TL:DR files recoveren van een disk met deze ransomware bij RAID1 kan door een van de disks aan een PC te hangen en het programma qphotorec te gebruiken.
------
Ik ben geen Synology gebruiker maar een paar dagen geleden kwam er een heel verdrietige Synology bezitter naar me toe die ook deze ransomware op zijn systeem had. En uiteraard had ie niet van alle data een backup.
(stom, heb ik hem ook verteld).
Nieuwsgierig als ik ben wilde ik toch wel eens kijken wat er aan de hand was, en of ik misschien toch iets kon recoveren.
En het goede nieuws is dat er een mogelijkheid is om in ieder geval een gedeelte (en misschien wel alle) data terug te halen.
Dit is wat ik gedaan heb:
Het systeem bestond uit twee disks in RAID-1 configuratie (dus mirrorred) met daarop een btrfs filesystem.
Ik heb een van de disks uit de nas gehaald en in een Linux PC gestopt. Ik had het idee om het btrfs filesystem readonly te mounten en te bekijken maar dat lukte niet. fsck.btrfs en btrfs check zeiden dat er problemen waren met het filesysteem (en mijn kennis van btrfs was niet zodanig dat ik een repair aandurfde (want het was een 8 TB disk en ik had geen grotere disk liggen om eerst een image te trekken)
Daarna ben ik aan de slag gegaan met het forensic programma autopsy (
https://github.com/sleuthkit/autopsy) maar die wist geen raad met lvm raid volumes.
Uiteindelijk ben ik terecht gekomen bij het programma qphotorec. Hier is daar info over:
https://www.cgsecurity.org/wiki/PhotoRecen dit is de download pagina:
https://www.cgsecurity.org/wiki/TestDisk_DownloadIk heb het programma qphotorec gestart; dat liet me de data partitie van de NAS disk selecteren (in mijn geval /dev/sdc5) en de plek waar de gevonden data naar toe moest en daarna kon ik files gaan recoveren. Het is mogelijk om alleen bep types te recoveren, maar ik kreeg er een heleboel files uit incl een aantal foto's die niet gebackupped waren.
Ik heb dit dus gedaan op een linux PC omdat ik daar een SATA disk op kon aansluiten. Hoe het onder windows werkt: geen diee, vast ongveeer hetzelfde. En als je geen PC hebt maar alleen een laptop dan kun je de disk ook vast vai een USB<->SATA controller aan je laptop hangen. Het lijkt erom dat je qphotorec zlefs op een DSM kunt draaien (met output op een externe USB schijf) maar ik zou dat ten zeerste afraden omdat er dan meer kans is op data corruptie.
En je hebt dus een andere disk nodig (mag USB zijn waar je de gerecoverde data op kunt zetten.
Werkt dit ook op een Mac: waarschijnlijk wel. Ik heb geen Mac dus dat kan ik niet verifieren.
Wordt alle data gerecoverd: geen idee, ik heb daarover nog geen contact gehad met de eigenaar van de NAS.
Hoe lang duurt het: de disk was een 8TB WD drive. Het lijkt erop dat het processen van die disk een uur of 15 duurt (op mijn systeem, maar ik denk dat de disk transfer rate de bottleneck is).
(stukje math: de 8TB WD Red disk heeft een max read speed van 178 MB/s, dat betekent dat lezen van alle sectoren dus minimaal 12.5 uur duurt (8000000/178 seconden)
Gezien de resultaten van fsck.btrfs denk ik dat de ransomware vooral iets doet met de administratie (en misschien de files delete).
En misschien werkt dit ook doordat er waarschijnlijk op deze nas alleen data bijgezet is en dat daardoor alle blokken van de fille achter elkaar staan. Of dit het geval is weet ik verder niet.
Ik heb niet alle fotos bekeken, alleen een paar samples en dat zag er goed uit.
Er komt nog wel een heleboel junk mee (sql databases, thumbnails, log files etc etc).
Anyway, ik hoop dat de topic starter of iemand anders hier wat aan heeft (en daarom heb ik dit account en deze post even gemaakt).
Succes ermee!
Edit: ik weet eigenlijk niet precies hoe ze binnengekomen zijn, maar ik vermoed via SMB (die misschien niet goed geconfigureerd is).
Ik weet niet of er echt ransomware geinstallleerd is op de NAS of dat er alleen via remote files gemanipuleerd zijn.
