Jump to content

Eventuell RDP Lücke ausgenutzt


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Windows Server 2008 R2 ... das Mai Update war noch nicht installiert ... so gut wie alles ist auf dem Server verschlüsselt, also nicht nur Freigaben sondern auch Programmverzeichnisse etc. die Dateierweiterung lautet .phobos ... Besitzer ist Administrator... jede Datei enthält folgenden String (vermutlich der Key mit dem verschlüssselt wurde?) 7C0A98E5-1023 ... RDP war nach außen offen allerdings über einen krummen Port ... man soll eine E-Mail an luciolussenhoff@aol.com schicken ... die Windows Server Backups die sich auf einem via ISCSI eingebundenen NAS befanden sind ebenfalls verschlüsselt ... momentan sieht es echt düster aus ... falls Jemand eine Idee hat ...

Link zu diesem Kommentar
vor 1 Stunde schrieb r.k.s.:

Ob RDP offen war oder nicht, war überhaupt nicht die Frage.

Manchen Leuten gehts scheinbar besser, wenn Sie Menschen in Not ins Gesicht spucken können oder vor Schienbein treten.

Wo ist der echte Nutzen deines Beitrags?

 

Jap, ich habe da leider kein Mitleid. Alles falsch gemacht: Kiste nicht gepatcht, RDP offen, Backups dauerhaft im Zugriff. Sorry, kein Mitleid.

Link zu diesem Kommentar

ich würde zu aller erst eine Offline Sicherung machen ... Fahr mit einem Bootmedium hoch (kann auch ein Linux sein - und zieh all Deine Daten weg). Dann Ransomware entfernen und dann mit dem Entschlüsselungstool losgehen.

 

dann ... https://www.bugsfighter.com/de/remove-phobos-ransomware-and-decrypt-phobos-mamba-phoenix-or-actin-files/

 

es gibt wohl von Kaspersky ein Tool, das phobos wieder entschlüsseln kann ... ich wünsch Dir viel Glück dabei!

 

@DocData der TO hat doch begriffen, dass das doof war - deswegen muss man nicht auch noch drauf schlagen. Wir sind alle Menschen - und Menschen machen nun mal Fehler. 

bearbeitet von Squire
Link zu diesem Kommentar
vor 47 Minuten schrieb Squire:

ich würde zu aller erst eine Offline Sicherung machen ... Fahr mit einem Bootmedium hoch (kann auch ein Linux sein - und zieh all Deine Daten weg). Dann Ransomware entfernen und dann mit dem Entschlüsselungstool losgehen.

 

dann ... https://www.bugsfighter.com/de/remove-phobos-ransomware-and-decrypt-phobos-mamba-phoenix-or-actin-files/

 

es gibt wohl von Kaspersky ein Tool, das phobos wieder entschlüsseln kann ... ich wünsch Dir viel Glück dabei!

 

@DocData der TO hat doch begriffen, dass das doof war - deswegen muss man nicht auch noch drauf schlagen. Wir sind alle Menschen - und Menschen machen nun mal Fehler. 

Danke für Eure Antworten - leider funktioniert der RakhniDecryptor von Kaspersky nicht bei phobos Dateien ... hier gibt es einen langen Thread zum Thema phobos - leider ohne Universal-Lösung:

 

https://www.bleepingcomputer.com/forums/t/688649/phobos-ransomware-help-topic-phobos-phoboshta/

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...