Ebenezer 17 Geschrieben 1. Juni 2019 Melden Geschrieben 1. Juni 2019 Windows Server 2008 R2 ... das Mai Update war noch nicht installiert ... so gut wie alles ist auf dem Server verschlüsselt, also nicht nur Freigaben sondern auch Programmverzeichnisse etc. die Dateierweiterung lautet .phobos ... Besitzer ist Administrator... jede Datei enthält folgenden String (vermutlich der Key mit dem verschlüssselt wurde?) 7C0A98E5-1023 ... RDP war nach außen offen allerdings über einen krummen Port ... man soll eine E-Mail an luciolussenhoff@aol.com schicken ... die Windows Server Backups die sich auf einem via ISCSI eingebundenen NAS befanden sind ebenfalls verschlüsselt ... momentan sieht es echt düster aus ... falls Jemand eine Idee hat ...
MurdocX 1.004 Geschrieben 1. Juni 2019 Melden Geschrieben 1. Juni 2019 Was möchtest du hören? Alles zu noch zu retten ... Das kann ich leider nicht schreiben. Backup einspielen und aus den Fehlern lernen, heißt nun die Devise. Darf man fragen warum der überhaupt offen war?
Ebenezer 17 Geschrieben 1. Juni 2019 Autor Melden Geschrieben 1. Juni 2019 Ich wollte primär warnen, warum RDP offen war weiß ich selbst noch nicht ... Backups sind auch verschlüsselt ...
MurdocX 1.004 Geschrieben 1. Juni 2019 Melden Geschrieben 1. Juni 2019 Ich kenne auch einige, die sind ja richtig Beratungsresistent. Kein Backup offline? Uh.. Ihr solltet auch dringend an eurem Patch-Management arbeiten. Das hätte euch verm. gerettet.
DocData 85 Geschrieben 1. Juni 2019 Melden Geschrieben 1. Juni 2019 vor 1 Stunde schrieb Ebenezer: Ich wollte primär warnen, warum RDP offen war weiß ich selbst noch nicht ... Backups sind auch verschlüsselt ... Hast du doch selbst geschrieben: War offen, über einen nicht-standard Port. Selbst Schuld...
Damian 1.793 Geschrieben 1. Juni 2019 Melden Geschrieben 1. Juni 2019 Hallo @all Bitte bleibt ruhig und sachlich. Es besteht überhaupt kein Grund, den TO oder andere Member hart anzugehen. Wer für Ebenezer noch einen hilfreichen Hinweis hat, kann sich hier melden. Der Rest möge sich bitte in Gleichmut üben. Danke!
Nobbyaushb 1.580 Geschrieben 1. Juni 2019 Melden Geschrieben 1. Juni 2019 (bearbeitet) Hatte nicht neulich nicht jemand geschrieben, das die ganzen Codes der "Verschlüsseler" offen/public sind, weil deren Methode entschlüsselt wurde? Hatte das gelesen, weiß leider nicht, wo - Heise? Nicht aufgeschrieben, sorry.. bearbeitet 1. Juni 2019 von Nobbyaushb Typo
DocData 85 Geschrieben 1. Juni 2019 Melden Geschrieben 1. Juni 2019 vor 1 Stunde schrieb r.k.s.: Ob RDP offen war oder nicht, war überhaupt nicht die Frage. Manchen Leuten gehts scheinbar besser, wenn Sie Menschen in Not ins Gesicht spucken können oder vor Schienbein treten. Wo ist der echte Nutzen deines Beitrags? Jap, ich habe da leider kein Mitleid. Alles falsch gemacht: Kiste nicht gepatcht, RDP offen, Backups dauerhaft im Zugriff. Sorry, kein Mitleid.
Squire 290 Geschrieben 1. Juni 2019 Melden Geschrieben 1. Juni 2019 (bearbeitet) ich würde zu aller erst eine Offline Sicherung machen ... Fahr mit einem Bootmedium hoch (kann auch ein Linux sein - und zieh all Deine Daten weg). Dann Ransomware entfernen und dann mit dem Entschlüsselungstool losgehen. dann ... https://www.bugsfighter.com/de/remove-phobos-ransomware-and-decrypt-phobos-mamba-phoenix-or-actin-files/ es gibt wohl von Kaspersky ein Tool, das phobos wieder entschlüsseln kann ... ich wünsch Dir viel Glück dabei! @DocData der TO hat doch begriffen, dass das doof war - deswegen muss man nicht auch noch drauf schlagen. Wir sind alle Menschen - und Menschen machen nun mal Fehler. bearbeitet 1. Juni 2019 von Squire
Ebenezer 17 Geschrieben 1. Juni 2019 Autor Melden Geschrieben 1. Juni 2019 vor 47 Minuten schrieb Squire: ich würde zu aller erst eine Offline Sicherung machen ... Fahr mit einem Bootmedium hoch (kann auch ein Linux sein - und zieh all Deine Daten weg). Dann Ransomware entfernen und dann mit dem Entschlüsselungstool losgehen. dann ... https://www.bugsfighter.com/de/remove-phobos-ransomware-and-decrypt-phobos-mamba-phoenix-or-actin-files/ es gibt wohl von Kaspersky ein Tool, das phobos wieder entschlüsseln kann ... ich wünsch Dir viel Glück dabei! @DocData der TO hat doch begriffen, dass das doof war - deswegen muss man nicht auch noch drauf schlagen. Wir sind alle Menschen - und Menschen machen nun mal Fehler. Danke für Eure Antworten - leider funktioniert der RakhniDecryptor von Kaspersky nicht bei phobos Dateien ... hier gibt es einen langen Thread zum Thema phobos - leider ohne Universal-Lösung: https://www.bleepingcomputer.com/forums/t/688649/phobos-ransomware-help-topic-phobos-phoboshta/
boardadmin 0 Geschrieben 2. Juni 2019 Melden Geschrieben 2. Juni 2019 Wie schon oben angeführt ist es nun Zeit zurück zum Thema zu kommen. Wer etwas konstruktives beizutragen hat, kann sich gerne melden, ansonsten bitte ich dringend um Zurückhaltung.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden