Datenrettung nach Ransomware DeadBolt

Bereits im Jänner sorgte die Ransomware DeadBolt für eine beachtliche Infektionswelle unter QNAP, Asustor und TerraMaster Usern. Oper der Ransomware, die auf Backup-Medien spezialisiert ist, wurden und werden vor allem Privatpersonen und kleinere Unternehmen.

DeadBolt nutzte eine Sicherheitslücke, um die Files auf den NAS-Drives mit einer maßgeschneiderten AES128-Verschlüsselung unzugänglich zu machen. Als Lösegeld für die verschlüsselten Files wurden 0,03 Bitcoins (ungefähr 1.200 Euro) gefordert. Firmware-Updates halfen, DeadBolt zu stoppen.

Neue Angriffswelle auf QNAP-User

Die aktuelle Angriffswelle ähnelt der von Jänner stark. DeadBolt befällt Netzwerkspeicher von QNAP und überschreibt die Original-Dateien mit der verschlüsselten Variante, was die Chance auf Wiederherstellung reduziert.

Noch ist unklar, ob bei der aktuellen Welle auch neue Angriffswege genutzt werden oder die Angreifer nur auf ungepatchte Systeme abzielten. Wir empfehlen dringend, verfügbare Updates sofort zu installieren, um bekannte Exploits zu schließen, starke Passwörter zu nutzen und Standard-Ports und -Zugänge abzuändern.

Die Kriminellen hinter der Ransomware verlangen wieder dieselbe Lösegeldsumme von 0,03 Bitcoins und versuchen weiterhin, auch QNAP zu erpressen: Sie fordern 5 Bitcoin für Informationen zu der ausgenutzten Schwachstelle sowie 50 Bitcoin für einen Masterkey, um sämtliche verschlüsselten Daten wiederherzustellen.

Recover Script und Anleitung für QNAP und Asustor

Zwei österreichische Sicherheitsforscher haben ein Script geschrieben, mit dessen Hilfe es QNAP und Asustor-Usern gelingen kann, zumindest einen Teil der Daten zurückzubekommen. „Durch Abgleichen der Größe und Dateiendung der ursprünglichen und der nicht gelöschten Dateien können einige der Informationen wiederhergestellt werden“, so die Forscher, die bereits ein Recover-Script für die Ransomware Qlocker geschrieben hatten:

„Beachten Sie jedoch, dass Sie in den meisten Fällen nur einen kleinen Teil Ihrer Dateien wiederherstellen können!“

In einem Testfall konnten 10% der verschlüsselten Dateien wiederhergestellt und zusätzlich weitere 30%, die nicht verschlüsselt worden waren, gefunden werden.

Download zip-Datei (description: DeadBolt Recover Manual, q-recover script: DeadBold Recover Script)

Auch lesenswert:
Ransomware Qlocker: So stellen Sie Ihre Daten (großteils) wieder her

Quellen:
https://censys.io/deadbolt-ransomware-is-back/