenn man VMs nutzt dann natürlich nicht auf Umwege wie Fileshares mit deinem Hauptsystem kommunizieren lassen, aber denke das ist dir jetzt auch klar geworden.

Ich würde drauf tippen dass hier nicht viel passiert, die Person hat ja nichts davon jetzt dein Umfeld mit deiner Pornosammlung voll zu spamen, dafür wäre vor allem ja auch wieder Arbeit nötig.

VM natürlich nie wieder Online nehmen und NAS würde ich auch mal durchforsten nicht das hier verseuchte Dateien abgelegt wurde, wenn Backupt extern existiert würde ich alles platt machen.

Generell erstmal allen .exe Files und Scripts etc. auf dem NAS skeptisch gegenüber sein!
 
  • Gefällt mir
Reaktionen: Tryptoff
Ich würde dir als erstes mal empfehlen, deinen Router (den Du hoffentlich auch hast) komplett neu einzurichten.
Da er in dein Netzwerk gekommen ist, sofern Du auf einer der VMs nicht irgendwelche Malware/Trojaner heruntergeladen hast, ist die erste Aufgabe das komplette Netzwerk zu sichern und das fängt beim Router an!
 
Achja und natürlich auf gar keinen Fall auf die Mail reagieren!
Der Erpresser weiß ja aktuell erstmal gar nicht dass du die Nachricht gelesen hast.

Würde auch den Text oben + Bilder raus nehmen, die tragen hier nichts bei und Google ist echt mächtig.
Wenn er nach seinem Text sucht wird er den eventuell via Google hier finden und hat dann wieder eine Referenz zu dir mehr.

Hast du ein Cloud Sync irgendwo hin von den Daten, könnte da dein Account gehackt worden sein und daher die Daten stammen?
 
Tryptoff schrieb:
Diese "Questionable Folders" dürften...
Du hast immer noch nicht gesagt, ob es Beweise gibt, dass er wirklich Zugriff auf deine Dateien/NAS hatte. Egal wem man so eine Behauptung an den Kopf wirft, die meisten "dürften" dabei sofort auch an einen bestimmten Speicherort denken. Ich kann ja auch behaupten, Zugriff auf deinen Kühlschrank gehabt zu haben. Du denkst dann, das dürfte der Liebherr... gewesen sein.
 
Hab schon einige solche E-Mail bekommen. Einfach ignorieren. Da wird nix passieren.
 
Nicht drauf reagieren. Daten sichern. Rechner dann neu aufsetzen. Alle Passwörter ändern. Dann zur Polizei und Anzeige erstatten, bringt aber vermutlich nichts.
 
  • Gefällt mir
Reaktionen: purzelbär
Vielleicht wäre es sogar das Beste wenn er sein Windows, NAS und die VM alles komplett neu aufsetzt nachdem er eine Datensicherung gemacht hat, zusätzlich noch alle Passwörter evtl. ändern und auf die Mail würde ich auch nicht reagieren da war doch etwas mit Erpresser Mails das Hacker die verschicken und darin behaupten das man User auf Porno Seiten gehackt hätte und das aufgezeichnet habe und dafür Lösegeld verlangt.
 
  • Gefällt mir
Reaktionen: K3ks
@eRacoon Ja, danke für die Bestätigung. Ich hätte genau so reagiert aber man ist in solchen Situationen halt extrem unsicher, vorallem wenn das noch nie passiert ist. Sowas wie CloudSync nutze ich nicht, generell keine Cloud Dienste. Ich kann mir nicht genau erklären wie genau der das gemacht hat. Ich schätze mal irgendwie über 4chan? Ab und zu poste ich dort was, nur harmloses, bitte nicht direkt urteilen.
Den Text und die Bilder wollte ich auch bald wieder löschen. Hatte gehofft, dass die zusätzlichen Infos was bringen. Und ja natürlich habe ich eine Fritzbox.

Ich bin gerade dabei mein komplettes NAS zu scannen. Den HauptPC habe ich schon heute Mittag mit dem Defender komplett durchgescannt, da war zum Glück nichts. Ein kostenpflichtiges Antiviren-Programm würde ich mir dafür zur Not auch holen...

Edit noch eine Frage: Bei der Fritzbox alles per Hand neu einstellen oder kann ich auch die Einstellungen exportieren und dann nachm Platt machen wieder importieren? Ich schätze von Hand alles neu machen ist die bessere Lösung?

An alle: Ich wäre nicht so unruhig wenn ich nicht wüsste, dass das wirklich Dateien von mir sind! Dass es viele solcher Betrugsversuche gibt ist klar, das sind aber meist nur Copy-Paste Nachrichten ohne Beweise. Hier sind eben Beweise vorhanden.
In der Mail war auch noch eine .doc Datei mit einem Kündigungsschreiben inkl. Kontonummer, allerdings von einer Freundin. Das stammt noch aus einem Backup von ihr als ich ihr einen Rechner neu gemacht habe, ich Idiot habs vergessen zu löschen :rolleyes:

Also seine Anhänge zusammengefasst: 2 Pornobilder, eine Textdatei mit Passwörtern (belanglose Seiten), die .doc Datei, die 2 Screenshots die auch oben zu sehen sind sowie ein Screenshot von meinem Webbrowser.
 
Zurück
Oben