Ik ben geransomed, wat nu?

[reindu]

Vanavond ontdekt dat alles versleuteld is.

Een txt file:

Hello.
This is DiskStation Security.
What happened?
- Your Network was not secure.
- Your Network-Attached Storage was compromised.
What does this mean? Where are my files?
- All your data has been encrypted and moved to a special volume.
- All your important documents have been downloaded.
What can I do to recover my data?
- If you want to recover your data, you have to send 0.02 Bitcoin to this wallet address:

Het komt neer op €500. Ik vrees dat ik er aan moet geloven. Inderdaad alles is gecomprimeerd en kan alleen met een wachtwoord open.

De synology was gisteren wel opeens aan het ratelen, maar op de synologypagina stond de mededeling dat hij aan het comprimeren was, ik dacht iets van het Synology OS. Ook mijn backup HD zat nog nalatig in de usb. Stom, stom, maar het is gebeurd.

Wat zijn mijn opties nog?

[Birdy]

Tja, er is maar 1 optie: betalen en maar hopen dat je de key krijgt.
Tenzij je er nog achter kan komen welke ransomware het is.
Misschien kan je de extenties zien?
Misschien heeft het weer iets te maken met Wordpress, zoals vorig jaar februari ?

Overigens, was die USB HD je enige backup of wisselde je de HD regelmatig.

[reindu]

Het zijn zip files, winrar ziet ze gewoon. extensie .7z of .zip, en dan vraagt hij wachtwoord.

[Basalt]

Weet je zeker dat je usb disk ook encrypted is?

Bij een Hyperback zou ik verwachten dat alleen de NAS zelf daarbij kan. Dus als het toch encrypted is dan heeft de ransomware op de NAS zelf gedraaid (niet op je PC)?

[jr212]

Ik zal nooit betalen. Wordt in bijna in alle landen ook gezegd door justitie!
Heb je een back-up? Ja==> alles her installeren beter wachtwoord kiezen en back-up terug; nee ==> groot probleem

[reindu]

Basalt:Weet je zeker dat je usb disk ook encrypted is?

Nee. Het begon ermee, dat ik de NAS niet op het netwerk meer zag. Ik heb eerst panisch met ethernetkabeltjes zitten hannesen. Toen met windowsnetwerk kwam ik op iets waarvan ik dacht dat het de usbshar was, maar nu weet ik het niet meer zeker.
Ik kan wel via de webinterface op de NAS komen en in file station zie ik dan een aantal zip files met namen van mijn vroegere stations, met extensie .7z of .zip.
Hyper Backup was niet meer geinstalleerd. Ik heb hem nu geinstalleerd, maar ik moet nu alles opnieuw instellen en hij ziet geen taken meer.
Ik zal morgen daarmee verder gaan als ik weer wat rustiger ben. Eerst het usb diskje op mijn gewone pc bekijken. Kan je met je windows pc iets met die bestanden van Hyper Backup?

Het lijkt me, dat de ransomsoftware op de NAS staat, want de NAS heeft alles gecomprimeerd.

In het briefje staat:
Can I still use my nas?

- Do not delete any files you find on your nas.
- Do not try to recover your data using any software as it will not work.
- Do not modify any volumes or storage pools on your nas.
- Do not write large amounts of data to your disk.
- Do not restart or power on/off your synology multiple times. It will result in archive corruption!

Why have my files been downloaded?

- We reserve the right to leak or sell all your important documents, if you don't contact us.

[Birdy]

Eerst het usb diskje op mijn gewone pc bekijken. Kan je met je windows pc iets met die bestanden van Hyper Backup?

Het ligt eraan welke Backup methode je hebt gebruikt.
Of de backap is gewoon leesbaar (tenzij het een Linux file systeem is (bv EXT4) of is niet leesbaar en is een container.
Voor die laatse is er PC software: Synology Hyper Backup Explorer, hier te downloaden.

[reindu]

Mijn PC heeft nog een multiboot en ik heb met Linux op de backup-HD  gekeken. Er staan wat lege directories op: @eadir, @tmp met daarin ook weer lege dirs @tmp en @pplepriv@te.

[Basalt]

...of is niet leesbaar en is een container. Voor die laatse is er PC software: Synology Hyper Backup Explorer.

In geval van een container: die heeft als file name extensie .hbk
Als dat .7z (oid) is geworden dan hebben ze die ook te pakken genomen, en hoef je Synology Hyper Backup Explorer niet te proberen.

[reindu]

Ik heb de Hyper Explorer geinstalleerd, maar mijn Windows ziet de Usb-HD niet.

[Birdy]

Je hebt ook Hyper Explorer voor Ubuntu & Fedora (64 bits, bz2)

[Babylonia]

Het lijkt me, dat de ransomsoftware op de NAS staat, want de NAS heeft alles gecomprimeerd.

Tenzij de data op je PC niet is versleuteld, is de kans groot dat het alleen de NAS betreft.
Heb dat bij een kennis namelijk ook eens meegemaakt, waarbij de ransomsoftware op de PC stond,
en via de "open" thuisnetwerk verbinding van zijn PC met de NAS, zowel data op PC als data op de NAS werden versleuteld.

[Birdy]

Deze lijken erop, alleen de aanhef is anders:
https://www.bleepingcomputer.com/forums/t/780850/synology-hacked/
https://www.bleepingcomputer.com/forums/t/769484/seven7even-security-nas-ransomware-please-read-me-txt-support-topic/

Zou ook zeker even hier kijken: https://www.nomoreransom.org/nl/index.html

[Briolet]

Gezien de tekst en de links van Birdy lijkt dit me inderdaad ransomeware die op de nas draait. Dus een nieuwere variant van de "Seven/7even Security (NAS)" en de  "Umbrella Security Ransomware".

En gezien de aanhef "This is DiskStation Security." lijkt me deze versie specifiek voor de Synology nas gemaakt. Want daar is "DiskStation" de default naam voor de nas.

Dan lijkt het me waarschijnlijk dat ze ook de externe USB schijf meegenomen hebben. Voor software op de nas is het schrijven op de USB schijf geen extra belemmering.

[reindu]

Ik heb een tijdje niet gereageerd want ik ben op mijn pc bezig en behoorlijk paranoïde voor internet thuis. Ik ben heel erg dankbaar voor jullie reacties, het heeft me weer aan de gang gebracht. Ik heb bedacht, dat de ransomer misschien de usb disk alleen maar gewist heeft.
Ik heb EaseUS Data Recovery  gedownload en ben begonnen. De gratis versie mag 24 uur draaien, dat leek mooi. Maar hij is nu al twee dagen  bezig met de 1,5 terra, nu met de betaalde versie. Ik was heel blij om de extensie .hbk te zien!! Hij is nu op 50 % op een andere usb disk. Dan kan ik met Hyper Explorer aan de gang op de pc. Nogmaals, door jullie hulp gloort er wat hoop. Ik heb ook wat bedrijven gebeld om hulp maar die waren erg somber., ze konden niet veel doen Een van hen stelde, dat als je betaalde, de kans groot is dat je niks krijgt en alleen maar een verzoek om meer.