Jump to content

Art der Ransomware erkennen


Recommended Posts

Hallo zusammen,

 

ich habe ein kleineres Problem...

 

Einer unserer Kunden hat sich einen Verschlüsselungstrojaner eingefangen. Der Trojaner ist auf den Hyper-V Host des Kunden gelangt und hat dort scheinbar alles was er im Netzwerk erreichen konnte verschlüsselt. Die VMs sind verschlüsselt und einige andere Daten auch. Wobei es nicht alle Dateitypen getroffen hat.

 

Es gibt zwar eine Datensicherung die ich wiederherstellen kann, aber ich bin mir nicht so sicher, ob die Ransomware da nicht auch schon mit drin ist.

Von der Datenmenge sind es so wie ich das bisher sehen konnte, mindestens 2TB die verschlüsselt wurden.

 

Mich würde interessieren was für eine Art von Ransomware den Kunden getroffen hat. Ich hatte mein Glück schon selbst versucht, bin aber kläglich dabei gescheitert. Es gibt wohl Seiten wie "nomoreransom". Aber bisher habe ich da noch nichts hilfreiches herausfinden können.

 

Die Kripo hat den Fall aufgenommen und eine entsprechende Meldung bzgl. Datenschutz gab es auch. Das ist leider (zum Glück) mein erster Fall in der Art.

 

Habt ihr hier Ideen zwecks Einstufung der Art der Ransomware? Bin für alle Ratschläge dankbar.

Link to post

Bin leider immer noch nicht weiter gekommen. Ist ziemlich komisches und nerviges Zeug das ganze.

 

Hab zwar den Host (bzw. nur die VMs) mit Backups wieder herstellen können, aber vermutlich sind die Systeme wahrscheinlich schon vorher kompromittiert gewesen. Im Moment läuft das Kundensystem auf anderer Hardware isoliert bei mir im Büro.

Edited by Hirn_und_mit
Link to post

Moin,

 

In der beschriebenen Situation ist es doch völlig egal, um welche Schadsoftware es sich jetzt handelt. Wichtig ist, dass man die Integrität der Backups zuverlässig prüft, genau wie das, was von der Umgebung ohne Recovery weiter laufen muss. Da wäre es auch nicht verkehrt, jemanden dabei zu haben, der Erfahrung mit sowas hat.

 

Gruß, Nils

 

Link to post
vor 46 Minuten schrieb NilsK:

...

Da wäre es auch nicht verkehrt, jemanden dabei zu haben, der Erfahrung mit sowas hat.

...

 

Wohl wahr. Wäre nicht schlecht. Und meine Leistungsfähigkeit ist leider auch begrenzt. Im Moment stoße ich schon ein bisschen an meine Grenzen, was das betrifft. Aber gut.

 

Ich hab den Quell der unendlichen Freude wohl ausmachen können. Hab heute alles auf Viren geprüft. Das Altsystem (2008 R2) des Kunden läuft mit Ransomware über. Scheinbar hat da niemand so drauf geschaut, was damit überhaupt passiert. Man hat den Eindruck das wurde irgendwie vergessen, was sich jetzt rächt.

Edited by Hirn_und_mit
Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...