Auteur Topic: Ik ben geransomed, wat nu?  (gelezen 25765 keer)

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1399
  • -Ontvangen: 8046
  • Berichten: 44.169
  • Fijne feestdagen.......
    • Truebase
Re: Ik ben geransomed, wat nu?
« Reactie #45 Gepost op: 16 oktober 2023, 11:34:52 »
Puur DSM gezien betekent dat slotje dat de map encrypted is.
Waarom zeg ik puur DSM gezien, omdat je nl zelf een encrypted Gedeelde Map kunt maken, ik heb er ook 1:


Ik denk ook dat die ransomware nog aanwezig is dus, terug naar fabrieksinstellingen is de juiste keuze.
Het is alleen de vraag of je die ransomware nog gaat tegenkomen in je backup die je met EaseUS Data Recovery hebt teruggehaald.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-8   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-8
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-8   DS220+    DSM 7.2.2-72806-2
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-2   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.2-65567                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline reindu

  • Bedankjes
  • -Gegeven: 8
  • -Ontvangen: 0
  • Berichten: 59
Re: Ik ben geransomed, wat nu?
« Reactie #46 Gepost op: 29 oktober 2023, 16:59:48 »
Ik heb mijn NAS nog niet gereset, ik heb nog een vage hoop, dat ik iets vind.
Op de gewiste USB-backup zit een file .quarantine. Als je die met text bekijkt staat er in:

SQLite format 3   @ M!!‚etablequarantinequarantineCREATE TABLE quarantine(    originalPath   TEXT     NOT NULL,    renamedName    TEXT     NOT NULL,    threat         TEXT     NOT NULL,    quarantineTime DATETIME NOT NULL), verder met een hoop NUL's.

Ach, bij nader inzien is dit vermoedelijk niet iets van de ransomer.

  • Mijn Synology: 213+
  • HDD's: 2x WD30EZRX-00

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1399
  • -Ontvangen: 8046
  • Berichten: 44.169
  • Fijne feestdagen.......
    • Truebase
Re: Ik ben geransomed, wat nu?
« Reactie #47 Gepost op: 29 oktober 2023, 17:15:43 »
Citaat
SQLite format lijkt wel het commando waarmee de disk is gewist.
Er staat: SQLite format 3
Nee, dat betekent alleen maar de SQLite Versie, dus Versie 3.

Citaat
Is zo'n .quarantine een soort Linux commando regel, zoals bij DOS .bat?
Nee, dit is een SQL Database create file, er staat bijvoorbeeld: CREATE TABLE quarantine met daarin de tabellen bijvoorbeeld tabel:
originalPath met de eigenschappen: TEXT   NOT NULL


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-8   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-8
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-8   DS220+    DSM 7.2.2-72806-2
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-2   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.2-65567                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline reindu

  • Bedankjes
  • -Gegeven: 8
  • -Ontvangen: 0
  • Berichten: 59
Re: Ik ben geransomed, wat nu?
« Reactie #48 Gepost op: 29 oktober 2023, 19:47:08 »
Dank je wel, Birdy. Ik had het al in de gaten, maar zag niet hoe ik mijn bericht kon deleten, alleen veranderen lukte.
  • Mijn Synology: 213+
  • HDD's: 2x WD30EZRX-00

Offline reindu

  • Bedankjes
  • -Gegeven: 8
  • -Ontvangen: 0
  • Berichten: 59
Re: Ik ben geransomed, wat nu?
« Reactie #49 Gepost op: 29 oktober 2023, 19:54:48 »
Ik heb de Ubuntu hyper back up geïnstalleerd, maar die herkent ook de .hbk directory niet, dus het is zeer waarschijnlijk dat de geresette NAS daar ook problemen mee heeft.

De opmerking van Briolet:
Soms gebruiken ze per slachtoffer een apart wachtwoord. Dan moeten ze zelf een administratie bijhouden welk slachtoffer welk wachtwoord nodig heeft. Soms staat er een hint hiervoor op de PC zelf die ontsleuteling mogelijk maakt. Maar alles hangt van de specifieke ransomeware af en dan heb je een expert nodig die kan inschatten of er een mogelijkheid is.

Kan ik via Linux niet een zoek opdracht bij de NAS doen voor een lijst van de meest recente files?
Weet jij een expert?
  • Mijn Synology: 213+
  • HDD's: 2x WD30EZRX-00

Offline DSGebruiker

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 5
  • -Ontvangen: 119
  • Berichten: 761
Re: Ik ben geransomed, wat nu?
« Reactie #50 Gepost op: 29 oktober 2023, 20:05:43 »
Probeer eens iets als hieronder (voor uit als root ofzo zodat je nergens geen permission issues hebt)
Je kan dat uitvoeren in een bepaalde folder ofzo.

find . -printf "%T@ %Tc %p\n" | sort -n

%Tk: File's last modification time in the format specified by k.
@: seconds since Jan. 1, 1970, 00:00 GMT, with fractional part.
c: locale's date and time (Sat Nov 04 12:02:33 EST 1989).
%p: File's name.

Offline reindu

  • Bedankjes
  • -Gegeven: 8
  • -Ontvangen: 0
  • Berichten: 59
Re: Ik ben geransomed, wat nu?
« Reactie #51 Gepost op: 29 oktober 2023, 21:50:42 »
DSGebruiker, mij zijn de parameters niet erg duidelijk, maar misschien kan jij dat meteen: ik wil alle files na 4-10-2023 zien, wat is dan het commando? Muv .7z en .zip (anders laat hij dan alle .7z en .zip files zien, die toen gemaakt zijn). Is zoiets mogelijk?
  • Mijn Synology: 213+
  • HDD's: 2x WD30EZRX-00

Offline DSGebruiker

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 5
  • -Ontvangen: 119
  • Berichten: 761
Re: Ik ben geransomed, wat nu?
« Reactie #52 Gepost op: 29 oktober 2023, 22:09:04 »
Experimenteer hier een beetje mee ;

https://www.cyberciti.biz/faq/linux-unix-osxfind-files-by-date/

Of zoiets als :

find . -type f -newermt '1/30/2017 0:00:00' (geeft alle bestanden weer AANGEPAST sinds de opgegeven datum)

Die "newerXY' kan je aanpassen, zie die web-link:

The letters X and Y can be any of the following letters:

a – The access time of the file reference
B – The birth time of the file reference
c – The inode status change time of reference
m – The modification time of the file reference
t – reference is interpreted directly as a time

Daarnaast kan je de "find" aanpassen om bepaalde dingen te excluden, zoals ZIP/7Z of zoiets.

find . -type f \( ! -name "*.zip" -and ! -name "*.7z" \) -newermt '4/10/2023 0:00:00'

Probeer zoiets eens. Dit heeft de CHANGED files weer na 04/10/2023, met uitzondering van *.zip and *.7z en de zoektoch start in de huidige folder (vandaar de "." bij het find-commando)

Offline reindu

  • Bedankjes
  • -Gegeven: 8
  • -Ontvangen: 0
  • Berichten: 59
Re: Ik ben geransomed, wat nu?
« Reactie #53 Gepost op: 12 november 2023, 20:39:11 »
Ik ben weer bezig met de corrupte hyper backup. Het is ongelofelijk frustrerend om 1.5 Tb aan buckets te hebben met je eigen files die je niet kunt bereiken. Als ik met Hyper Backup op SynologyHyperBackup.bkpi klik, meldt hij meteen: 'Bewerking mislukt'. Ik heb eens gekeken op een goede mini-backup wanneer je die melding kan krijgen, het ligt niet aan de lege bkpi-file, ik heb daar de attributen van veranderd, maar als ik de target_info.db  in de config directory verander krijg ik ook bewerking mislukt. Ergens in de startup is de pointer verkeerd, denk ik, werkt Hyper met absolute adressen op de HD?
  • Mijn Synology: 213+
  • HDD's: 2x WD30EZRX-00

Offline eFfeM

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 7
Re: Ik ben geransomed, wat nu?
« Reactie #54 Gepost op: 15 december 2023, 15:14:55 »
TL:DR files recoveren van een disk met deze ransomware bij RAID1 kan door een van de disks aan een PC te hangen en het programma qphotorec te gebruiken.

------

Ik ben geen Synology gebruiker maar een paar dagen geleden kwam er een heel verdrietige Synology bezitter naar me toe die ook deze ransomware op zijn systeem had. En uiteraard had ie niet van alle data een backup.
(stom, heb ik hem ook verteld).

Nieuwsgierig als ik ben wilde ik toch wel eens kijken wat er aan de hand was, en of ik misschien toch iets kon recoveren.
En het goede nieuws is dat er een mogelijkheid is om in ieder geval een gedeelte (en misschien wel alle) data terug te halen.

Dit is wat ik gedaan heb:
Het systeem bestond uit twee disks in RAID-1 configuratie (dus mirrorred) met daarop een btrfs filesystem.
Ik heb een van de disks uit de nas gehaald en in een Linux PC gestopt. Ik had het idee om het btrfs filesystem readonly te mounten en te bekijken maar dat lukte  niet. fsck.btrfs en btrfs check  zeiden dat er problemen waren met het filesysteem (en mijn kennis van btrfs was niet zodanig dat ik een repair aandurfde (want het was een 8 TB disk en ik had geen grotere disk liggen om eerst een image te trekken)

Daarna ben ik aan de slag gegaan met het forensic programma autopsy (https://github.com/sleuthkit/autopsy) maar die wist geen raad met lvm raid volumes.

Uiteindelijk ben ik terecht gekomen bij het programma qphotorec. Hier is daar info over: https://www.cgsecurity.org/wiki/PhotoRec
en dit is de download pagina: https://www.cgsecurity.org/wiki/TestDisk_Download
Ik heb het programma qphotorec gestart; dat liet me de data partitie van de NAS disk selecteren (in mijn geval /dev/sdc5) en  de plek waar de gevonden data naar toe moest en daarna kon ik files gaan recoveren. Het is mogelijk om alleen bep types te recoveren, maar ik kreeg er een heleboel files uit incl een aantal foto's die niet gebackupped waren.

Ik heb dit dus gedaan op een linux PC omdat ik daar een SATA disk op kon aansluiten. Hoe het onder windows werkt: geen diee, vast ongveeer hetzelfde. En als je geen PC hebt maar alleen een laptop dan kun je de disk ook vast vai een USB<->SATA controller aan je laptop hangen.  Het lijkt erom dat je qphotorec zlefs op een DSM kunt draaien (met output op een externe USB schijf)  maar ik zou dat ten zeerste afraden omdat er dan meer kans is op data corruptie.
En je hebt dus een andere disk nodig (mag USB zijn waar je de gerecoverde data op kunt zetten.

Werkt dit ook op een Mac: waarschijnlijk wel. Ik heb geen Mac dus dat kan ik niet verifieren.
Wordt alle data gerecoverd: geen idee, ik heb daarover nog geen contact gehad met de eigenaar van de NAS.
Hoe lang duurt het: de disk was een 8TB WD drive. Het lijkt erop dat het processen van die disk een uur of 15 duurt (op mijn systeem, maar  ik denk dat de disk transfer rate de bottleneck is).
(stukje math: de 8TB WD Red disk heeft een max read speed van 178 MB/s, dat betekent dat lezen van alle sectoren dus minimaal 12.5 uur duurt (8000000/178 seconden)

Gezien de resultaten van fsck.btrfs denk ik dat de ransomware vooral iets doet met de administratie (en misschien de files delete).

En misschien werkt dit ook doordat er waarschijnlijk op deze nas alleen data bijgezet is en dat daardoor alle blokken van de fille achter elkaar staan. Of dit het geval is weet ik verder niet.
Ik heb niet alle fotos bekeken, alleen een paar samples en dat zag er goed uit.
Er komt nog wel een heleboel junk mee (sql databases, thumbnails, log files etc etc).

Anyway, ik hoop dat de topic starter of iemand anders hier wat aan heeft (en daarom  heb ik dit account en deze post even gemaakt).

Succes ermee!

Edit: ik weet eigenlijk niet precies hoe ze binnengekomen zijn, maar ik vermoed via SMB (die misschien niet goed geconfigureerd is).
Ik weet niet of er echt ransomware geinstallleerd is op de NAS of dat er alleen via remote files gemanipuleerd zijn.

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1399
  • -Ontvangen: 8046
  • Berichten: 44.169
  • Fijne feestdagen.......
    • Truebase
Re: Ik ben geransomed, wat nu?
« Reactie #55 Gepost op: 15 december 2023, 16:41:05 »
Sorry maar, als het ransomware betreft, dan is de data versleuteld en heeft recoveren toch geen zin ?
Tenzij het ooit verwijderde data betreft die je nog kon recoveren.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-8   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-8
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-8   DS220+    DSM 7.2.2-72806-2
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-2   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.2-65567                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1399
  • -Ontvangen: 8046
  • Berichten: 44.169
  • Fijne feestdagen.......
    • Truebase
Re: Ik ben geransomed, wat nu?
« Reactie #56 Gepost op: 15 december 2023, 17:15:49 »
Overigens, je kunt ook op de NAS zelf recoveren met photorec.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-8   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-8
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-8   DS220+    DSM 7.2.2-72806-2
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-2   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.2-65567                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline reindu

  • Bedankjes
  • -Gegeven: 8
  • -Ontvangen: 0
  • Berichten: 59
Re: Ik ben geransomed, wat nu?
« Reactie #57 Gepost op: 15 december 2023, 19:04:57 »
Ik heb dezelfde reactie als Birdy, bij mij zit alles in zip files met een wachtwoord, dus dan helpt het toch niet? Je zegt: 'die ook deze ransomware op zijn systeem had', vermoedelijk is dit een andere.
  • Mijn Synology: 213+
  • HDD's: 2x WD30EZRX-00

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.581
Re: Ik ben geransomed, wat nu?
« Reactie #58 Gepost op: 15 december 2023, 22:28:52 »
Sorry maar, als het ransomware betreft, dan is de data versleuteld en heeft recoveren toch geen zin ?
Tenzij het ooit verwijderde data betreft die je nog kon recoveren.

Als je iets versleutelt maak je doorgaans een nieuw gecodeerde file aan en wist* daarna het origineel. En ik dacht dat het btrfs systeem nog meer 'bescherming' geeft voor gewiste files. Dus dat hij recent vrijgegeven datablokken niet direct weer hergebruikt, mits er nog andere zijn.

* Goede ransomware gaat natuurlijk eerst de oude file met ruis overschrijven voordat hij hem wist.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline eFfeM

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 7
Re: Ik ben geransomed, wat nu?
« Reactie #59 Gepost op: 16 december 2023, 12:29:06 »
Sorry maar, als het ransomware betreft, dan is de data versleuteld en heeft recoveren toch geen zin ?
Tenzij het ooit verwijderde data betreft die je nog kon recoveren.

Ransomware betekent niet per definitie dat de data versleuteld is. Je kunt bij een PC bv ook de access tot de PC blocken.
En je zou bv ook als je low level disk access hebt de data directory kunnen verkloten of renamen.
Als het slachtoffer maar ziet dat de data niet accessible is en denkt dat die op de een of andere manier te recoveren is.
En misschien haal ik inderdaad alleen data op van gedelete files. Dat weet ik verder niet, want ik weet niet precies wat er op de nas stond.
Ik zie de eigenaar binnenkort weer; dan komt ie een grote disk brengen waar ik nog een keer op ga proberen te recoveren.
Ik laat nog wel weten hoe het afloopt.

Overigens, je kunt ook op de NAS zelf recoveren met photorec.

Dat kan inderdaad, geef ik eeerder ook aan maar vanuit een data recovery of forensic punt is dat niet aan te bevelen omdat het dan kan dat je data overschrijft met data die je nog wilt redden. Het zal voor een enkele file wel meevallen, maar ik zou als je dit doet in ieder geval de gerecoverde data naar een externe usb disk schrijven.


Als je iets versleutelt maak je doorgaans een nieuw gecodeerde file aan en wist* daarna het origineel. En ik dacht dat het btrfs systeem nog meer 'bescherming' geeft voor gewiste files. Dus dat hij recent vrijgegeven datablokken niet direct weer hergebruikt, mits er nog andere zijn.

* Goede ransomware gaat natuurlijk eerst de oude file met ruis overschrijven voordat hij hem wist.

Het gaat de ransomware auteur niet om de beste ransomware te schrijven. Het is ook  minimalisatie van effort. En oude file met ruis overschrijven (of nullen dat maakt niet uit) om 'm te scrubben kost wel veel tijd. Bij de WD RED disk die ik heb liggen kost het alleen al 12.5 uur om 8 TB weg te scrhijven. Nou zat de disk niet helemaal vol dus misschien kost het maar 8 uur maar aan de andere kant gaat er ook tijd verloren aan disk seeks etc.

Ik heb dezelfde reactie als Birdy, bij mij zit alles in zip files met een wachtwoord, dus dan helpt het toch niet?

Zit alles in een zip file of heb je een heleboel zip files? Eentje per directory? Eentje per map?
En weet je zeker dat het echte zip files zijn en niet files die toevallig .zip heten.
Je kunt met unzip -lv <zipfile> zien wat er in de zipfile zit. En je kunt dan ook zien of de grootte van de zip file matched met wat er in de file zit.

Als de data inderdaad in een gencrypte zip file zit dan is de kans klein dat je iets kunt recoveren. Het wachtwoord van de zip is vast zodanig lang dat brute force recovery heeeeel lang gaat duren.

Wat betreft

Je zegt: 'die ook deze ransomware op zijn systeem had', vermoedelijk is dit een andere.
Ik heb de nas niet aan gehad, ik heb alleen de disk geinspecteerd, maar er  stond wel de "Diskstation Security" message op de schijf die ook aan het begin van deze thread staat (zo ben ik hier ook gekomen, googlen op die string)

In ieder geval: ik krijg binnenkort een 5T disk om op te recoveren. Hopelijk is die groot genoeg.
En, zoals het er nu bij staat heb ik 68.000 foto's terug kunnen halen na processing van 15% van de disk.
Geen idee of het wel of niet gebackupte foto's waren, want ik weet dus niet wat de eigenaar van de NAS wel of niet gedaan heeft.
Nadat ik een recovery run over de hele schijf gedaan heb zal ik nog wel eens op de NAS kijken of er een zip op staat, maar tot die tijd blijft de schijf strikt read-only.