Jump to content

Art der Ransomware erkennen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

ich habe ein kleineres Problem...

 

Einer unserer Kunden hat sich einen Verschlüsselungstrojaner eingefangen. Der Trojaner ist auf den Hyper-V Host des Kunden gelangt und hat dort scheinbar alles was er im Netzwerk erreichen konnte verschlüsselt. Die VMs sind verschlüsselt und einige andere Daten auch. Wobei es nicht alle Dateitypen getroffen hat.

 

Es gibt zwar eine Datensicherung die ich wiederherstellen kann, aber ich bin mir nicht so sicher, ob die Ransomware da nicht auch schon mit drin ist.

Von der Datenmenge sind es so wie ich das bisher sehen konnte, mindestens 2TB die verschlüsselt wurden.

 

Mich würde interessieren was für eine Art von Ransomware den Kunden getroffen hat. Ich hatte mein Glück schon selbst versucht, bin aber kläglich dabei gescheitert. Es gibt wohl Seiten wie "nomoreransom". Aber bisher habe ich da noch nichts hilfreiches herausfinden können.

 

Die Kripo hat den Fall aufgenommen und eine entsprechende Meldung bzgl. Datenschutz gab es auch. Das ist leider (zum Glück) mein erster Fall in der Art.

 

Habt ihr hier Ideen zwecks Einstufung der Art der Ransomware? Bin für alle Ratschläge dankbar.

Link zu diesem Kommentar

Bin leider immer noch nicht weiter gekommen. Ist ziemlich komisches und nerviges Zeug das ganze.

 

Hab zwar den Host (bzw. nur die VMs) mit Backups wieder herstellen können, aber vermutlich sind die Systeme wahrscheinlich schon vorher kompromittiert gewesen. Im Moment läuft das Kundensystem auf anderer Hardware isoliert bei mir im Büro.

bearbeitet von Hirn_und_mit
Link zu diesem Kommentar

Moin,

 

In der beschriebenen Situation ist es doch völlig egal, um welche Schadsoftware es sich jetzt handelt. Wichtig ist, dass man die Integrität der Backups zuverlässig prüft, genau wie das, was von der Umgebung ohne Recovery weiter laufen muss. Da wäre es auch nicht verkehrt, jemanden dabei zu haben, der Erfahrung mit sowas hat.

 

Gruß, Nils

 

Link zu diesem Kommentar
vor 46 Minuten schrieb NilsK:

...

Da wäre es auch nicht verkehrt, jemanden dabei zu haben, der Erfahrung mit sowas hat.

...

 

Wohl wahr. Wäre nicht schlecht. Und meine Leistungsfähigkeit ist leider auch begrenzt. Im Moment stoße ich schon ein bisschen an meine Grenzen, was das betrifft. Aber gut.

 

Ich hab den Quell der unendlichen Freude wohl ausmachen können. Hab heute alles auf Viren geprüft. Das Altsystem (2008 R2) des Kunden läuft mit Ransomware über. Scheinbar hat da niemand so drauf geschaut, was damit überhaupt passiert. Man hat den Eindruck das wurde irgendwie vergessen, was sich jetzt rächt.

bearbeitet von Hirn_und_mit
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...