Auteur Topic: Ik ben geransomed, wat nu?  (gelezen 5508 keer)

Offline aliazzz

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 97
  • -Ontvangen: 163
  • Berichten: 1.363
  • Yum yum brains...
Re: Ik ben geransomed, wat nu?
« Reactie #60 Gepost op: 16 december 2023, 23:16:49 »
Hey, probeer "john the ripper" eens met een brute force dictionary aanval op dat password.

https://www.openwall.com/john/

Bijv. via kali linux

Openwall wordlists collection full version - paid download - $27.95
https://www.openwall.com/wordlists/


Tis maar een suggestie!


Vergeet ook vooral niet om AANGIFTE te doen bij de politie! Dit kan je zomaar uiteindelijk het password opleveren.
DS415+ 4*4TB SHR5 Btrfs, 8 GB RAM
DS1515+ 5*3TB SHR5 Btrfs 16 GB RAM
DX513 4*6TB SHR5 Btrfs
RT6600ax meshed 1 x RT2600ac, 3 x MR2200ac

Homelab;
HP Proliant DL360 Gen9 (aka Pizzabox)
2*XEON E5-2697A V4 total: 32C/64T
256GB RAM, 20TB RAID5 SSD Cluster

Offline eFfeM

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 7
Re: Ik ben geransomed, wat nu?
« Reactie #61 Gepost op: 17 december 2023, 16:59:39 »
Ik denk dat een brute force dictionary aanpak veel zin heeft. Ik verwacht dat de ransomware maken een lang random gegenereerd wachtwoord gebruikt.

En ik heb geen idee of ie aangifte gedaan heeft, maar ik zal het  suggereren. Ik betwijfel zelf of dat wel enig nut heeft.

Offline eFfeM

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 7
Re: Ik ben geransomed, wat nu?
« Reactie #62 Gepost op: 24 december 2023, 13:04:38 »
Ik heb via photorec  3.4 TB terug kunnen halen.
Duurde wat langer omdat er een issue in photorec zat waardoor bij bleef hangen.
Als topc starter nog steeds de geransomde disk heeft zou ik zeker photorec er eens op loslaten.

Ik heb daarna de disks nog een keer in raid opstelling aan mijn PC gehangen.
In eerste instantie kon ik ze niet mounten; het bleek dat mijn kernel te nieuw was.
Op advies van https://www.reddit.com/r/synology/comments/u6y5qm/has_anyone_found_a_solution_for_mounting_synology/ heb ik mijn linux systeem geboot met een 4.15.0 kernel en toen kon ik de disk wel mounten.

Inspectie leverde dat er een 2.2 TB photos.7z op stond en een 0.5 TB homes.7z file.
Mijn inschatting is dat de ransomware de 7z gemaakt heeft en daarna de files gedelete heeeft (maar niet gewiped met zero's of zo) en dat daarom photorec nog veel terug kon halen.

Het password van de 7zip file cracken is waarschijnlijk vrijwel ondoenlijk en ik kon zo 1-2-3 ook niets vinden op de schijf wat lijkt op een password. Wel kun je met 7z -l de listing van de 7z file opvragen en evt aan de hand van de size van de file de naam van een fdoor photorec herstelde file fixen.

Offline eFfeM

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 7
Re: Ik ben geransomed, wat nu?
« Reactie #63 Gepost op: 31 maart 2024, 17:58:11 »
Nog een (waarschijnlijk laatste) post van mij  in deze thread:

Na de recovery heb ik een presentatie hierover gegeven voor 040coders. Zie hier voor de pdf.

na de presentatie heb ik ook de disk van @reindu gehad. Dit was een ext4 disk. Daar ben ik met R-Linux mee aan de slag geweest maar dat leverde maar matige resultaten op. Misschien dat er nog iets gebeurd is met de disk nadat ie geransomed was.

En nog wat later vond ik het commericele programma UFS Explorer. Dat leek wel iets, dus ik heb van mijn vriend de nas disk nog een keer teruggevraagd. De resultaten van UFS Explorer waren verbluffend. Er werd veel meer data gerecovered dan met photorec of met btrfs-rescue. Er is ook een goedkopere versie (met iets minder functionaliteit). Die heet recovery explorer of R explorer.
Maar dat is dus erg goed in het terughalen van verdwenen btrfs bestanden (en misschien ook van andere filesystems dat heb ik verder niet getest)

Hopelijk helpt deze info iemand.
Have fun! Frans

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 838
  • -Ontvangen: 1421
  • Berichten: 7.664
Re: Ik ben geransomed, wat nu?
« Reactie #64 Gepost op: 31 maart 2024, 21:18:52 »
Na de recovery heb ik een presentatie hierover gegeven voor 040coders. Zie hier voor de pdf.

Lezende de PDF viel me dit op:

Why did this work?
●Data on NAS were rarely deleted, so most
  files were written continuously
●Disk was untouched after hack
●Hacker did not scrub remaining disk


Dat het een "mirror" indeling betrof. Ofwel geen versnipperde RAID data over meerdere schijven verdeeld.
Dat maakt het allemaal een stuk eenvoudiger.  En dat het vooral om Nikon RAW fotobestanden zou gaan.

Verder allerlei toestanden bij terughalen van bestanden dat die bestanden bij recovery worden hernoemd.
Dat hernoemen schiet niet op, want betekent dat je achteraf duizenden bestanden alsnog moet uitzoeken,
om het weer in een enigszins kloppende indeling van voorheen weer opnieuw te moeten indelen.

Dat was pakweg 20-25 jaar geleden ook mijn ervaring met een speciaal daarvoor aangeschaft recovery programma.
Die hetzelfde deed - hernoemen van bestanden.  Praktisch gezien had je er dus eigenlijk niets aan.
Want kost na recovery alsnog maanden tijd om het in een nieuwe vorm te reorganiseren.
Heb toen nog een aantal programma's vergeleken, die ook niet voldeden.

Totdat ik "R-Studio" File recovery ontdekte. Een programma wat alle directory's en bestandsnamen intact hield.
Schijnbaar "lege" niet te benaderen harddisks, kon ik doorgaans alle data weer van terughalen.
Eenvoudig in gebruik bovendien.  Zonder er zelf veel extra tijd voor te hoeven investeren.

Ik vermoed "toen al" een van de betere programma's, want bestaat nu nog steeds.
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline eFfeM

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 7
Re: Ik ben geransomed, wat nu?
« Reactie #65 Gepost op: 01 april 2024, 11:43:42 »
Damn, waarom laat dit forum geen posts toe als VPN actief is (en is alles wat ik getypt heb weg).

Anyway, nog een keer:
Met raid5 was het ook wel gelukt maar dan had ik alle disks aan de PC moeten hangen. Daar had ik dan wel wat voor moeten verbouwen om de nodige sata poorten vrij te spelen. En daarna met mdadm de raid te assembleren.

R-Linux wat ik voor Rein gebruikt heb is uit de R-Studio familie. Ik heb ook naar R-Studio gekeken maar dat ondersteunde als ik het me goed herinner geen btrfs.

De nas van mijn vriend had ook redelijk wat jpegs. Op zich door iets als photorec goed te recoveren, want de files zijn niet al te groot en worden in 1 keer geschreven dus de data staat vaak in opeenvolgende blokken. Verder is er een goede header die ook nog size info geeft.

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 838
  • -Ontvangen: 1421
  • Berichten: 7.664
Re: Ik ben geransomed, wat nu?
« Reactie #66 Gepost op: 01 april 2024, 19:32:11 »
Met raid5 was het ook wel gelukt maar dan had ik alle disks aan de PC moeten hangen.

Nee, daar was het niet mee gelukt.  Eerder schreef je:

Het systeem bestond uit twee disks in RAID-1 configuratie (dus mirrorred).....

Twee schijven zijn überhaupt niet in RAID-5 te configureren.  (Of in die indeling uit te lezen).
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1349
  • -Ontvangen: 7851
  • Berichten: 43.424
  • Beter een muisarm dan een apestaartje
    • Truebase
Re: Ik ben geransomed, wat nu?
« Reactie #67 Gepost op: 01 april 2024, 19:36:39 »
Daarbij, met RAID1 is het veel makkelijker, je hebt dan maar 1 HD nodig. ;D


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.3-25426-2   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.1-69057-5
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 6.2.4-25556-7   RT2600ac  SRM 1.2.5-8227-11
BeeDrive   1TB             BeeServer  BSM 1.0-65162                                                                 MR2200ac  SRM 1.2.5-8227-11

Offline eFfeM

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 7
Re: Ik ben geransomed, wat nu?
« Reactie #68 Gepost op: 02 april 2024, 13:02:11 »
Met raid5 was het ook wel gelukt maar dan had ik alle disks aan de PC moeten hangen.

Nee, daar was het niet mee gelukt.  Eerder schreef je:

Het systeem bestond uit twee disks in RAID-1 configuratie (dus mirrorred).....

Twee schijven zijn überhaupt niet in RAID-5 te configureren.  (Of in die indeling uit te lezen).

Mijn opmerking ging over een evt raid-5 configuratie. Dan zijn er inderdaad meer disks en dan had ik dus wat sata poorten vrij moeten maken. Met twee disks kun je uiteraard alleen RAID-0 of RAID-1 doen.
Voor het herstellen kun je bij RAID-1 met een van de twee disks volstaan. Voor RAID-0 heb je alle disks nodig.
RAID 2 en 3 heb ik nog nooit gezien, wordt nooit gebruikt.
RAID-4 is zeldzaam, heeft een aparte parity disk, dan  kun je met een kapotte disk nog verder.
RAID-5 is de standaard multi-disk raid met gedistribueerde pariity. Kan een kapotte disk opvangen.
RAID-6 is met double parity, dan is er geen data loss met twee kapotte disks.

Daarbij, met RAID1 is het veel makkelijker, je hebt dan maar 1 HD nodig. ;D
Weet ik, zie boven,je kunt zo'n enkele disk ook onder linux mounten (wil je recovery zaken doen zou ik dat wel read-only doen)

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 838
  • -Ontvangen: 1421
  • Berichten: 7.664
Re: Ik ben geransomed, wat nu?
« Reactie #69 Gepost op: 02 april 2024, 13:30:39 »
....(wil je recovery zaken doen zou ik dat wel read-only doen)

Dat is de allereerste basisregel bij recovery, om niets naar opslagmedia zelf te schrijven, waar je data van wilt terughalen.

DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1349
  • -Ontvangen: 7851
  • Berichten: 43.424
  • Beter een muisarm dan een apestaartje
    • Truebase
Re: Ik ben geransomed, wat nu?
« Reactie #70 Gepost op: 11 mei 2024, 21:15:15 »


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.3-25426-2   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.1-69057-5
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 6.2.4-25556-7   RT2600ac  SRM 1.2.5-8227-11
BeeDrive   1TB             BeeServer  BSM 1.0-65162                                                                 MR2200ac  SRM 1.2.5-8227-11

Offline mvveelen

  • Bedankjes
  • -Gegeven: 15
  • -Ontvangen: 13
  • Berichten: 216
Re: Ik ben geransomed, wat nu?
« Reactie #71 Gepost op: 29 mei 2024, 15:06:27 »
Vraagje,

ik heb met een identieke NAS, extern, nachtelijks een RSYNC draaien om nieuwe data over te zetten. Ook als een bestand wordt aangepast, dan wordt het bestand extra weggeschreven, dus remote niet aangepast. En dit vice versa. Dus als bestanden worden gezipped of wat ze dan ook doen, dan wordt dat gezien als extra bestanden en gaat ie al die nieuwe data naar de andere NAS overzetten 's nachts.

Stel dat 1 van de 2 wordt geransomed, dan heb ik in dit geval toch altijd een backup staan op de andere NAS die ik dan terug kan zetten?

Of maak ik hier een denkfout?

Instellingen van de Hyper Backup:

61930-0
  • Mijn Synology: DS920+
  • HDD's: 2x3TB + 2x14TB SHR1
  • Extra's: 16GB RAM / DSM7.2.1

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 178
  • -Ontvangen: 2639
  • Berichten: 16.371
Re: Ik ben geransomed, wat nu?
« Reactie #72 Gepost op: 29 mei 2024, 18:04:48 »
Als kleine gebruiker zit je waarschijnlijk wel veilig.

Bij grote gebruikers is meer losgeld op te halen, dus dan zullen ze de tijd nemen om het systeem eerst grondig analyseren en dan te beginnen met het wissen van de backup files. (b.v. door simpel de instellingen van HyperBackup aan te passen of dit uit te zetten.)

Soms zitten ze al weken in een systeem te grasduinen voordat ze met de echte versleuteling beginnen en hun aanwezigheid echt begint op te vallen. 
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline reindu

  • Bedankjes
  • -Gegeven: 8
  • -Ontvangen: 0
  • Berichten: 59
Re: Ik ben geransomed, wat nu?
« Reactie #73 Gepost op: 30 mei 2024, 17:35:24 »
Ik heb nog steeds mijn NAS schijven in de originele geransomde staat (ik kan er niet toe komen om weer met een NAS te gaan werken) en vandaag stond in de krant dat de politie een groot aantal cyber criminelen had gepakt. Je kon checken of ze jou als slachtoffer hadden gevonden op https://www.politie.nl/informatie/checkjehack.html. Zou ik dan opeens de wachtwoorden kunnen krijgen voor de geransomede files? Nee dus.
Mijn ransomers waren dus niet:
5 april 2023 - Genesis market
29 augustus 2023 - Qakbot
januari 2024 - Bankhelpdeskfraude
30 mei 2024 - Endgame
  • Mijn Synology: 213+
  • HDD's: 2x WD30EZRX-00