Hallo Forum,
ich hoffe ich bin hier richtig, denn ich weiß mein Problem gerade nicht wirklich einzuordnen und brauche unbedingt ein paar außenstehende Meinungen.

Allgemeine Infos: Ich habe seit jeher virtuelle Windows 10 Maschinen über VMware laufen. Damit ich eben unabhängig vom Hauptsystem Sachen testen und auch mal etwas unvorsichtiger im Internet sein kann.

Auf einer dieser VMs hat sich vor einigen Wochen jemand eingehackt und über ein Tool Daten von meinem NAS (eingebundene Netzlaufwerke) abgreifen können. Es sind ganz sicher meine Daten, die Ordner auf dem angehängten Screenshot sind richtig und auch die Bilder sind von meiner Platte...

Dieser jemand hat mir eine Mail geschickt mit einigen Dateien als Anhang und folgendem Text:

Zitat:

I've had acces to your computer for a while now and
I have been secretly observing your online behavior. You have
a few very intresting hobbies/fetishes of which I'd assume
you would like to keep secretly.

As we both know you, have a gigantic porn collection, some harmless shit
but there are also some rather "questionable" folders. I'm not judging, I'm
just warning you that I have the ability to pretty much destroy your
life.

If you want all of your computer behavior to stay between us I would recomend you
to make some sort of payment, Taking from your low quality bait on your desktop
"wallet" and the "decryptor" shit. I'll take that you know about bitcoins and crypto's.
I'm offering a you a chance here to make sure your weird online life stays secret.

Herefor I'm asking 1500 EUR in any sort of crypto, preferably bitcoin, this price is ofcourse
negotionable.

I have attached a few randomly selected files from your computer as proof,
as well as a document with some of your logins to various sites and services,
including pornhub, furry websites, hentai sites etc..

If you want to keep this between us I'd reccoment you send me a email back
and we can work something out.

Die Passwörter sind alle unwichtig bzw. dort gibts nichts zu holen. Ich habe auch überall verschiedene Passwörter. Was mich halt sehr unruhig macht ist die Tatsache, dass dieser Typ theoretischen Zugriff auf meine Daten auf dem NAS hatte. Es sind in den Anhängen nur Dateien von einem eher unwichtigen Laufwerk, ich hatte jedoch auch ein Laufwerk mit persönlichen Daten eingebunden. Ich weiß, das ist sehr dumm gewesen aber ich kann es jetzt nicht mehr ändern...

Diese Screenshots (Anhang) von seinem Tool hat er mir auch noch mitgeschickt. Die IP von mir habe ich verschleiert, habe aber mittlerweile eine andere bzw. die letzten 6 Zeichen sind neu. Ist eine statische IP von Vodafone.

Wäre eine Antwort auf diese Email überhaupt ratsam? Man weiß halt nicht wie ernst der das meint und was der noch alles über mich weiß... Wäre da kein NAS-Laufwerk eingebunden würde ich da nur drüber lachen aber so macht mich das extrem unruhig.

Ich hoffe jemand kann mir helfen und dass ich halbwegs verständlich erklären konnte. Bin gerade etwas durch den Wind

Grüße

Ich würde den Spammer/Erpresser einfach ignorieren. Er ist anonym, was sollte einen Kriminellen davon abhalten, dich nochmal zu melken, wenn du bezahlt hast?

Dass das keine tolle Idee war, das NAS in einer "Test-VM" gemountet zu haben, hast du ja selbst gemerkt.

cosinus, siehe auch: https://www.computerbase.de/forum/threads/in-einer-virtuellen-maschine-gehackt-worden-auswirkungen.1926687/ ich habe ihm gestern noch geschrieben das Crossposting ja nicht so gerne gesehen wird, er war aber gestern ganz schön aufgeregt und durch den Wind und wollte halt schnell Hilfe. Er bekam mehrfach den Rat, sowohl Windows 10 komplett neu aufzusetzen als auch das NAS platt zu machen und auch die VM's zu löschen und dann alles neu zu machen und den Erpresser zu ignorieren, nicht auf dessen Mail zu antworten. Ausserdem sagte ich ihm, er solle seine externen Festplatten mit Sicherungen zur Sicherheit auch mal mit 2 verschiedenen OnDemand Scannern scannen und er machte das mit Malwarebytes und mit EEK.

Ja, ignorieren wird das beste sein. Und ja, das NAS dort einzubinden war richtig dumm, ist jetzt aber nicht zu ändern Hab draus gelernt.

Ich weiß halt nicht was er sonst noch alles von mir hat. Die Dateien im Anhang seiner Mail stammen alle vom unwichtigen Laufwerk. Daher ist fraglich ob er überhaupt im anderen Laufwerk war... Wäre ich jedenfalls so ein Erpresser hätte ich direkt mit Perso- oder Bankdaten gedroht wenn ich sie hätte

Die infizierte VM ist schon gelöscht. Scans mit dem Windows Defender, Malwarebytes und Emsisoft Emergency Kit ergaben auf meinem Hauptsystem sowie in allen NAS Ordnern zum Glück keine Funde. Ich werde aber wohl trotzdem alles neu aufsetzen um ganz sicher zu sein... Inklusive FritzBox.

Zur Polizei werde ich auch gehen, auch wenn ich nicht denke das da viel passieren wird.
So kann ich aber immerhin sagen, FALLS etwas mit meinen Perso-Daten etc. angestellt wird, habe ich es vorher angezeigt.

Ich würde gerne noch einen Moderator oder Admin bitten, den zitierten Text und die Anhänge wieder zu entfernen, man weiß ja nie...

Edit: Und ja, das Crossposting war nicht elegant, auch hier nochmal eine Entschuldigung!

Zitat:

Zitat von Tryptofy

Zur Polizei werde ich auch gehen, auch wenn ich nicht denke das da viel passieren wird.

Und was willst du denen sagen? Dass du selbst Mist in deiner VM gebaut und womöglich irgendwelche illegalen Cracks ausprobert hast?

Er lernt jetzt hoffentlich daraus, cosinus

Zitat:

Edit: Und ja, das Crossposting war nicht elegant, auch hier nochmal eine Entschuldigung!

Die Entschuldigung wird cosinus auch annehmen so wie ich ihn einschätze und ich hab dir ja schon gestern gesagt, das das jetzt auch kein "Verbrechen" von dir war. Du hast gestern Panik geschoben und wolltest halt zeitnah Hilfe die du ja bekommen hast. Setze alles um was dir gesagt wurde und sei in Zukunft vorsichtiger.

Zitat:

Ich werde aber wohl trotzdem alles neu aufsetzen um ganz sicher zu sein... Inklusive FritzBox.

Du wirst das bitte ganz bestimmt machen und nicht nur wohl denn so einem Windows System würde ich nicht mehr vertrauen und du bekamst ja gesagt wie du das machst mit der Windows 10 Neuinstallation und das du danach vom neuen Windows 10 bitte auch sog. Systemsicherungen/backups auf einer deiner externen Festplatten machen sollst.

Zitat:

Zitat von schlawack

Du wirst das bitte ganz bestimmt machen und nicht nur wohl denn so einem Windows System würde ich nicht mehr vertrauen und du bekamst ja gesagt wie du das machst mit der Windows 10 Neuinstallation und das du danach vom neuen Windows 10 bitte auch sog. Systemsicherungen/backups auf einer deiner externen Festplatten machen sollst.

So war's ja auch gemeint. Mein "Wohl" bezog sich darauf, dass ich keine andere Wahl habe um wieder ruhiger schlafen zu können.

Die Polizei muss ja nicht wissen was ich genau gemacht habe. Es waren jedenfalls keine illegalen Cracks oder irgendwas in der Richtung. Ich kann es selbst nicht genau erklären wie der Typ reinkam, ich schätze mal das war auf irgendeiner nicht jugendfreien Seite. Wer sündenfrei durchs Leben geht, werfe bitte jetzt den ersten Stein

Es geht hier nicht um nicht jugendfrei, sondern um illegale Inhalte. Kein Hahn kräht danach wenn du auf einem legalen Portal für Erwachsene warst.

Zitat:

Zitat von cosinus

Es geht hier nicht um nicht jugendfrei, sondern um illegale Inhalte. Kein Hahn kräht danach wenn du auf einem legalen Portal für Erwachsene warst.

Sehe ich genauso.

Wenn Dir Passwörter etc. egal sind und es Dir "nur" um Deine Reputation geht, solltest Du den Erpresser getrost ignorieren (sofern nichts im strafrechtlichen Raum oder in einer Grauzone abläuft).

Wenn Du zahlst, kannst Du auch nicht besser schlafen oder traust Du den Worten des Erpressers bedingungslos?

Also ich hab den Eindruck, dass der TO hier irgendwas verschweigt. Oder ist das normal wie ein aufgescheuchtes Hühnchen zu reagieren weil irgendein Erpresser-Spammer behauptet, man hätte irgendwelchen Erwachsenenfilme auf dem PC?

Zitat:

Zitat von Nyte

Sehe ich genauso.

Wenn Dir Passwörter etc. egal sind und es Dir "nur" um Deine Reputation geht, solltest Du den Erpresser getrost ignorieren (sofern nichts im strafrechtlichen Raum oder in einer Grauzone abläuft).

Wenn Du zahlst, kannst Du auch nicht besser schlafen oder traust Du den Worten des Erpressers bedingungslos?

Ja, die Passwörter die er in seiner Textdatei mitgeschickt hat waren keine wichtigen, hatte im Browser der VM halt ein paar gespeichert, aber alles belanglos. Sind auch schon alle geändert.

Natürlich traue ich dem nicht und zurückgeschrieben oder gar gezahlt hätte ich sowieso nicht Und wie schon gesagt, hätte er persönliche Daten von mir geklaut, hätte er die mit Sicherheit direkt mitgeschickt. Also wenn man es nüchtern betrachtet ist es nicht ganz so schlimm wie anfangs angenommen. Klar, man ist natürlich geschockt und malt sich im Kopf die schlimmsten Szenarien ab.

Also nochmal für eure Antworten. Man lernt im Leben halt nie aus

Korrekt, zumal auf dem einen Sreenshot nur harmlose Ordner zu sehen sind und so ein hektisches Verhalten nicht rechtfertigt.

Irgendwas schein im Argen zu sein.

@cosinus & Nyte: Ich habe durchaus etwas übertrieben und panisch reagiert, das ist richtig. Allein der Gedanke, dass da jemand über längere Zeit unbemerkt im Hintergrund meine VM ausspioniert hat, hat mich halt einfach geschockt.

Meine panische Reaktion beruhte hauptsächlich darauf, dass ich nicht weiß was er noch alles hat. Nicht mehr nicht weniger. Es reagieren halt nicht alle Menschen direkt logisch und gelassen auf solche Sachen...
Und ich hab nichts illegales in meinen Ordnen.

Zitat:

Zitat von Tryptofy

Klar, man ist natürlich geschockt und malt sich im Kopf die schlimmsten Szenarien ab.

Weshalb geschockt?

Diese Masche gibt es mindestens schon seit 2019 und sollte mittlerweile in jedem Kopf angekommen sein.

Nochmals: hast Du nichts zu verbergen, dann vergiss alles ganz schnell.

Hier nochmal aktuelle Infos.

Zitat:

Zitat von Nyte

Weshalb geschockt?

Diese Masche gibt es mindestens schon seit 2019 und sollte mittlerweile in jedem Kopf angekommen sein.

Nochmals: hast Du nichts zu verbergen, dann vergiss alles ganz schnell.

Hier nochmal aktuelle Infos.

Ich kann jetzt klarer denken und sehe es mittlerweile genau so.
Diese Masche im Link ist mir schon seit jeher bekannt, davon habe ich schon unzählige im Spam Ordnern gehabt.

Die wenigsten Betrüger dringen aber tatsächlich auf das eigene System ein und schicken einem Beweismaterial mit, und das hat mich eben im ersten Moment ziemlich geschockt. Die Mail von ihm war auch nicht im Spamordner, sonst hätte ich sie womöglich niemals gesehen

Um noch eine sinnvolle Frage zu stellen: Ich lasse mein Synology NAS gerade über die Weboberfläche mit dem eigenen Tool "Antivirus Essential" durchscannen. Hättet ihr noch andere empfehlenswerte Tools? Ich kenne mich da leider kaum aus... Malwarebytes Free lässt leider keine Netzlaufwerke durchsuchen.