Ik ben geransomed, wat nu?

[Babylonia]

Mijn vraag is nu, wat te doen met de NAS, ik zag als versie 6.0 rechts onder staan.
Leidt het updaten van de firmware naar 7.1 tot een weer schone, dus veilige NAS?

Nee, updaten naar een andere versie DSM betekend NIET dat de NAS weer veilig is.
De DSM software staat namelijk op een aparte partitie van de NAS schijf,  dan waarop de data staat.

Je kon wel inloggen in de NAS, dus de partitie van de DSM software is schijnbaar niet aangetast.
De partitie met de data wel.

Als je inlogt op de NAS, en maakt verbinding met de besmette data-partitie.  Neemt daar bestanden van over,
heb je ook weer het risico, dat je de ransomware weer overneemt naar je eigen PC systeem?  Ondanks scannen met een virusscanner.
Er duiken altijd weer nieuwe varianten op, waarbij de definities nog niet in een virusscanner zijn opgenomen.

Om een schijf helemaal weer virusvrij te maken, het beste de partities volledig te verwijderen,
opnieuw weer in te delen en te formatteren (de data ben je toch al kwijt).  En dan alles weer opnieuw inrichten.

[robw1947]

Ik vermoed, dat onderstaande vraag hier niet thuis hoort alhoewel het wel met het onderwerp te maken heeft.

Vanmorgen de schijf uit de behuizing gehaald en aan een SATA poort van mijn test PC gehangen.
Met een Linux Reader on Windows prog de schijf vervolgens bekeken.
Uiteraard vond ik de map waaronder alle versleutelde foto en video bestanden staan.


Een onverlaat heeft dus de bestanden versleuteld en om losgeld gevraagd wat de bezitter van de NAS niet betaald heeft.
Nu vraag ik mij het volgende af:
- heeft die persoon voor dat versleutelen een progje op de NAS geplaatst?
- is dit progje ook weer nodig om de bestanden te herstellen als er wel betaald wordt?
OF gebeurt dit met een progje op afstand?
Samengevat, hoe werkt zo'n versleuteling en het terugdraaien daarvan.

Ik heb natuurlijk getracht hier iets van te kunnen vinden, maar voor mij een speld in een hooiberg, want waar moet je naar zoeken.

Overigens heb ik gisteren vele decryptor progs geprobeerd, die online te vinden zijn, maar helaas geen resultaat.
Ik heb begrepen, dat eerst de ID van de versleuteling moet worden vastgesteld, maar dat is ook niet gelukt.

[Babylonia]

Nu vraag ik mij het volgende af:
- heeft die persoon voor dat versleutelen een progje op de NAS geplaatst?

Nee, dat hoeft niet.  Het zou evengoed op een PC geplaatst kunnen zijn, bij dubieuze internet connecties.
Waarbij met inloggen van die PC met de NAS, de infectie en versleuteling ook op de NAS plaats vindt.

Zie eerdere onderwerpen:
https://www.synology-forum.nl/synology-dsm-6-2/risico-gebruik-van-oude-nas-op-dsm-6-2/msg330616/#msg330616
https://www.synology-forum.nl/firmware-algemeen/ransomware-43248/msg309183/#msg309183

Verder vergeet de medewerking van de hacker die geld vraagt, om het weer te ontsleutelen.
Want ook bij betaling, krijg je doorgaans alsnog geen sleutel om de encryptie ongedaan te maken.

Als er al überhaupt ontsleuteld zou worden, dan in ieder geval NIET op afstand,
want daarmee zou er een continue verbinding nodig moeten zijn met de hacker, en is de hacker meteen traceerbaar.
Bovendien kost het veel te veel tijd om alle data van een NAS over en weer via internet te laten gaan om "elders" te ontsleutelen.

Of er al direct ook "ontsleutel" software op de NAS is geplaatst, is ook maar de vraag?
Er zijn diverse methodes van versleutelen / ontsleutelen, en wijzen waarop hackers te werk gaan.

Zolang je niets weet over de wijze van versleuteling, en geen diepgaande kennis / onderzoek hebt gedaan van de gebruikte methode,
heeft het naar mijn idee weinig zin daar tijd en energie in te stoppen.   (Duur betaalde ICT-ers hebben daar al een hele kluif aan).
Heel vervelend, maar beschouw het maar gewoon als verloren data.

[reindu]

Ik gebruik de NAS niet meer, maar ik heb de schijven nog wel. Ik heb wel vrij veel gewiste bestanden terug kunnen halen, ook met hulp van mensen hier. Maar ik ben nog steeds heel veel kwijt. Alles is geransomed in.7z bestanden en daar kan je met decrypting niets mee, dacht ik. Wel heb ik sindsdien heel veel mensen ontmoet die ook te maken hebben gehad met een geransomede NAS, dus het fenomeen komt volgens mij veel meer voor dan men aanneemt.

[Birdy]

Het komt ook heel vaak voor en hoop het dan ook niet mee te maken.
Heb wel goede backups hier en elders.

[Briolet]

Nu vraag ik mij het volgende af:
- heeft die persoon voor dat versleutelen een progje op de NAS geplaatst?
- is dit progje ook weer nodig om de bestanden te herstellen als er wel betaald wordt?
OF gebeurt dit met een progje op afstand?
Samengevat, hoe werkt zo'n versleuteling en het terugdraaien daarvan.

Hier is geen universeel antwoord op te geven. Soms is de sleutel voor de hele ransomeware groep hetzelfde.  Vaker is de sleutel elke keer weer anders. In het laatste geval werd de sleutel soms verstopt op de nas achter gelaten. Vaker werd de sleutel achteraf opgestuurd, maar dan moet de aanvaller een hele boekhouding bijhouden van welke sleutel bij welke PC hoort.

Soms wordt zo'n groep opgerold en vind men een hele database met sleutels bij de criminelen. Dan heb je soms jaren later nog de mogelijkheid de boel te ontsleutelen.

Oftewel: er is geen standaard antwoord.

[robw1947]

Namens de eigenaar van de NAS naar 2 bedrijven een mail gestuurd met uitleg en een verzoek om een kostenplaatje.
Inmiddels een reactie binnen en dat was schrikken, zeker voor de eigenaar van de NAS.
Vooronderzoek 200,00 en indien herstel mogelijk dan 300,00 - 800,00 voor dit herstel, prijzen excl BTW.
Ik vrees, dat het andere bedrijf met soortgelijke bedragen zal komen.
Nog met het andere spoor bezig, het weer aan d praat krijgen van de externe HD.
Ook hiervoor enige bedrijven benaderd, maar nog geen reactie.
Voor mij zit het erop.

[Babylonia]

Maar ja, daar had ik je al voor gewaarschuwd (reactie #77). 

        "Zolang je niets weet over de wijze van versleuteling, en geen diepgaande kennis / onderzoek hebt gedaan van de gebruikte methode,
        heeft het naar mijn idee weinig zin daar tijd en energie in te stoppen.   (Duur betaalde ICT-ers hebben daar al een hele kluif aan)."

[Donkeyman]

Wat ellendig als je geransomd wordt! Ik heb alle maatregelen genomen om deze narigheid te minmaliseren en heb altijd twee backups. De security advisor van Synolgy vindt geen risico's, dus mijn nas zou veilig moeten zijn. Helaas kan men ook via de pc binnendringen, begrijp ik. Ik heb schijfletters van mijn nas in de verkenner geplaatst zodat ik er makkelijk bij kan, de hacker blijkbaar ook...
Up to date virusbescherming is geen luxe.
Als ik kijk in de logboeken van mijn nas zie ik dat er dagelijks diverse pogingen worden gedaan om binnen te dringen en dat vanuit vele landen op de hele wereld. Ik heb ingesteld dat na drie mislukte pogingen het desbetreffende ip adres wordt geblokkeerd, hopelijk is dat afdoende?

[Birdy]

Ik heb ingesteld dat na drie mislukte pogingen het desbetreffende ip adres wordt geblokkeerd, hopelijk is dat afdoende?

Binnen 10 of meer minuten ?

[Donkeyman]

3 aanmeldingspogingen, 5 minuten, deblokkeren na één dag.

[Birdy]

Het onderwerp over Security advisor heb ik gesplitst en staat hier.