zahni 554 Geschrieben 2. Januar 2020 Melden Teilen Geschrieben 2. Januar 2020 Hast Du es mal bei Kaspersky probiert? https://support.kaspersky.com/de/viruses/disinfection/10556?cid=noransom&utm_source=noransom.kaspersky.com&utm_medium=referral&utm_campaign=kaspersky_noransom&utm_content=rakhni_de#block2 Zitieren Link zu diesem Kommentar
Squire 265 Geschrieben 2. Januar 2020 Autor Melden Teilen Geschrieben 2. Januar 2020 hilft nicht bei Rapid Zitieren Link zu diesem Kommentar
DocData 85 Geschrieben 2. Januar 2020 Melden Teilen Geschrieben 2. Januar 2020 Also doch Insolvenz anmelden. Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 2. Januar 2020 Melden Teilen Geschrieben 2. Januar 2020 Moin, vor 44 Minuten schrieb DocData: Also doch Insolvenz anmelden. gibt es eigentlich einen Grund, dass du hier so rumstänkerst? Gruß, Nils Zitieren Link zu diesem Kommentar
Squire 265 Geschrieben 2. Januar 2020 Autor Melden Teilen Geschrieben 2. Januar 2020 (bearbeitet) @DocData Du kennst weder den Kunden, noch sein Geschäft. Du weißt nicht, was auf dem Server an Daten noch nicht verschlüsselt ist ... wie willst Du dann wissen, ob der Kunde am 7.1. nicht im Notbetrieb arbeiten kann? ich würd mal sagen, Du lehnst Dich zu weit aus dem Fenster und fällst dabei raus! Sprich, wenn Du nix zur Sache dienliches beibringen kannst, sei einfach still und lese meinetwegen einfach mit und murmel in den Monitor! nebenbei - ich denke, dass es für den einen oder anderen ganz interessant sein kann hier mit zu lesen ... bearbeitet 2. Januar 2020 von Squire 4 Zitieren Link zu diesem Kommentar
BOfH_666 577 Geschrieben 2. Januar 2020 Melden Teilen Geschrieben 2. Januar 2020 vor 2 Stunden schrieb Squire: nebenbei - ich denke, dass es für den einen oder anderen ganz interessant sein kann hier mit zu lesen ... Zitieren Link zu diesem Kommentar
martins 11 Geschrieben 2. Januar 2020 Melden Teilen Geschrieben 2. Januar 2020 Ich kann Docdata schon verstehen - unabhängig davon, ob der Betrieb ab dem 7.01. wieder "arbeiten" kann, sind doch sehr viele Probleme hausgemacht. Offensichtlich wurde das Thema "IT-Sicherheit" in den letzten Jahren auch in diesem Unternehmen stark vernachlässigt... und zumindest bei diesen Firmen hält sich mein Mitleid in Grenzen. Ich selbst bin seit ca. 10 Wochen in einem ähnlichen Fall involviert. "Neukunde" ruft vor ca. 10 Wochen an und schildert "Emotet verdächtiges Verhalten". Ich empfehle diverse Sofortmaßnahmen und parallel dazu auf neuer Hardware mit den verbliebenen sauberen Backups die Umgebung so weit es geht wiederherzustellen. 6 Wochen später ruft der Verantwortliche ITler wieder mit der Botschaft an, dass die Maßnahmen der GF zu teuer waren und nun auch die aktuellsten Backups verschlüsselt sind. Er hat jetzt nur noch ein Backup vom letzten Sommer im Schrank! Der Laden laboriert also seit Oktober im Notbetrieb mit den Daten vom Sommer 2019! :-| Zu der bestehenden Situation bei deinem Kunden @Squire möchte ich jedenfalls unbedingt dazu raten nicht zu vergessen, den Infektions- / Verbreitungsweg ggf. zu beleuchten, zumindest die GF daran zu erinnern, dass die bestehenden Systeme evtl. für die Beweissicherung benötigt werden. Je nach Rechtsform / Unternehmensart könnten sich diverse Verpflichtungen der Geschäftsleitung ergeben. Daher sollte nicht vergessen werden zu prüfen, ob die Infrastruktur von einem IT-Forensiker / Sachverständigen untersucht werden sollte (muss) und auch, ob es ggf. Meldepflichten bzgl. des Befalls gibt! Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 2. Januar 2020 Melden Teilen Geschrieben 2. Januar 2020 Ein KMU hat oft keine "IT-Sicherheit" auf dem Budget - es "läuft ja"... Und ja, ich finde den Thread interessant Wegen "RDP nicht offen" - das läßt sich doch von außen leicht durch nen Portscan auf den Router rausfinden, was da so antwortet. Und in erster Linie geht es hier auch nicht um Spott und Häme (klar wurden gravierende Fehler gemacht), sondern darum, dem (zahlenden) Kunden zu helfen. 2 Zitieren Link zu diesem Kommentar
Squire 265 Geschrieben 3. Januar 2020 Autor Melden Teilen Geschrieben 3. Januar 2020 @daabm Portscan hab ich heute Nachmittag gemacht - RDP war nicht offen von außen. Allerdings kam die Maleware anscheinend zielgerichtet. Es gibt Log Einträge die zu Servern russischer Betreiber/Hoster gehören. Ich bin Deiner Meinung Spott und Häme haben hier nichts verloren - letztlich kann es jedes Unternehmen treffen. Du kannst alles noch so sicher gestalten und es kann trotzdem was passieren. Einzig - man kann den Schaden minimieren - hast Du ein Unternehmen und kommunizierst Du mit anderen per Mail oder musst auf Grund Deines Unternehmens Daten austauschen bist Du einfach gefährdet. Bei den meisten KMUs läuft IT als notwendiges Übel oder ist eben wie "Gas, Wasser, Schei..." die IT ist halt da und wird als selbstverständlich angesehen und es läuft ja seit Jahren ... wie hier bei diesem Betrieb ... wobei der vorherige Dienstleister Murks auf der ganzen Linie geleistet hat! Er hat grob fahrlässig gehandelt, als er das System dem Kunden empfohlen, verkauft und eingerichtet hat ... ich für meinen Teil kann sagen, entweder der Kunde geht beim vorgeschlagenen Konzept mit, oder ich lehne den Auftrag ab. @martins Thema Mitleid - Mitleid hat bei der Thematik nix zu suchen. Das ist ein Auftrag, der Verantwortung mit sich bringt. Der vorherige Dienstleister hatte bei Konzeption und Umsetzung gröbste Fehler gemacht (Hauptsache billig und geht irgendwie) und einfach schlecht beraten. Das hilft aber nicht weiter, denn letztlich hängen auch bei KMUs Arbeitsplätze davon ab. Was die Beweissicherung angeht - ich hab von den Volumes 1:1 Kopien gemacht (waren 2x Raid1). Allerdings interessiert sich die lokale Polizei herzlich wenig um die Sache. Die haben mehr oder weniger abgewunken und gesagt, dass man da eh wenig rausbekommt, und wenn die Spur ins Ausland führt ist es eh Essig. Hier in diesem Fall wird das wohl so sein ... versuch mal von einem russischen Hoster IP Adressen zurück zu verfolgen lassen. Zum Thema zurück ... Ich lasse im Moment das System durchscannen - es scheint kein aktiver Trojaner etc. drauf zu sein - Registry und die diversen Autorun Schlüssel sind sauber. Anscheinend kam der Hacker irgendwie per RDP auf den Server, hat den Rapid am 26.12. gestartet und verschlüsseln lassen. Es gibt übrigens kein AD, sondern nur eine Workgroup. Keine leeren Passwörter. Kleiner Tipp am Rande ... Für alle Aktionen an einem potentiell verseuchten System ist ein Medium mit Schreibschutz von unschätzbaren Vorteil. USB Sticks mit Schreibschutz sind hier allerdings rar gesät. Ich habe aber eine nette, einfach und kostengünstige Methode gefunden. Es gibt kleine USB SD Card Reader - die SD Cards haben einen physikalischen Schreibschutzschieber ... sprich ich hab meine Tools auf eine SD Card gepackt, Schreibschutz der Karte aktiviert und dann über den USB Reader verbunden (geht auch im abgesicherten Modus). Damit kann ich ausschließen, dass ich mir auf meinem System was einfange ... Zitieren Link zu diesem Kommentar
martins 11 Geschrieben 3. Januar 2020 Melden Teilen Geschrieben 3. Januar 2020 k.A. welche Leistungen der vorherige ITler deinem "Neukunden" verkauft hat und schon gar k.A. welche Anforderungen der Kunde zuvor formuliert hat. Jedenfalls ist es nach meiner Erfahrung häufig so, dass das Budget doch sehr überschaubar ist und der Kunde erwartet dann häufig Wunder... wenn überhaupt Anforderungen definiert werden. Das entbindet natürlich den Dienstleiter auch nicht davon, die Leistung abzuliefern, die dem technischen Standard entspricht... aber das ist eine ganz andere, viel grundsätzlichere Diskussion! Zu den von dir bereits getroffenen Maßnahmen möchte ich nur anmerken, dass es für die Beweissicherung speziell geschulte Dienstleister gibt. Im eigenen Interesse sollte man dies dem Kunden auch mitteilen und sich nicht selbst in eine "Haftungsfalle" begeben. Admins sind i.d.R. keine Forensiker! Ich kenne auch Fälle bei denen sich angeblich jemand in das Netzwerk "gehacked" hat. Bei genauerer Betrachtung war es dann kein Hacker, sondern man (GF, Admin oder ein Mitarbeiter) hat ein Tool / Programm heruntergeladen und ausgeführt und sich gewundert, dass kurz nach dem Öffnen nur kurz ein Fenster aufgepoppt ist und sich danach nichts mehr getan hat. Dem wurde dann keine große Beachtung geschenkt und man hat sich dann nur irgendwann gewundert, dass ein Großteil der Daten verschlüsselt war. Dass die ursprünglich selbst heruntergeladene u. ausgeführte (Schad-) Software dafür verantwortlich war, wollte man dann nicht wirklich wahrhaben. Es war viel bequemer einen russischen Hacker dafür verantwortlich zu machen! Zitieren Link zu diesem Kommentar
Squire 265 Geschrieben 3. Januar 2020 Autor Melden Teilen Geschrieben 3. Januar 2020 Nur kurz, weil vom Mobile aus... Im Eventlog wurden Rdp Verbindungen mit externen IPs protokolliert. Nslookup liefert einen Server bei einem russischen Hoster... Also ziemlich eindeutig. Natürlich gibt es spezielle Forensik Firmen, das ist aber Kundensache, ob er welche beauftragt. Darauf hingewiesen ist er, auch dass ggf. einen Datenabfluss hat, der nach der DSGVO zu melden ist. Aber auch das ist nicht meine Sache und Aufgabe. Ich bin nicht der Admin oder Verantwortliche Zitieren Link zu diesem Kommentar
Gulp 260 Geschrieben 3. Januar 2020 Melden Teilen Geschrieben 3. Januar 2020 ...... dass es nicht nur die kleinen und unvorbereiteten Unternehmen treffen kann, dürfte ja eigentlich jedem mit dem Emotet Befall bei heise klar geworden sein. Grüsse Gulp Zitieren Link zu diesem Kommentar
BOfH_666 577 Geschrieben 3. Januar 2020 Melden Teilen Geschrieben 3. Januar 2020 ... kommt sogar noch besser: "Auch ein ausgewiesener Sicherheitsforscher klickt mal daneben .... " 36C3: Wenn der Ransomware-Support plötzlich Russisch spricht Zitieren Link zu diesem Kommentar
monstermania 53 Geschrieben 3. Januar 2020 Melden Teilen Geschrieben 3. Januar 2020 vor 15 Stunden schrieb Squire: nebenbei - ich denke, dass es für den einen oder anderen ganz interessant sein kann hier mit zu lesen ... Ja!! Schlichtweg, weil irgendwann erwischt es Jeden! Bleibe noch die Frage, ob man den Zugriff mit einer Firewll und simplen GeoIP-Blocking hätte verhindern bzw. erschweren können. Meiner Erfahrung nach benötigen die wenigsten KMU Russische/Chinesische/Afrika Server. Zitieren Link zu diesem Kommentar
DocData 85 Geschrieben 3. Januar 2020 Melden Teilen Geschrieben 3. Januar 2020 Es erwischt nicht jeden. Es erwischt nur die, die ihre Hausaufgaben nicht gemacht haben. Geo-Blocking halte ich für nicht praktikabel. Grundsätzlich sollte man die Angriffsvektoren beachten, also Makros, Links, PowerShell, Zugriff von Außen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.