Ransomware.... Unraid

Kam heute ausm Urlaub und...

Joa, hier mal die txt Datei die meinem Unraid beiliegt:

All your files have been encrypted with 0XXX Virus.
Your unique id: C3F6483BC0BE47889C2340A03BE3A1D3
You can buy decryption for 500$USD in Bitcoins.

To do this:
1) Send your unique id C3F6483BC0BE47889C2340A03BE3A1D3 and max 3 files for test decryption to [email protected]
2) After decryption, we will send you the decrypted files and a unique bitcoin wallet for payment.
3) After payment ransom for Bitcoin, we will send you a decryption program and instructions. If we can decrypt your files, we have no reason to deceive you after payment.

Also after payment we will give you some tips to protect yourself from this in the future.

FAQ:
Can I get a discount?
No. The ransom amount is calculated based on the number of encrypted office files and discounts are not provided. All such messages will be automatically ignored.
What is Bitcoin?
read bitcoin.org
Where to buy bitcoins?


or use google.com
Where is the guarantee that I will receive my files back?
The very fact that we can decrypt your random files is a guarantee. It makes no sense for us to deceive you. Moreover, it would hurt our business.
How quickly will I receive the key and decryption program after payment?
As a rule, within a few minutes or hours, but very rarely there may be a delay of 1-2 days.
How does the decryption program work?
It's simple. You need to copy the key and select a folder to decrypt. The program will automatically decrypt all encrypted files in this folder and its subfolders.


Kann ich da irgendwas machen?
Aus der Parity wiederherstellen?
Hatte, weil mir auffiel, dass ich kaum noch Filme in meiner Plex-Mediathek hatte einmal das Unraid neugestartet ( heute morgen über Remote/WebUI ) dabei hat sich der ParityCheck gestartet den ich jetzt bei 68% abgebrochen hab... ich glaub das ist mies oder?

Oder kann ich doch die Daten aus meiner Parität irgendwie wiederherstellen?
Hab das Passwort direkt mal geändert, war eigentlich vorher schon gut, hat aber jetzt die 3-Fache länge ( und noch mehr Zahlen, Groß/Klein usw ).
Wundert mich, dass der Russe da rein kam weil ich ja fail2Ban eingeschaltet hatte...

Was ist nun das sinnvollste vorgehen?
Formatieren und alles neu oder?

//Edit:
Nach dem was ich recherchiert habe besteht wohl maximal die einzige Möglichkeit darin zu bezahlen. Wobei das wohl auch mit den Risiken verbunden ist, dass er es immer wieder macht.
Ich werd mal wohl noch abwarten bis einer von euch evtl ne Lösung hat. So wie ich das einschätzen kann ist der Hu******* wohl über den SMB Port reingegangen. Also 445 oder halt RDP. Es ist auch "nur" alles verschlüsselt was bei mir über die Freigabe "Lokaler Austausch" lief. Der Rest blieb unversehrt.
Interessant wo ich gedacht hätte, dass wenn mal jemand reinkommt es entweder über den DynDNS läuft oder über die WebDAV-Freigabe.


Ansonsten werd ich mein Unraid-Server wohl erstmal vollständig "Platt" machen und alles formatieren um sicher zu gehen.

Im Anschluss werd ich das ganze Ding dann komplett anders absichern. Grade was die Freigaben angeht war ich wohl zu naiv. In Zukunft dann nur vreshclüsselt usw

Hast bzw. hattest du denn Port 445 in deinem Router für Unraid geöffnet?

Japp. War ziemlich dumm. Hab jetzt alles formatiert, alle Ports geschlossen. War ja "zum Glück" nur die Filmsammlung. Muss ich halt ne Meeeeenge neu ziehen.

Ankotzen tut es mich natürlich dennoch.

@MrHonk : Was empfiehlst du generell noch für Mechanismen usw um vor sowas abgesichert zu sein

Ja, anstatt zig Ports zu öffnen nutze das in Unraid integrierte Wireguard als VPN-Verbindung. Damit musst du nur einen einzigen Port öffnen, nämlich den, den du zuvor unter Einstellungen -> VPN-Manager definiert hast (Standard ist 51820 UDP). Von Wireguard gibt es für alle mir bekannten Betriebssysteme Clients, sodass du mit denen jeweils eigene VPN-Verbindungen zu deinem Heimnetz herstellen kannst. Danach funktioniert der Zugriff auf deine Freigaben so, als wären die Geräte bei dir lokal im Heimnetz. Ist auf jeden Fall die sicherste Variante.

Naja paar Ports muss ich doch auch Freigeben für die GameServer z.B oder auch für Plex für WebUi usw oder seh ich das falsch?

GameServer ja, aber das sind ja keine Ports, über die normalerweise in ein System eingefallen wird. SMB-Freigaben über Port 445 sind ja schon seit Jahren bekannt dafür, dass Hacker sich darüber relativ einfach Zugang verschaffen können.
Plex muss nicht unbedingt über einen Port freigegeben werden, aber das kannst du natürlich insofern machen, als das du da auch den Port selber frei wählen kannst und du einen auswählst, der weit abseits von den gebräuchlichen Ports liegt - jedenfalls wenn du das System von außerhalb ansprechen willst. Du kannst bei jedem Router sagen, das z.B. Port 59080 extern auf den internen Port 8080 (oder welchen du für die Plex UI nimmst) geleitet wird.

445 ist doch so beliebt, da gibt es doch honeypots die dem angreifer vorgaukeln er wäre reingekommen. Wollte ich vor Jahren mal machen, weil irgendein Idiot unbedingt auf meinen raspiserver wollte. Damals hat's meine Fähigkeiten noch überstiegen. Keine Ahnung ob ich es heute hinbekommen würde.

Bestimmt würdest du das heute hinbekommen.

P-F-S schrieb:

Bitte, Anmelden oder Registrieren um den Inhalt zu sehen!

Zum Vergrößern anklicken....

Hat diese Freigabe unbeschränkte Schreibrechte?

Das alles macht nämlich nicht den Eindruck als wäre da jemand auf das NAS selbst gegangen, sondern auf irgend ein anderes System in deinem Netzwerk (z.B. Router sind anfällig, weil sie wegen ihrem Linux-Unterbau wunderbare Möglichkeiten bieten in eine potente Shell zu gelangen...).
Ich hab jetzt Unraid selber noch nie benutzt, aber hat das Zugrifflogs? Also das man sehen kann von welcher IP in deiner Abwesenheit da diese Schreibzugriffe kamen?

wenn der typ gut war sind die logs gelöscht, aber stimmt, gar nicht nachsehen wäre falsch.

Es gibt im Netz gerade bzgl. dieser Ransomware schon ne ganze Menge zu lesen und in einem englischsprachigen Forum, welches sich auf Ransomware spezialisiert hat, war die überragende Gemeinsamkeit die, dass die betroffenen Personen Port 445 für den Zugriff von außen freigegeben hatten. Beim Lesen schrieb keiner, dass es sich explizit um nur-lese-Freigaben gehandelt hatte, deswegen würde ich von Schreibrechten ausgehen (die wollten von extern einfach an ihre Daten kommen und damit arbeiten).

Schwer zu sagen, also von nem anderen Rechner hier im Haus oder so kann er sich keinen Zugriff verschafft haben, da das passiert ist als wir in den Urlaub waren. Komischer Zufall... Aber naja...

Über die Fritzbox an sich kann natürlich sein, aber nachdem was ich gelesen habe ( hab auch nach Fällen genau von ihm unter anderem gegoogelt ) läuft das wohl meist über den SMB Port 445.

In den Logs konnte ich zumindest auch nichts davon sehen, dass er sich irgendwo auf meinem Unraid eingeloggt hat. Hab alle Login's / IP's überprüft und da waren nur meine Zugriffe bei.

Folgendes denke ich mal ist auf ihn zurück zu führen:

Bitte, Anmelden oder Registrieren um den Inhalt zu sehen!

Zum Vergrößern anklicken....

Sry, hab's übersichtlicher gemacht.

Bitte, Anmelden oder Registrieren um den Inhalt zu sehen!

Zum Vergrößern anklicken....

Sehe ich das richtig, das bei Dir @P-F-S in der Log alles auf den Port :443 geschehen ist und nicht über :445?
Ich bin ehrlich, all das hier übersteigt aufgrund fehlender Erfahrungen aus erster Hand meinen Kenntnissstand bei weitem...
Aber hey, in ein paar Wochen geht meine Umschulung zum IT-Systeminformatiker / Systemintegration los (Anwendungsentwicklung = Programmieren = NO FUCKING WAY 4 ME!!! ), also lerne ich ich nicht nur übers Amt, sondern dank Euch auch VON Euch!

Die Webzugriffe sehen nach einem ganz gewöhnlichem Script aus, was schaut ob Angriffsmöglichkeiten bei den vorhandenen Web-Diensten zu finden sind. Diese Art von Zugriffen sehe ich quasi täglich bei mir auf den Servern.

Aber da ich erst später im weiteren Thread-Verlauf gelesen habe, dass du SMB ins Netz gestellt hast, ist halt klar was das Problem ist. Insbesondere wenn es eine Freigabe ist, die weiter keine Berechtigungen braucht, kann da ja jeder Dödel drauf und Unsinn treiben.

Sowas gibt man nicht im Netz frei. Das ist ein No-Go. Wenn man Filesharing Dienste braucht, sucht man sich dann was passendes wie Nextcloud, Owncloud, Filerun usw... Da hat man WebDAV und kann es besser absichern.
Besser ist es aber in jedem Fall, Dateien nur über VPN erreichbar zu machen.

Edit:
Das ganze erinnert mich an ein Hotel in Österreich, in dem ich mal gelangweilt saß, vor... ähm... 15 Jahren oder so. Und im Hotel WLAN auch noch andere Geräte zu finden waren, unter anderem ein Notebook das eine Freigabe mit diversen Filmen hatte. Da hatte ich dann was zu gucken. Hab eine eine Dank.TXT hinterlassen mit dem Rat, seine Shares vielleicht nicht so frei dahin zu legen, immerhin lägen da ja auch "interessante" persönliche Dokumente - unter anderem eine Steuererklärung...

xNecromindx schrieb:

Bitte, Anmelden oder Registrieren um den Inhalt zu sehen!

Zum Vergrößern anklicken....

RAUS AUS MEINEM KOPF,DÄMON!

Vor 20-25 Jahren war WLAN echt noch so eine unsichere Unmöglichkeit, das waren noch Zeiten.
Selbst vor 12 Jahren oftmals noch ein Witz gewesen.
Im örtlichen Klinikum gesessen, meinen Dad nach seiner Fußamputation während der Aufwachphase überwacht.
Aus Langeweile einen alten Panasonic Toughtbook dabei gehabt. Hauptsächlich nur, um S-NES-Games emulieren zu können.
Lange Rede, null Sinn...
Internet übers Klinikum-WLAN war nur über einen Tagespass der TKom für 4.99-€ möglich.
ZUGRIFF auf extrem viele Patientengeräte...kostenlos, aber unbezahlbar xD

Und nein, ich habe keinen Unfug betrieben. Nur meine Neugier in diesem neuen Kosmos, genannt "Extra-Net" befriedigt.
Und glaubt mir... jeder Mensch ist ein Abgrund.

Genau mein Humor XD @xNecromindx
ich wäre wohl fieser gewesen: alles in nen neuen ordner verschieben und erst ganz unten in der txt darauf hinweisen.

@xNecromindx : Ja das mit den Freigaben war wirklich dumm von mir. Hatte das wie gesagt mal Testweise gemacht, fands blöd und hatte dann über nen WebDav Docker ne Freigabe gemacht von der dann nen Kollege aus auch zugreifen konnte, mit Username und Passwort. die Daten die ich in den Ordner/die Freigabe für den WebDav-Docker geklatscht hab sind auch nicht betroffen gewesen.

Ich war nur so dumm und hatte vergessen die Ports für SMB wieder in der Fritzbox zu bei den Freigaben zu entfernen.

@GuyFawkes667 Das hatte ich gar nicht gesehen. Der Port 443 war bei mir frei für den Docker von dem DynDNS No-Ip. Ist natürlich krass wenn das sogar über den Port lief. Muss dann mal schauen wie ich das in Zukunft mache. Denn die GameServer waren ja über den DynDNSort erreichbar. Wenn ich den 443 aber dafür nicht mehr nutzen kann ist das mies. Mal schauen

@tastebin Danke fürs zusammenfassen ^^

Über Port 443 wird garantiert nichts gekommen sein, das ist DER Port für HTTPS, also dem verschlüsselten Datenverkehr.