Ende Januar 2022 tauchte eine Ransomware namens Deadbolt auf, die NAS-Geräte von Hersteller Qnap befällt und deren Daten verschlüsselt. Nun greift die gleiche Schadsoftware auch Netzwerkspeicher des Herstellers Asustor an. Das Unternehmen empfiehlt, entsprechende Geräte direkt abzuschalten. Andernfalls droht eine Verschlüsselung, die sich nur durch die Zahlung eines Lösegelds wieder aufheben lässt.
Plex oder EZ Connect als Einfallstor
Noch bleibt unklar, über welche Schnittstelle die Ransomware Deadbolt ihren Weg auf die NAS-Geräte findet. Möglicherweise ist die Software Plex dafür verantwortlich, dass sich die Schadsoftware einnisten kann. Mit Plex lassen sich Videoinhalte auf beliebige Endgeräte streamen. Auch die Software EZ Connect könnte als Einfallstor dienen. EZ Connect dient dazu, über das Internet auf das eigene NAS zuzugreifen.
Erste-Hilfe-Maßnahmen
Der Hersteller Asustor reagiert auf die Bedrohungslage mit einer offiziellen Anweisung für Besitzer eines NAS. Diese sollen zuerst den Standard-Port für Web-Zugriffe ändern. Konkret sollten der Port 80 für HTTP-Zugriffe und Port 443 für verschlüsselte HTTPS-Zugriffe geändert werden. Gleichzeitig sollte der SSH-Zugriff für EZ Connect deaktiviert werden. Am wichtigsten ist wohl aber der Ratschlag, sofort ein Backup aller wichtigen Daten auf einem externen Gerät anzulegen.
Support verspricht Hilfe
Ob das eigene System schon betroffen ist, lässt sich über eine einfache Suche mit „sudo find / -type f -name “*.deadbolt*”“ herausfinden. Ist der Angriff bereits erfolgt, hilft nur das physische Trennen der Netzwerkverbindung. Danach sollte das System heruntergefahren und auch nicht mehr gestartet werden, da dies die Verschlüsselung einleiten würde. Betroffene sollen sich zudem beim Support melden, dieser wolle bei der Datenwiederherstellung helfen.
Autor: Michael Söldner, Autor
Michael Söldner schreibt News zu den Themen Windows, Smartphones, Sicherheit, Hardware, Software, Gaming, Auto sowie Raumfahrt auf pcwelt.de.