Ojee, getroffen door ransomware

Zo zeg, dat was even schrikken. Mijn hart ging helemaal vanzelf harder kloppen. Mijn NAS-server was getroffen door ransomware. Het was al ruim drie maanden geleden gebeurd. Ik ontdekte het nu pas, omdat het om een gedeelte ging waar ik niet zo vaak kijk. Evengoed was het een gedeelte dat ertoe doet: het archief van foto’s en video’s, maar ook de Download- en Multimedia-folder. Die laatste twee lieten me koud, maar dat archief natuurlijk niet.

Gelukkig had ik wèl een backup van vrijwel alle foto’s en video’s, al moest ik er wel voor aan de bak. Eerste jaren staan op een andere NAS-server, die tot een paar jaar geleden bij een familielid stond en ’s nachts synchroniseerde. De latere jaren staan op mijn laptop. Toch bleef er nog een gedeelte onduidelijk. Was ik dan echt een deel kwijt? Ah, het bleek te gaan om spul dat nog steeds braaf op mijn mobiel staat. Fijn zo. Ziehier een voordeel van een mobiel met zeer ruime opslagruimte; je veegt toch beduidend minder snel, zeker als je wat luier bent.

Die ene NAS als backup voor de voornaamste NAS gaat wellicht weer in gebruik genomen worden, maar ik heb toch ook maar een SSD gekocht met 2 TB (de Samsung T5). Misschien moet ik meer chronologisch vertellen hoe ik het aanpakte en wat daaraan problematisch was. Ter lering ende (leed)vermaeck.

Stap 1 was het achterhalen hoe die ransomware had kunnen toeslaan. Het gaat om de Checkmate ransomware welke QNAP NAS servers aanviel. Een week na mijn besmetting kwam QNAP met een grote waarschuwing, welke ik uiteraard nu pas vond na zoeken in Google. Te laat dus voor mij, maar gelukkig werd het daardoor wel duidelijk wat het omvat en wat je te doen staat. Zo is er bij deze ransomware geen sprake van iets van een virus dat verdere boel kan besmetten. Er wordt met brute kracht gepoogd met een gebruikersnaam en wachtwoord binnen te komen. Dra de snoodaard binnen is, zet deze een programmaatje aan het werk dat alle bestanden versleutelt. Ook wordt er overal een tekstbestand toegevoegd, met instructie hoeveel bitcoins te betalen. Daarna logt de snoodaard weer uit en wordt er braaf gewacht op je betaling. Je hebt dus (bij deze ransomware) alleen versleutelde bestanden; daar blijft het bij. Je hoeft dus niet een antivirus-programma te laten zoeken naar kwalijke executables en dergelijke. Bij een rare gebruikersnaam of een sterk wachtwoord lukt de snoodaard dat inloggen niet, maar blijkbaar had ik een of andere veel voorkomende gebruikersnaam gemaakt met een slap wachtwoord. Maar welke? Dat ging ik uitzoeken, maar eerst ging ik de NAS beter beschermen door de aanwijzingen van QNAP op te volgen.

Dat is me trouwens wat. Het zijn stuk voor stuk aanwijzingen waar een leek of zelfs goedwillende hobbyist zich de haren uit het hoofd van trekt. Bijvoorbeeld: ‘SMB1 uitschakelen, of desnoods overschakelen naar SMB2’. Huh? Wat is dat en waar in het menu vind je dat? Ik veranderde al snel heel wat vinkjes om de toegang te beperken. Uiteindelijk was dat dicht zetten van de toegangsdeuren gelukt, maar toen was ook de NAS zelf niet meer in staat om zèlf het internet op te gaan, bijvoorbeeld om licenties (komt later) op te halen. Ik moest dus weer vinkjes terugzetten, maar welke waren het ook weer en wat betekenden ze ook weer? Nou ja, ik liet het eerst maar even gesloten.

Toen ben ik gaan uitzoeken welke gebruikers welke rechten hadden. Ik had gezien dat slechts enkele folders getroffen waren. Welke gebruikers hadden toegang tot uitgerekend die folders? Ikzelf had toegang tot alles. Dus ik mocht concluderen dat niet mijn gebruikersnaam was gebruikt. Als dat wel zo was geweest, dan waren àlle folders getroffen. Ook andere gebruikersnamen kon ik zo uitsluiten. Hé, kijk aan, daar was een gebruikersnaam ‘Tester1′ met precies de rechten op de getroffen folders. Die heb ik dus ooit een keer effe snel aangemaakt, vast met een simpel wachtwoord, misschien wel met ’tester1′. Nooit meer naar omgekeken en ziehier het trieste resultaat. Afijn, uiteraard bij deze opgeheven. Maar ook heb ik van de andere gebruikers de folderrechten sterk ingekrompen. Hun wachtwoorden zijn redelijk, maar de mijne en helemaal die van de administrator heb ik véél zwaarder gemaakt. Dan moet ik maar wat extra moeite doen bij inloggen. Ook op de backup NAS heb ik dit alles gedaan. Dat van die administrator is me trouwens wat. Het gaat hier om de gebruikersnaam ‘admin’ en die is op mijn QNAP’s niet op te heffen. Je ziet dan ook dat de snoodaards het negen van de tien pogingen proberen met ‘admin’, ‘user’ en ‘root’, de namen waarvan zowat elke fabrikant er eentje als beginnetje aanbiedt.

Verder is toegang via bepaalde protocollen door mij verder beperkt. Ook handig is de optie om slechts toegang vanuit bepaalde ip-adressen toe te staan. Zo gebruikt een familielid mijn NAS als zijn backup. Prima, maar voortaan mag dat alleen nog vanaf het ip-adres van zijn huis. Er is dus een e-mail uitgegaan met het verzoek mij dat ip-adres te geven. Dat adres voeg ik dan toe aan de lijst toegestane ip-adressen en pas daarna zal het backuppen hem weer lukken. Ik ben wel benieuwd of dit mijzelf niet in de weg gaat zitten als ik met mijn mobiel inlog tijdens vakantie. Ach, misschien moet ik dat ook maar niet meer doen.

De SSD die ik kocht sloot ik aan op de laptop en dat ging prima. Ik maakte een kopie erop van de foto’s die op mijn laptop staan, maar nog niet op de backup-NAS. Toen sloot ik de SSD aan op die backup-NAS. Wat bleek? Die begreep de SSD niet goed. Na veel uitzoekwerk kwam ik erachter dat die SSD is geformatteerd als exFat. Het exFat-bestandssysteem wordt prima begrepen door mijn laptop, maar die backup-NAS snapt er geen lor van. Ja, er valt een licentie te kopen en daarna begrijpt’ie het wel, snapte ik uit info op allerlei websites. Ik kocht twee licenties (een paar eurootjes per stuk), maar mijn backup-NAS ondersteunt die licenties helemaal niet, zo bleek me later. Nu heb ik QNAP gevraagd om mijn aankoop ongedaan te maken, ook dat nog. Maar hoe moet dat dan verder? Ik heb me nog meer moeten verdiepen in de bestandssystemen. Het gaat om exFat, Fat32 en NTFS. Die hebben ieder hun voor- en nadelen. Windows (dus de laptop) ondersteunt alledrie, maar heel veel apparaten ondersteunen NTFS en/of exFat niet. Nou, daar ga je dan. Wat te doen? Na me zo goed mogelijk te hebben georiënteerd over de voor- en nadelen, besloot ik de SSD te herformatteren naar Fat32. Eerst kopieerde ik de enkele bestanden die er al bij de koop opstonden naar mijn laptop. Daar zit met name een hulpprogrammaatje van Samsung bij. Toen wilde ik herformatteren via Windows, maar Windows 11 bood alleen NTFS en exFat zelf aan. Gelukkig was de NAS welwillender en kon die wel naar Fat32 omzetten. Na terugzetten van die paar bestandjes was het weer okay; nu kon ook de NAS het lezen en beschrijven. Wat verloor ik door over te stappen op Fat32? Voornaamste is dat een enkel bestand niet groter mag zijn dan 4 Gigabytes (4GB). Dat is bij mij nooit het geval, maar mocht je films in zijn geheel willen opslaan, dan ga je daar mogelijk overheen. Ikzelf heb wel eigen video’s, gemaakt met mijn mobiel of dure camera, maar die zijn zelden groter dan 100 Megabytes (100MB) voor 1 minuut, dus 1/40 van die 4GB grens. Het volume-maximum is 2 Terabytes (2TB), maar dat is precies wat mijn SSD heeft, dus ook geen probleem. Andere nadelen vind ik niet van belang. Voordeel voor mij is dat mijn QNAP’s het herkennen en ook mijn mobiel ermee uit de voeten kan (die exFat trouwens ook begreep).

De volgende stap was van de diverse apparaten (de backup-NAS, de laptop en mijn mobiel) precies die folders en inhoud te kopiëren naar de (getroffen) NAS, waarbij ik steeds eerst ruimte erop vrijmaakte door een getroffen folder te verwijderen voordat ik de kopie erheen zette. Daarbij zorgde ik er wel voor dat de kopie in een nieuwe basisfolder kwam, om dingen gescheiden te blijven houden. Stukje bij beetje veegde ik, kopieerde ik en streepte ik af op mijn blocnote. Al met al kwam het goeddeels goed. Maar mijn god, wàt een werk was het!

Straks nog een integrale backup regelen op de SSD, ook inzake word-documenten en ander belangrijk spul. Een backup van de hele C-schijf van de laptop vind ikzelf wat overdreven, maar er is desnoods ruimte genoeg op die SSD. Nog zoiets: Hoe lang blijft zo’n SSD goed? Het is minder kwetsbaar dan een (externe) HDD (harddisk), omdat het minder géén mechaniek aan boord heeft. Maar geheel onkwetsbaar is het niet. Verder is het ook niet zo dat jarenlang wegleggen beter is dan dagelijks gebruiken. Het tegendeel is eerder waar, begrijp ik van internet. Voor een SSD is het goed als deze geregeld, laten we zeggen minstens eens per maand toch wel een uurtje, gebruikt wordt. De firmware aan boord zorgt er dan voor dat alle transistoren even geactiveerd worden, wat de houdbaarheid van de data ten goede komt. Doe je het niet en pak je pas vele jaren later weer je SSD, omdat je een backup wilt terugzetten, dan zou er sprake kunnen zijn van enig dataverlies. Of dit een broodje aap verhaal is? Zou kunnen, maar stel dat het klopt, dan is het te voorkomen door toch regelmatig die SSD aan te koppelen, bijvoorbeeld om deze uptodate te houden. Overigens gaat die SSD eerdaags wel naar een familielid. Stel je hebt een brandje, dan is zo’n backup ver weg wel zo fijn. De backup-NAS stond trouwens ook bij een familielid. Misschien ook die maar weer op die manier in gebruik nemen. Lijkt alles dubbelop, dat wel.

Misschien vraag je je af waarom ik een externe SSD kocht en niet een externe HDD. Dat is een goeie vraag die ik mezelf ook stelde, maar dan pas achteraf. SSD’s zijn nog steeds flink duurder. Wél zijn ze veel sneller. Dat laatste was voor mij bij aankoop bepalend, want het terugzetten van zeer veel gigabytes kan erg lang duren. Echter, zò traag zijn externe HDD’s nou ook weer niet en, belangrijk om te overwegen, het gaat maar om backups. Hoe vaak zet je nou complete backups terug. En hoeveel bytes gaan er bij het updaten van je backup nu helemaal over de lijn. Afijn, ik zal het ermee moeten doen; gekocht is gekocht.

Laatste berichten van Peter van Lenth (alles zien)
Getagd , , , , , , . Bladwijzer de permalink.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *