Datenrettung nach Ransomware DeadBolt

25. März, 2022

Recover Script für Ransomware DeadBoltBereits im Jänner sorgte die Ransomware DeadBolt für eine beachtliche Infektionswelle unter QNAP, Asustor und TerraMaster Usern. Oper der Ransomware, die auf Backup-Medien spezialisiert ist, wurden und werden vor allem Privatpersonen und kleinere Unternehmen.

DeadBolt nutzte eine Sicherheitslücke, um die Files auf den NAS-Drives mit einer maßgeschneiderten AES128-Verschlüsselung unzugänglich zu machen. Als Lösegeld für die verschlüsselten Files wurden 0,03 Bitcoins (ungefähr 1.200 Euro) gefordert. Firmware-Updates halfen, DeadBolt zu stoppen.

Neue Angriffswelle auf QNAP-User

Die aktuelle Angriffswelle ähnelt der von Jänner stark. DeadBolt befällt Netzwerkspeicher von QNAP und überschreibt die Original-Dateien mit der verschlüsselten Variante, was die Chance auf Wiederherstellung reduziert.

Noch ist unklar, ob bei der aktuellen Welle auch neue Angriffswege genutzt werden oder die Angreifer nur auf ungepatchte Systeme abzielten. Wir empfehlen dringend, verfügbare Updates sofort zu installieren, um bekannte Exploits zu schließen, starke Passwörter zu nutzen und Standard-Ports und -Zugänge abzuändern.

Die Kriminellen hinter der Ransomware verlangen wieder dieselbe Lösegeldsumme von 0,03 Bitcoins und versuchen weiterhin, auch QNAP zu erpressen: Sie fordern 5 Bitcoin für Informationen zu der ausgenutzten Schwachstelle sowie 50 Bitcoin für einen Masterkey, um sämtliche verschlüsselten Daten wiederherzustellen.

Recover Script und Anleitung für QNAP und Asustor

Zwei österreichische Sicherheitsforscher haben ein Script geschrieben, mit dessen Hilfe es QNAP und Asustor-Usern gelingen kann, zumindest einen Teil der Daten zurückzubekommen. „Durch Abgleichen der Größe und Dateiendung der ursprünglichen und der nicht gelöschten Dateien können einige der Informationen wiederhergestellt werden“, so die Forscher, die bereits ein Recover-Script für die Ransomware Qlocker geschrieben hatten:

„Beachten Sie jedoch, dass Sie in den meisten Fällen nur einen kleinen Teil Ihrer Dateien wiederherstellen können!“

In einem Testfall konnten 10% der verschlüsselten Dateien wiederhergestellt und zusätzlich weitere 30%, die nicht verschlüsselt worden waren, gefunden werden.

Download zip-Datei (description: DeadBolt Recover Manual, q-recover script: DeadBold Recover Script)

Auch lesenswert:
Ransomware Qlocker: So stellen Sie Ihre Daten (großteils) wieder her

Quellen:
https://censys.io/deadbolt-ransomware-is-back/

Microsoft Outlook Exploit
Tiktok-Verbot auf Diensthandys
OSINT-Tools
Bedrohungserkennung in Echtzeit
Ransom-(D)DoS-Angriffe
Virus-Glaskugel
Password Spraying
insider threat
ein verlassener Tisch und Sessel mit geschlossenem Laptop, darauf eine Brille und daneben eine Maus
secure online gaming
Security
Cyber Security Awareness
Markus Riegler
Gerd Altmann / Pixabay

API-Sicherheit optimieren

destroy

Wiper-Malware

WIR FREUEN UNS AUF SIE!

IKARUS Security Software GmbH
Blechturmgasse 11
1050 Wien

Telefon: +43 (0) 1 58995-0
Sales Hotline: +43 (0) 1 58995-500

SUPPORT-HOTLINE:

Support-Infoseite

Support-Hotline:
+43 (0) 1 58995-400

Support-Zeiten:
Mo bis Do: 8.00 – 17.00 Uhr
Fr: 8.00 – 15.00 Uhr

Fernwartung:
AnyDesk Download