QNAP Ransomware DeadBolt

[Jagnix]

Wie geil ist das denn ?

 

[FSC830]

Eine Deadbolt-Demo

 

[Mavalok2]

Keine Ausnahmen, auch nicht für den Hersteller. Aber das nenne ich mal multifunktional, wenn die Demo auch als Honeypot verwendet wird. So kann der Hersteller direkt an einer Lösung arbeiten.

 

[rednag]

Asustor hat darauf auch entsprechend reagiert:

https://www.asustor.com/de/news/news_detail?id=27970

 

[dolbyman]

Die haben irgendwie den Gleichen Grafikdesigner und Newsschreiber wie QNAP

https://www.qnap.com/de-de/security...re-version-gemeinsam-gegen-ransomware-kämpfen

 

[FSC830]

Was schreibt Asustor da:

aus o.a. link:


1. Ziehen Sie das Ethernet-Netzwerkkabel ab. -->ok und nachvollziehbar!

2. Schalten Sie Ihren NAS sicher aus, indem Sie die Netztaste drei Sekunden lang gedrückt halten. --> Filesystem adé, kein geregeltes Ausschalten!??

3. Schalten Sie Ihr NAS nicht ein, da dadurch Ihre Daten gelöscht werden. --> ? Evtl. verschlüsselt, aber gelöscht!???

Entweder habe ich die arbeitsweise von Deadbolt noch nicht verstanden, oder aber Asustor? Qlocker hat doch die Daten kopiert, dabei verschlüsselt und dann die original Datei gelöscht.
Deadbolt geht doch m.W. da etwas ausgebuffter vor und ist nicht so leicht auszuhebeln wie Qlocker?

Gut, das ich es nicht aus 1. Hand weiß

Gruss

 

[rednag]

Vielleicht ist ADM was das FS betrifft nicht so Divenhaft wie QTS

 

[FSC830]

Mag sein, dann ist da aber noch Punkt 3. Bei QNAP hiess es durch Aus-/Einschalten würde die Verschlüsselung unterbrochen.
Von einem Löschen der Daten war keine Rede.

Evtl. ist das ja die Omikron Variante von Deadbolt!??

 

[rednag]

Ich denke die Malware musste von der ursprünglichen Version auf Asustor NAS "angepasst/optimiert" worden sein.
Evtl. hat sich dadurch auch die Arbeitsweise des Schädlings verändert.

 

[dolbyman]

Grad mal ein Zitat aus dem Englischen Qnap Forum zum Thema deadbolt

https://forum.qnap.com/viewtopic.php?f=45&t=164797&start=855#p812730

I can't see the splash page, but they left a "!!!READ_ME.txt.deadbolt" and a "messages.7z.deadbolt" in my Public folder - but i can't read them - in a foreign language or random weird stuff - how do we read it, will it have the info I need to un ransom my files?

*.7z.deadbolt .. glaubt ihr ist echt oder doppeltroll ?

 

[tiermutter]

Doppelmalware

 

[tiermutter]

https://www.computerbase.de/2022-03...nd-asustor-ist-terramaster-ziel-von-deadbolt/
... Und es lohnt und lohnt und lohnt und lohnt sich

 

[Mavalok2]

Ist Synology bis jetzt verschont geblieben? Hätte eigentlich erwartet, dass hier was noch vor QNAP oder zumindest gleich danach aufschlägt. Aber vielleicht gibt es hier die Lücke ja nicht. Wenn es hier so verschiedene Hersteller erwischt, dann sieht dies mir aber nach einer Lücke im Linux oder einer der OpenSource Komponenten aus.

 

[dolbyman]

Ein paar DSM Probleme seh ich hier

https://www.synology.com/en-global/security/advisory
Aber schon länger keine Probleme wie Synolocker gesehen