Hat hier schon jemand Bekanntschaft mit der .qweuirtksd-Ransomeware gemacht und hat Erfahrung mit dem Entfernen... (Mix)

Hat hier schon jemand Bekanntschaft mit der .qweuirtksd-Ransomeware gemacht und hat Erfahrung mit dem Entfernen...

Mac & macOS – Instructor, Duisburg, Bremen, 16.12.2018

Es sieht so aus, dass mein Zyxel-NAS gekapert wurde - Fast alle Videofiles sind verschlüsselt und haben die Endung .qweuirtksd hinter dem Dateiformat erhalten! In jeden Verzeichnis liegt eine Textdatei:

Attention, all your files are encrypted with the AES cbc-128 algorithm!

It's not a virus like WannaCry and others, I hacked your computer,
The encryption key and bitcoin wallet are unique to your computer,
so you are guaranteed to be able to return your files.

But before you pay, you can make sure that I can really decrypt any of your files.

To do this, send me several encrypted files to , , a maximum of 5 megabytes each, I will decrypt them
and I will send you back. No more than 5 files. Do not forget to send in the letter bitcoin address 1Pa1X8XBxNuMo4M9k3VSxiMtcziYQY9DGS from this file.

Do not complain about these email addresses, because other people will not be able to decrypt their files!

After that, pay the decryption in the amount of 500$ to the bitcoin address: 1Pa1X8XBxNuMo4M9k3VSxiMtcziYQY9DGS
After payment, send me a letter to , with payment notification.
Once payment is confirmed, I will send you a decryption program.

You can pay bitcoins online in many ways:
https://buy.blockexplorer.com/ - payment by bank card
https://www.buybitcoinworldwide.com/
https://localbitcoins.net

About Bitcoins:
https://en.wikipedia.org/wiki/Bitcoin

If you have any questions, write to me at ,

As a bonus, I will tell you how hacked your computer is and how to protect it in the future.

Habe gerade schon gegoogelt - das Problem ist ja bei mir, dass nicht der Mac infiziert ist, sondern mein NAS! Suche jetzt eine Möglichkeit, evtl. Dateien zu entschlüsseln und zu retten - aber ob das möglich ist?

Jemand noch eine Idee?
- Was mich stutzig macht: Beim Stichwort qweuirtksd zeigt DuckDuckGo etliche Treffer auf Websites mit ominösen Adressen. Die Suche bei …
  
  Mac & macOS – vatolin, 16.12.2018
  
  … Heise hingegen kennt das Stuchwort überhaupt nicht.
  
  ----------
  
  #ehrenamt #macht #freizeit #sinnvoll
- Sehe ich auch so wie vatolin.
  
  Mac & macOS – JoergH, Hamburg, La Matanza de Acentejo, 16.12.2018
  
  Was ich mal probieren würde, ich gehe davon aus, dass du kein weiteres Backup hast, weil sonst wäre der Fall ja einfach zu lösen, ich würde das ominöse Suffix einfach mal gegen das originale tauschen. Also sowas wie qweuirtksd -> mp4
  
  Ich könnte mir vorstellen, dass man sich durch das Herunterladen der Software von diesen ominösen Hilfeseiten erst was einfängt, was dann richtig verschlüsselt.
- - Ich werde das Morgen mal testen - die Dateien sind alle vom 11.12.18 in einem Zeitraum von ungefähr 15 Uhr...
    
    Mac & macOS – Instructor, Duisburg, Bremen, 16.12.2018
    
    ...bis 20 Uhr entstanden! Ich musste vor einiger kurzfristig den Zugang zu meinem NAS per DynDnS (noip.com) und Portweiterleitung einrichten - darüber muss es dann irgendwie zu einem Zugriff gekommen sein? Das NAS fährt morgens 8 Uhr hoch und nachts 2 Uhr runter. Auf der Freigabe sind alle meine Filme (runtergeladen aus Mediathek oder otr) gespeichert - Backup leider nicht vorhanden!
  - - Hauptsache du lädst dir keine komische Software zum Entschlüsseln herunter.
      
      Mac & macOS – JoergH, Hamburg, La Matanza de Acentejo, 17.12.2018
      
      Die meiste Ramsomeware wird von Laien eingesetzt. Die kaufen sich im Internet Software und Zugänge und dann geht es los.
      
      Deshalb kann ich mir vorstellen, dass man da evtl. Glück haben kann, weil in die Qualität der Ramsomesoftware nicht viel investiert wurde.
    - - Ja, die meiste Software ist sowieso nur für PC! Unter OSX gab es keinen Malware...
        
        Mac & macOS – Instructor, Duisburg, Bremen, 17.12.2018
        
        Weiß ja nicht wie anfällig das System des Zyxel-NAS ist und wie ich da was entfernen könnte?
      - Ja, die meiste Software ist sowieso nur für PC! Unter OSX gab es keinen Malware...
        
        Mac & macOS – JoergH, Hamburg, La Matanza de Acentejo, 17.12.2018
        
        Wenn es nicht hilft das Suffix zu ändern und es wirklich verschlüsselt ist, dann kannst du die Platte nur platt machen. Mit Entfernen ist da nichts, weil du den Schlüssel ja nicht hast.
        
        Platt machen bzw. besser Platte ausbauen und erstmal liegen lassen
        
        Mac & macOS – <gelöscht>, 17.12.2018
        
        manchmal tauchen Entschlüsselungstools nach einer Weile auf.
        
        Dazu am besten bleepingcomputer.com im Auge behalten, dort gibt es auch einen Thread zu diesem Schädling https://www.bleepingcomputer.com/forums/t/684349/qweuirtksd-ransomware-support-topic-readmetodecrypttxt/
        
        Das NAS würde ich auf jeden Fall komplett zurücksetzen, da man nicht weiß, von wo aus die Verschlüsselung erfolgte. Es kann theoretisch auch eine Anwendung sein, die auf dem NAS läuft, bei der z.B. ein nachgeladenes Paket Schadcode beinhalten könnte.
        
        Selbst für mein uraltes ZyXEL NAS kann man zig Pakete nachladen oder von externen Quellen installieren. Und wenn dort ein Schädling drin wäre, würde der beim reinen Plattentausch auch die neue Platte wieder verschlüsseln.
        
        Und wenn man sieht welche alten Firmwarestand z.B. mein NAS hat (das ich jetzt nur zu Dokumentationszwecken entstaubt habe)
        
        ist man sicher gut beraten, ihm nicht auch noch zu erlauben, selber Ports zu öffnen. Aktuelle Linux Kernels haben 4.x.
        
        Oder wenn man sich die nachladbaren Pakete ansieht, die man per einfachem Klick installieren kann:
        
        ownCloud ist mittlerweile auf 10.x und Wordpress auf 5.x und welche PHP, MqSQL, phpMyAdmin Version als abhängige Pakete dann installiert würden, wollen wir uns lieber gar nicht vorstellen.
        Da sämtliche Bugs älterer Versionen für Angriffe genutzt werden können und auch rückwirkend immer gut dokumentiert sind, steht man ziemlich offen und wehrlos da.
        
        Kann man alles noch verwenden, wenn sichergestellt, daß das NAS 100%ig im internen Netz bleibt.
        
        Wieso sollte es unter OSX keine Malware geben? n/t
        
        Mac & macOS – 86837294, 17.12.2018
        
        Nein, ich meinte die ominöse Software zum angeblichen Entfernen dieser .qweuirtksd-Malware! n/t
        
        Mac & macOS – Instructor, Duisburg, Bremen, 17.12.2018
    - kurze Frage: warum "musstest" du einen Zugang einrichten? n/t
      
      Mac & macOS – ulf, 17.12.2018
    - - Ich wollte von unterwegs aus Zugriff auf das NAS haben...
        
        Mac & macOS – Instructor, Duisburg, Bremen, 17.12.2018
        
        Habe den Zugang mit DynDNS und Portweiterleitung aber danach nicht wieder deaktiviert! Meine O2-Box unterstützt leider kein VPN - für mich jetzt ein Grund den Router zu wechseln - Fritzbox! Den DynDNS-Namen kenne eigentlich nur ich - möchte jetzt erstmal rausfinden, wie der Zugriff erfolgt ist?
      - Das hat mit dem DynDNS auch nichts zu tun, wenn "die" nach offenen Ports suchen scannen die sowieso IP Ranges ab
        
        Mac & macOS – <gelöscht>, 17.12.2018
        
        Sieht man auch Shodan, die regelmäßig das Netz abscannen und gefundene offene Ports in einer Datenbank veröffentlichen
        https://www.shodan.io/explore
        
        Damit sich nicht jeder registrieren muß ein willkürliches Beispiel für "offen erreichbare" Elastic Search Datenbanken
        https://www.shodan.io/search?query=port%3A9200+json
- Sieht man denn in dem Zeitraum irgendetwas im Log des NAS?
  
  Mac & macOS – <gelöscht>, 17.12.2018
  
  Mein altes 310er hat das Log unter Wartung > Protokoll
- - Nein, im Log des NAS ist nichts zu sehen m/i
    
    Mac & macOS – Instructor, Duisburg, Bremen, 17.12.2018
    
    Das NAS startet täglich um 8:00 Uhr (bis 2:00 Uhr nachts) - um 20 Uhr bekomme ich eine E-Mail mit dem Log zugeschickt - da ist nichts zu sehen (dass sich jemand eingeloggt hat)!
    
    - Die meisten .qweuirtksd-Dateien sind vom 11.12.2018 (Zeitraum Nachmittag bis Abend)
    - Es gibt auch noch .mp4s ohne die Endung vom 11.12.2018, welche ich auch nicht öffnen kann!
    - Dann gibt es noch .qweuirtksd-Dateien mit dem "alten" ursprünglichen Datum, welche ich nach umbenennen wieder abspielen kann!
    - Auf dem Zyxel-NAS habe ich mehrere Freigaben eingerichtet (Installer, Video, Musik) - es ist nach erster Kontrolle nur die Video-Freigabe betroffen - sonst keine!
    - Ich habe noch eine alte Version von OwnCloud auf dem NAS installiert, welche ich aber nur mal zu Testzwecken installiert hatte - die habe ich jetzt gelöscht - evtl. kam da ein Zugriff drüber?
- Ich denke, dass der Zugriff evtl. über Port 445 erfolgt ist - dieser Port war nämlich auch weitergeleitet...
  
  Mac & macOS – Instructor, Duisburg, Bremen, 17.12.2018
  
  ...sogenannte SambaCry(pt) Sicherheitslücke o.ä.!?
  
  Jetzt habe ich erstmal DynDNS deaktiviert und die Portweiterleitung gelöscht!
  
  Die Frage ist jetzt, ob sich noch irgendwo Malware versteckt hat - auf dem MBP ist nichts - kann man irgendwie das NAS überprüfen - und ob ich die unberührten mp4s noch retten kann? Auf der einen Platte des NAS sind (wie schon geschrieben) mehrere Freigaben (Dateien, Video, Audio), die zusammen ca. 1,7GB ausmachen! Auf einer zweiten HDD habe ich meine iTunes-Bib als Backup (von der internen MBP-Platte). Das ganze sollte Anfang nächsten Jahres eigentlich mit größeren Platten aufgerüstet werden, weil es von den Videos eben auch kein Backup gibt! Doof das...