Ebenezer 17 Geschrieben 1. Juni 2019 Melden Geschrieben 1. Juni 2019 Windows Server 2008 R2 ... das Mai Update war noch nicht installiert ... so gut wie alles ist auf dem Server verschlüsselt, also nicht nur Freigaben sondern auch Programmverzeichnisse etc. die Dateierweiterung lautet .phobos ... Besitzer ist Administrator... jede Datei enthält folgenden String (vermutlich der Key mit dem verschlüssselt wurde?) 7C0A98E5-1023 ... RDP war nach außen offen allerdings über einen krummen Port ... man soll eine E-Mail an luciolussenhoff@aol.com schicken ... die Windows Server Backups die sich auf einem via ISCSI eingebundenen NAS befanden sind ebenfalls verschlüsselt ... momentan sieht es echt düster aus ... falls Jemand eine Idee hat ... Zitieren
MurdocX 965 Geschrieben 1. Juni 2019 Melden Geschrieben 1. Juni 2019 Was möchtest du hören? Alles zu noch zu retten ... Das kann ich leider nicht schreiben. Backup einspielen und aus den Fehlern lernen, heißt nun die Devise. Darf man fragen warum der überhaupt offen war? Zitieren
Ebenezer 17 Geschrieben 1. Juni 2019 Autor Melden Geschrieben 1. Juni 2019 Ich wollte primär warnen, warum RDP offen war weiß ich selbst noch nicht ... Backups sind auch verschlüsselt ... Zitieren
MurdocX 965 Geschrieben 1. Juni 2019 Melden Geschrieben 1. Juni 2019 Ich kenne auch einige, die sind ja richtig Beratungsresistent. Kein Backup offline? Uh.. Ihr solltet auch dringend an eurem Patch-Management arbeiten. Das hätte euch verm. gerettet. Zitieren
DocData 85 Geschrieben 1. Juni 2019 Melden Geschrieben 1. Juni 2019 vor 1 Stunde schrieb Ebenezer: Ich wollte primär warnen, warum RDP offen war weiß ich selbst noch nicht ... Backups sind auch verschlüsselt ... Hast du doch selbst geschrieben: War offen, über einen nicht-standard Port. Selbst Schuld... Zitieren
Damian 1.670 Geschrieben 1. Juni 2019 Melden Geschrieben 1. Juni 2019 Hallo @all Bitte bleibt ruhig und sachlich. Es besteht überhaupt kein Grund, den TO oder andere Member hart anzugehen. Wer für Ebenezer noch einen hilfreichen Hinweis hat, kann sich hier melden. Der Rest möge sich bitte in Gleichmut üben. Danke! Zitieren
Nobbyaushb 1.513 Geschrieben 1. Juni 2019 Melden Geschrieben 1. Juni 2019 (bearbeitet) Hatte nicht neulich nicht jemand geschrieben, das die ganzen Codes der "Verschlüsseler" offen/public sind, weil deren Methode entschlüsselt wurde? Hatte das gelesen, weiß leider nicht, wo - Heise? Nicht aufgeschrieben, sorry.. bearbeitet 1. Juni 2019 von Nobbyaushb Typo Zitieren
DocData 85 Geschrieben 1. Juni 2019 Melden Geschrieben 1. Juni 2019 vor 1 Stunde schrieb r.k.s.: Ob RDP offen war oder nicht, war überhaupt nicht die Frage. Manchen Leuten gehts scheinbar besser, wenn Sie Menschen in Not ins Gesicht spucken können oder vor Schienbein treten. Wo ist der echte Nutzen deines Beitrags? Jap, ich habe da leider kein Mitleid. Alles falsch gemacht: Kiste nicht gepatcht, RDP offen, Backups dauerhaft im Zugriff. Sorry, kein Mitleid. Zitieren
Squire 276 Geschrieben 1. Juni 2019 Melden Geschrieben 1. Juni 2019 (bearbeitet) ich würde zu aller erst eine Offline Sicherung machen ... Fahr mit einem Bootmedium hoch (kann auch ein Linux sein - und zieh all Deine Daten weg). Dann Ransomware entfernen und dann mit dem Entschlüsselungstool losgehen. dann ... https://www.bugsfighter.com/de/remove-phobos-ransomware-and-decrypt-phobos-mamba-phoenix-or-actin-files/ es gibt wohl von Kaspersky ein Tool, das phobos wieder entschlüsseln kann ... ich wünsch Dir viel Glück dabei! @DocData der TO hat doch begriffen, dass das doof war - deswegen muss man nicht auch noch drauf schlagen. Wir sind alle Menschen - und Menschen machen nun mal Fehler. bearbeitet 1. Juni 2019 von Squire Zitieren
Ebenezer 17 Geschrieben 1. Juni 2019 Autor Melden Geschrieben 1. Juni 2019 vor 47 Minuten schrieb Squire: ich würde zu aller erst eine Offline Sicherung machen ... Fahr mit einem Bootmedium hoch (kann auch ein Linux sein - und zieh all Deine Daten weg). Dann Ransomware entfernen und dann mit dem Entschlüsselungstool losgehen. dann ... https://www.bugsfighter.com/de/remove-phobos-ransomware-and-decrypt-phobos-mamba-phoenix-or-actin-files/ es gibt wohl von Kaspersky ein Tool, das phobos wieder entschlüsseln kann ... ich wünsch Dir viel Glück dabei! @DocData der TO hat doch begriffen, dass das doof war - deswegen muss man nicht auch noch drauf schlagen. Wir sind alle Menschen - und Menschen machen nun mal Fehler. Danke für Eure Antworten - leider funktioniert der RakhniDecryptor von Kaspersky nicht bei phobos Dateien ... hier gibt es einen langen Thread zum Thema phobos - leider ohne Universal-Lösung: https://www.bleepingcomputer.com/forums/t/688649/phobos-ransomware-help-topic-phobos-phoboshta/ Zitieren
boardadmin 0 Geschrieben 2. Juni 2019 Melden Geschrieben 2. Juni 2019 Wie schon oben angeführt ist es nun Zeit zurück zum Thema zu kommen. Wer etwas konstruktives beizutragen hat, kann sich gerne melden, ansonsten bitte ich dringend um Zurückhaltung. Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.