Nas Daten durch Ransomware verloren, wie Festplatten formatieren?

[SeeEmAge95]

Hallo!

Nun ist es mir auch mal passiert, Mein QNAP NAS ist Opfer von Ransomware geworden und alle 19TB an Daten sind verloren. Naja nicht ganz, da ich immer ein Backup auf Externe, nur zum Backup angeschlossenen Festplatten mache. Jetzt jedoch habe ich 4 Festplatten die wohl befallen sind. Wie formatiere ich diese richtig, sodass keine Gefahr für andere Rechner ausgeht?

Und noch dazu: Wie konnte das passieren? Habe immer den Vierenschutz aktualisiert, nur deutsche IPs zugelassen und wirklich vorsichtig mit Daten umgegangen. Natürlich waren Ports für meinen Plex Server offen, sonst aber nichts. Andere Computer sind nicht betroffen und es ist auch nicht auffälliges im Netzwerk gewesen.

 

[conf_t]

nur deutsche IPs zugelassen

Natürlich waren Ports für meinen Plex Server offen, sonst aber nichts

Überhaupt eine Internetfreigabe zum NAS steht im krassen Widerspruch zu. Warum muss ganz Deutschland Zugriff auf dein Plex haben? VPN! Stichwort Zero-Day-Exploits.

wirklich vorsichtig mit Daten umgegangen.

Offensichtlich nicht.


Festplatten an einem PC anschließen an dem die eigentlichen HDDs / SSDs abgestöpselt sind und ein LiveLinux mit GParted starten und die NAS HDDs formatieren.

 

[DFFVB]

Und noch dazu: Wie konnte das passieren?

Da musst du forschen, Port forwards sind immer so ne Sache... QNAP per se ans Netz zu hängen, auch über deren eigenen Dienste ist eine Gefahr. Gibt ja regelmäßig Lücken hier. Upnp im Router aktiviert?

 

[Dr. McCoy]

Wie formatiere ich diese richtig, sodass keine Gefahr für andere Rechner ausgeht?

Am besten ein Live-System (LInux) booten und darüber alle bestehenden Partitionen löschen, dann neue anlegen.

Und noch dazu: Wie konnte das passieren?

Sicherheitslücken im NAS. Das kann an Deinem Versäumnis gelegen haben, keine aktuelle Firmware installiert zu haben. Außerdem ist das NAS offenbar von Dir auch ganz simpel aus dem Web verfügbar gemacht worden. Das bietet natürlich Angriffsfläche. Es gibt Netzwerkmalware im Web, die laufend IP-Adressbereiche auf verwundbare Systeme hin abscannt und bei Auffinden mittels Exploitkits automatisch ausnutzt.

Habe immer den Vierenschutz aktualisiert,

Es ist eine fatale Fehlannahme, dass eine Virenschutz-Software jegliche (neue) Malware erkennen und am Anrichten von Schäden hindern könne. Wenn man sich im Schwerpunkt darauf verlässt, ist man verlassen.

 

[madmax2010]

Habe immer den Virenschutz aktualisiert,

Für die statistik: welcher Virenschutz.
Grundsaetzlich gilt aber, dass die meisten Antivirenprogramme den Großteil der Zeit mehr schaden als nutzen. Sie reißen sicherheitsluecken auf, die ohne sie nicht da wären und sie deaktiviren gute existente Schutzmechanismen.

nur deutsche IPs zugelassen und wirklich vorsichtig mit Daten umgegangen.

das mit geolocation auf IP Basis ist so eine Sache. Was ist eine deutsche IP für dich? Die RIPE arbeitet in ganz Europa

Natürlich waren Ports für meinen Plex Server offen

Dinge die eine sicherheitsluecke offen haben, die aus dem Internet erreichbar sind, sind trivial angreifbar.
mietet sich jemand fuer 5 cent/stunde einen Server in DE, scannt alle IPs ab die er erreichen kann, infiziert alle ziele und kuendigt den Server wieder. Dauert ca 10-15 Minuten


Welche Synology war das genau? Wann hat die letztes mal Updates bekommen?

Grundsätzlich aber: Starte ein beliebiges Linux vom Stick. Mach die platten mit dem dortigen Formatierungsprogramm platt und fertig.
Kann man Bei Synology das Betriebssystem heutzutage noch neu installieren?

 

[BFF]

Wie konnte das passieren?

Es kann auch einfach ein Geraet in Deinem Netz gewesen sein, was die Daten per der AV zum Zeitpunkt unbekanntem "Virus" auf dem NAS gekillt hat.

Wie sind die Daten verloren? Verschluesselt?

 

[Ranayna]

QLocker konnte doch auch zuschlagen, wenn man diesen QNAP Cloudservice aktiv hatte wenn ich mich richtig erinnere?
Damit baut das NAS eine Verbindung zu einem QNAP Server auf, ueber den dann von ueberall eine Verbindung zum NAS vermittelt werden kann. Portweiterleitungen sind dann nicht noetig.
Und das war angreifbar.

Wenns wirklich QLocker war ist auch ggf. nicht alles verloren:
https://www.ikarussecurity.com/security-news/qlocker/

 

[madmax2010]

Wie ich bei diesem BS immer k**** könnte.

@Dr. McCoy hat aber schon recht.

Man kann ihm ja schlecht raten ein OS zu starten, dass noch genutzt werden soll, in dem vermutlich irgend ein antiviren programm oder sosnt was sich dann potentiell erst mal das angeschlossene medium ansieht und dann.. Naja lassen wir das.

Eine Begruendung faende ich jedenfalls auch interessant. Hast du eine loesung, die man besser an die hand geben kann? Findest du den hinweis auf die gegebene Art suboptimal?

 

[Manou]

Wie formatiere ich diese richtig

Also bei meinen NAS-Systemen musste ich die HDDs immer über das Betriebsystem der NAS formatieren!