Filme auf Dreambox HDD von Hacker verschlüsselt

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    • Filme auf Dreambox HDD von Hacker verschlüsselt


      Hallo zusammen,
      meine Dreambox One hängt per Webinterface am Internet und ist per DynDNS erreichbar. Trotz Zugang nur per Passwort und Umstellung des Ports auf einen weit oben im 8000er Bereich ist es den Hackern zum zweiten Mal gelungen, meine Filme auf der HDD mit Mars-Ransomware zu verschlüsseln.
      Die Film-Extension lautet dann .MARS und der Film ist auch bei Rückbenennung nach .ts nicht mehr lesbar.

      Eine hinzugefügte TXT-Datei fordert eine Zahlung, um die Dateien wieder zu entschlüsseln.

      Frage: Wie kann ich mich zukünftig davor schützen?

      Momentan habe ich das Webinterface vorsichtshalber deaktiviert, aber ich würde die Box gern auch wieder von extern verwenden können.

      Ich würde mich über einen Tipp freuen.

      • Viele Grüße
    • 1. Das WebInterface gar nicht nach draussen exposen. Einen anderen Port zu wählen, führt nur dazu, dass der Eindringling ein paar Sekunden länger braucht, bis der Port gefunden ist
      2. Passwort ändern und ein komplexeres Passwort wählen
      Gruss
      Dre

      Boxen: diverse
      Developer Project Merlin
    • Weiß ja nicht, was für ein Passwort Du eingerichtet hast. Ich für meinen Teil benutze KeePass als Passwort Safe und verwende für Passwörter, womit ich auf meine Dienste, die via Internet erreichbar sind, ausschließlich zufallsgenerierte Passworte mit 20 Stellen incl. Sonderzeichen. Ich kenne praktisch keines meiner Passwörter - das mach ich alles via KeePass.
      Vielleicht war dein Passwort dann doch zu simpel. Und wenn keine Eingabeverzögerung bei falschem Passwort sattfindet (oder gar eine Sperrung nach 3 Versuchen z.B.), dann lässt sich das per Bot eben doch in nicht allzu langer Zeit "erraten".
      Wie @Dre schon schrieb - es gibt keine "geheimen" Ports. Die werden vom geneigten Hacker eh alle durchprobiert.
    • AlBundy001 schrieb:

      Weiß ja nicht, was für ein Passwort Du eingerichtet hast. Ich für meinen Teil benutze KeePass als Passwort Safe und verwende für Passwörter, womit ich auf meine Dienste, die via Internet erreichbar sind, ausschließlich zufallsgenerierte Passworte mit 20 Stellen incl. Sonderzeichen. Ich kenne praktisch keines meiner Passwörter - das mach ich alles via KeePass.
      Vielleicht war dein Passwort dann doch zu simpel. Und wenn keine Eingabeverzögerung bei falschem Passwort sattfindet (oder gar eine Sperrung nach 3 Versuchen z.B.), dann lässt sich das per Bot eben doch in nicht allzu langer Zeit "erraten".
      Wie @Dre schon schrieb - es gibt keine "geheimen" Ports. Die werden vom geneigten Hacker eh alle durchprobiert.

      und wenn man das System komplett vom Netz entfernt? Dann kommt der Hacker doch nicht mehr dran. Dann könnte man über Linux die HDD mounten. Ist mal nur ein Gedanke.
      Gruß rato
    • Das wird aber nichts daran ändern, dass die Daten auf der HDD verschlüsselt sind...vielleicht macht sich auch nur jemand einen Spass und hat die Dateiendungen verändert, als wäre es MARS ;)
      Gruss
      Dre

      Boxen: diverse
      Developer Project Merlin
    • Die Platte ist doch das geringste Problem

      Bei offener Haustür haben die Hacker Zugang zum kompletten Heimnetzwerk. Wenn auch noch der WebAdmin installiert ist dann viel Spaß ...

      Das erinnert mich an die Zeiten, als es Listen von IPs und DynDNS Adressen mit offenen Ports zu Enigma2, oscam und cccam Webinterfaces gab die entweder gar nicht oder mit schwachem Passwort gesichert waren.

      Von romete zappen, Flash und/oder HDD löschen bis CS Zugangsdaten klauen war da alles drinnen :D

      Wenn man nicht weiss was man tut, soll man die Finger von externen Portfreigaben lassen
      Gruß Fred

      Die Dreambox ist tot, es lebe die Dreambox

      ¯\_(ツ)_/¯

      Quellcode

      1. root@dm920:~$ mount | grep "/ "
      2. /dev/mmcblk1p1 on / type ext4 (rw,relatime,data=ordered)
      3. root@dm920:~$
    • harleymac schrieb:


      Hallo zusammen,meine Dreambox One hängt per Webinterface am Internet und ist per DynDNS erreichbar. Trotz Zugang nur per Passwort und Umstellung des Ports auf einen weit oben im 8000er Bereich ist es den Hackern zum zweiten Mal gelungen, meine Filme auf der HDD mit Mars-Ransomware zu verschlüsseln.
      Die Film-Extension lautet dann .MARS und der Film ist auch bei Rückbenennung nach .ts nicht mehr lesbar.

      Eine hinzugefügte TXT-Datei fordert eine Zahlung, um die Dateien wieder zu entschlüsseln.

      Frage: Wie kann ich mich zukünftig davor schützen?

      Momentan habe ich das Webinterface vorsichtshalber deaktiviert, aber ich würde die Box gern auch wieder von extern verwenden können.

      Ich würde mich über einen Tipp freuen.

      • Viele Grüße


      mit welchen apps kann man den Videos abspielen? Würde das nicht gehen händig die Dateiendung zu ändern? Nicht anderes hat doch der Hacker gemacht.

      mit einer rename.bat würde das gehen. Es ist dabei egal wie die VideoDateiendung heißt.
      Die rename.bat muss im gleichen Ordner stehen. Doppel klick und in Sekundenschnelle ist die Endung vollzogen.
      Mal ein Paar Bilder zur Veranschaulichung.
      Gruß rato

      Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von rato () aus folgendem Grund: Vorschlag gemacht

    • Fred Bogus Trumper schrieb:

      Die Platte ist doch das geringste Problem

      Die Einschätzung teile ich! Aber insbesondere in Bezug auf das gesamte Netzwerke!

      Wenn es wirklich ein Wurm für Windows Systeme war, ist die Dreambox nur ein Kollateralschaden.

      In jedem Fall ist das Passwort der Dreambox jetzt verbrannt! Das Passwort und alle Variationen davon sollte man nie wieder benutzen. Ein paar Stellen in dem Passwort zu ändern, ist kein Schutz.

      Das alle weiteren Geräte ok Heimnetz jetzt gründlich kontrolliert oder direkt neu aufgesetzt werden sollten, ist denke ich selbstverständlich.
    • @rato

      du hast zwar schön den Beitrag des TE zitiert, aber einen wichtigen Satz daraus hattest du wohl überlesen ...

      harleymac schrieb:

      Die Film-Extension lautet dann .MARS und der Film ist auch bei Rückbenennung nach .ts nicht mehr lesbar.
      MARS ist eine ausgeklügelte Verschlüsselungs-Ransomware, die nicht einfach mal nur die Dateiendungen umbenennt.
      @openatv hat doch sehr aufschlussreiche Links dazu gepostet.
    • a) siehe Kommentar von @m0rphU
      b) DynDNS nicht und nie mehr nutzen (!!!!!!!!), dafür
      c) mit VPN auseinandersetzen. Und wie du damit (sicher) in dein Heimnetz kommst. Ein Link als Beispiel bei Fritzboxen steht hier hier ja schon im Thread. Aber auch ohne Fritte wirst du hierzu eine Lösung finden :)
    • Nochmals vielen Dank für die rege Diskussion. Genau, die Filmdateien sind verschlüsselt und ich habe es mit einer Rückbenennung erfolglos versucht.
      Zum Glück hatte ich die meisten aufgezeichneten Filme bereits auf dem PC gesichert und meine Festplatten mit den archivierten Filmen schalte ich nur zum Filmegucken ein. Ich werde mich mal tiefer mit dem VPN-Thema beschäftigen. Bis dahin bleibt das Webinterface deaktiviert
    • Hilfsbereit schrieb:

      @rato

      du hast zwar schön den Beitrag des TE zitiert, aber einen wichtigen Satz daraus hattest du wohl überlesen ...

      harleymac schrieb:

      Die Film-Extension lautet dann .MARS und der Film ist auch bei Rückbenennung nach .ts nicht mehr lesbar.
      MARS ist eine ausgeklügelte Verschlüsselungs-Ransomware, die nicht einfach mal nur die Dateiendungen umbenennt.@openatv hat doch sehr aufschlussreiche Links dazu gepostet.
      d. h. die Videos wären unbrauchbar. Hätte ja sein können das nur die HDD verschlüsselt ist. HDD ausbauen und anders in betrieb nehmen geht nicht?
      Gruß rato