Jump to content
Ebenezer

Eventuell RDP Lücke ausgenutzt

Recommended Posts

Windows Server 2008 R2 ... das Mai Update war noch nicht installiert ... so gut wie alles ist auf dem Server verschlüsselt, also nicht nur Freigaben sondern auch Programmverzeichnisse etc. die Dateierweiterung lautet .phobos ... Besitzer ist Administrator... jede Datei enthält folgenden String (vermutlich der Key mit dem verschlüssselt wurde?) 7C0A98E5-1023 ... RDP war nach außen offen allerdings über einen krummen Port ... man soll eine E-Mail an luciolussenhoff@aol.com schicken ... die Windows Server Backups die sich auf einem via ISCSI eingebundenen NAS befanden sind ebenfalls verschlüsselt ... momentan sieht es echt düster aus ... falls Jemand eine Idee hat ...

Share this post


Link to post
Share on other sites

Was möchtest du hören? Alles zu noch zu retten ... Das kann ich leider nicht schreiben.

Backup einspielen und aus den Fehlern lernen, heißt nun die Devise.

 

Darf man fragen warum der überhaupt offen war?

Share this post


Link to post
Share on other sites

Ich kenne auch einige, die sind ja richtig Beratungsresistent. Kein Backup offline? Uh..

Ihr solltet auch dringend an eurem Patch-Management arbeiten. Das hätte euch verm. gerettet.

Share this post


Link to post
Share on other sites
vor 1 Stunde schrieb Ebenezer:

Ich wollte primär warnen, warum RDP offen war weiß ich selbst noch nicht ... Backups sind auch verschlüsselt ...

Hast du doch selbst geschrieben: War offen, über einen nicht-standard Port. Selbst Schuld...

Share this post


Link to post
Share on other sites

Hallo

 

@all

Bitte bleibt ruhig und sachlich. Es besteht überhaupt kein Grund, den TO oder andere Member hart anzugehen. Wer für Ebenezer noch einen hilfreichen Hinweis hat, kann sich hier melden. Der Rest möge sich bitte in Gleichmut üben. ;-)

 

Danke!

Share this post


Link to post
Share on other sites

Hatte nicht neulich nicht jemand geschrieben, das die ganzen Codes der "Verschlüsseler" offen/public sind, weil deren Methode entschlüsselt wurde?

Hatte das gelesen, weiß leider nicht, wo - Heise?

 

Nicht aufgeschrieben, sorry..

Edited by Nobbyaushb
Typo

Share this post


Link to post
Share on other sites
vor 1 Stunde schrieb r.k.s.:

Ob RDP offen war oder nicht, war überhaupt nicht die Frage.

Manchen Leuten gehts scheinbar besser, wenn Sie Menschen in Not ins Gesicht spucken können oder vor Schienbein treten.

Wo ist der echte Nutzen deines Beitrags?

 

Jap, ich habe da leider kein Mitleid. Alles falsch gemacht: Kiste nicht gepatcht, RDP offen, Backups dauerhaft im Zugriff. Sorry, kein Mitleid.

Share this post


Link to post
Share on other sites

ich würde zu aller erst eine Offline Sicherung machen ... Fahr mit einem Bootmedium hoch (kann auch ein Linux sein - und zieh all Deine Daten weg). Dann Ransomware entfernen und dann mit dem Entschlüsselungstool losgehen.

 

dann ... https://www.bugsfighter.com/de/remove-phobos-ransomware-and-decrypt-phobos-mamba-phoenix-or-actin-files/

 

es gibt wohl von Kaspersky ein Tool, das phobos wieder entschlüsseln kann ... ich wünsch Dir viel Glück dabei!

 

@DocData der TO hat doch begriffen, dass das doof war - deswegen muss man nicht auch noch drauf schlagen. Wir sind alle Menschen - und Menschen machen nun mal Fehler. 

Edited by Squire

Share this post


Link to post
Share on other sites
vor 47 Minuten schrieb Squire:

ich würde zu aller erst eine Offline Sicherung machen ... Fahr mit einem Bootmedium hoch (kann auch ein Linux sein - und zieh all Deine Daten weg). Dann Ransomware entfernen und dann mit dem Entschlüsselungstool losgehen.

 

dann ... https://www.bugsfighter.com/de/remove-phobos-ransomware-and-decrypt-phobos-mamba-phoenix-or-actin-files/

 

es gibt wohl von Kaspersky ein Tool, das phobos wieder entschlüsseln kann ... ich wünsch Dir viel Glück dabei!

 

@DocData der TO hat doch begriffen, dass das doof war - deswegen muss man nicht auch noch drauf schlagen. Wir sind alle Menschen - und Menschen machen nun mal Fehler. 

Danke für Eure Antworten - leider funktioniert der RakhniDecryptor von Kaspersky nicht bei phobos Dateien ... hier gibt es einen langen Thread zum Thema phobos - leider ohne Universal-Lösung:

 

https://www.bleepingcomputer.com/forums/t/688649/phobos-ransomware-help-topic-phobos-phoboshta/

 

Share this post


Link to post
Share on other sites

Wie schon oben angeführt ist es nun Zeit zurück zum Thema zu kommen.

 

Wer etwas konstruktives beizutragen hat, kann sich gerne melden, ansonsten bitte ich dringend um Zurückhaltung.

 

 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...