Deadbolt: Ransomware verschlüsselt Daten auf Asustor-NAS

Menschen, die ein Asustor-NAS verwenden, sollten dieses direkt abschalten. Das rät der Hersteller zumindest, da die Geräte von einer Ransomware-Attacke betroffen sind. Dabei handelt es sich um Deadbolt, welches bereits Systeme von Qnap befallen hat. Dabei werden Daten auf dem NAS verschlüsselt und unzugänglich gemacht. Die angreifende Partei verlangt anschließend Geld von den Opfern, um den Prozess rückgängig zu machen.

Ein NAS-Besitzer hat zum Thema einen Thread auf Reddit eröffnet und diverse Informationen zusammengetragen. Es ist dabei nicht ganz klar, über welche Schnittstelle sich die Ransomware Zugriff auf ein NAS verschafft. Es wird allerdings vermutet, dass die Software Plex unter anderem angreifbar ist. Auch EZ Connect steht unter diesem Verdacht.

Infizierte Laufwerke finden

Die offizielle Anweisung seitens Asustor ließ nicht lange auf sich warten: User sollten möglichst Standard-Ports für den Web-Zugriff und die Ports 80 (HTTP) und 443 (HTTPS/TCP) ändern. Außerdem sollten die Funktionen EZ Connect und der SSH-Zugriff deaktiviert werden. Der Hersteller empfiehlt auch ein sofortiges Backup aller wichtigen Dateien - in diesem Fall am besten auf ein externes Gerät.

Das ist aber nur sinnvoll, wenn die Dateien nicht bereits infiziert sind. User können herausfinden, ob sie betroffen sind, indem sie etwa manuell nach Dateien mit den Endungen .deadbolt suchen - etwa per Find-Kommando.

sudo find / -type f -name "*.deadbolt*"

Sollte ein NAS bereits von einem Angriff befallen sein, dann sind drastischere Maßnahmen notwendig. Asustor empfiehlt, die Netzwerkverbindung physisch zu trennen und das NAS sicher herunterzufahren. Anschließend darf das Gerät nicht mehr angeschaltet werden, da dies zur Datenverschlüsselung oder Löschung führt. Das Team stellt einen Support-Link bereit, unter dem sich Betroffene dann melden können. Der Hersteller will bei der Datenwiederherstellung helfen.