Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Hat hier jemand schon mal erfolgreich Locky-Dateien wiederhergestellt?

Mitglied: Lochkartenstanzer

Lochkartenstanzer (Level 5) - Jetzt verbinden

07.02.2018, aktualisiert 12:12 Uhr, 1017 Aufrufe, 9 Kommentare, 2 Danke

Moin,


Eine kurze Frage in die Runde:

Hat jemand schon einmal Erfolg damit gehabt, die Dateien von Locky (*.locky) ohne Zahlung eines Lösegeldes mit Hilfe der diversen Tools von dem Antimalwareherstellern zurückzuholen? Ich habe mal auf zwei Jahre alte Locky-Dateien das Tool von trendmicro losgelassen und der erkennt die nicht einmal als Locky-Dateien. Bevor ich da jetzt zuviel Energie reinstecke (und das dann beim Kunden verargumentieren muß) wollte ich mal nach euren Erfahrungen fragen.

Hintergrund:

Ich soll ein CRM von einem alten Server (Superoffice auf W2012 Foundation) auf einen neuen Server an einem neuen Standort bringen (Superoffice auf W2016 Essentials) und dabei ist mir aufgefallen, daß in den Datenverzeichnissen viele .locky-Dateien vom 16.2.2016 herumliegen. Offensichtlich hat am alten Standort zu diesem Zeitpunkt eine Locky-Infektion stattgefunden. Ich konnte aber bisher keinen Mitarbeiter auftreiben, der mir dazu informationen liefern konnte, insbesondere warum kein Backup eingespielt wurde und die Locky-Dateien aus dm Weg geräumt wurden.

Wenigstens war der Server "sauber", die Infektion hat also vermutlich nur einen Arbeitsplatz betroffen.

Hasta la victoria siempre, wie Che immer zu sagen pflegte.

lks

Mitglied: MOS6581
LÖSUNG 07.02.2018, aktualisiert um 10:06 Uhr
Moin lks,

ich bin bisher mit den diversen Decryptern von Kaspersky https://noransom.kaspersky.com/ immer gut gefahren. Auch hilfreich ist das ID Ransomware Tool, welches den verwendeten Bösewicht aufgrund der verschlüsselten Daten, der Lösegeldforderungen und evtl. angegebenen Mailadressen erkennt...

lG MOS

Edit: Auch sehr empfehlenswert sind die Foren von BleepingComputer.com - dort findet man auch tiefgreifende Informationen zum jeweiligen Schädling und dem Umgang mit selbigem.
Bitte warten ..
Mitglied: Kraemer
LÖSUNG 07.02.2018 um 10:53 Uhr
Moin lks,

bisher nur einmal bei nem bekannten gehabt. Nach ~5 Stunden und ner Kiste Bier aufgegeben.
Deine Vermutung das du u.U. Diskussionen mit dem Kunden bekommst ist also naheliegend.

Gruß
Bitte warten ..
Mitglied: Lochkartenstanzer
07.02.2018 um 10:54 Uhr
Zitat von MOS6581:

Moin lks,

ich bin bisher mit den diversen Decryptern von Kaspersky https://noransom.kaspersky.com/ immer gut gefahren.

Da ist ncihts dabei, was auf Locky paßt.

Auch hilfreich ist das ID Ransomware Tool, welches den verwendeten Bösewicht aufgrund der verschlüsselten Daten, der Lösegeldforderungen und evtl. angegebenen Mailadressen erkennt...

Der sagt, geht momentan nicht. Man soll die Dateien einlagern und auf spätere Tools hoffen.

Edit: Auch sehr empfehlenswert sind die Foren von BleepingComputer.com - dort findet man auch tiefgreifende Informationen zum jeweiligen Schädling und dem Umgang mit selbigem.

werde ich mal reinschauen. Vielleich tgibt es da was.

Aber ich vermute mal, daß man die Dateien vorerst abschreiben muß. Ich kann nur hoffen, daß ich den Mitarbeiter auftreiben kann, der sich damals um die Infektion bzw. deren Beseitigung gekümmert hat.

lks
Bitte warten ..
Mitglied: MOS6581
07.02.2018 um 11:06 Uhr
Alles klar. Interessant wäre, um welchen Cryptolocker es sich genau handelt. Decrypter für Locky (welche Variante auch immer) scheint es einige zu geben, unter anderem diesen hier PowerLockyDecryptor von Michael Gillespie, welcher auch die ID Ransomware Seite in's Leben gerufen hat.

Meistens ist die genaue Ransomware an dem "Erpresserschreiben" zu identifizieren.

lG MOS
Bitte warten ..
Mitglied: Lochkartenstanzer
07.02.2018, aktualisiert um 11:14 Uhr
Zitat von MOS6581:

Alles klar. Interessant wäre, um welchen Cryptolocker es sich genau handelt.

Es scheint die allerserste Locky-Generation zu sein. Zumindest nach dem Dateinamen mit sedezimaler "Kundennummer" und Zufallszahl und der Endung locky zu urteilen. Die HTM-dateien mit der Lösegeldforderung habe ich auf dem Serve rncith gesehen. Deswegen gehe ich davon aus, daß genau ein Client betroffen war, weil auch nur eine "Kundennummer" auftaucht.

lks
Bitte warten ..
Mitglied: Lochkartenstanzer
07.02.2018 um 11:25 Uhr
Zitat von MOS6581:

... unter anderem diesen hier PowerLockyDecryptor von Michael Gillespie, welcher auch die ID Ransomware Seite in's Leben gerufen hat.


Der sagt auch nur, daß die dateien vom "real locky" verschlüsselt wurden und macht nichts. Trotzdem danke.

lks
Bitte warten ..
Mitglied: MOS6581
07.02.2018 um 11:54 Uhr
Schade - dann ist das wohl tatsächlich die "vernünftige" Locky-Version die afaik immer noch nicht entschlüsselt werden kann (es sei denn, die Master-Keys werden irgendwann publik). Aus der letzten böseren Ransomware-Geschichte habe ich noch ein paar Images mit Dharma-Ransomware-Opfern rumliegen, da hoffe ich auch darauf, dass irgendwann mal Schlüssel auftauchen - nicht zuletzt, damit ich die vielen externen Platten wieder benutzen kann ;)

Was aber für solche langwierigen Dinger nicht schadet, ist sich im BleepingComputer-Forum für den jeweiligen Thread eine E-Mail Benachrichtigung einzurichten und informiert zu werden, sobald es etwas neues gibt.

lG MOS
Bitte warten ..
Mitglied: Lochkartenstanzer
07.02.2018 um 14:30 Uhr
Update

Ich habe inzwischen auch Hinweise gefunden, daß offensichtlich am 30.08.2016 noch eine Cerber-Infektion vorgefallen sein muß. Auch da melden die Tools, daß die dateien noch nicht entschlüsselt werden können.

Ich glaube ich stelle mal die Wiederherstellungversuche ein, um zumindest erstmal die mitarbeiter zu lokalisieren, die damals damit zu tun hatten. Insbeondere werde ich prüfen, ob damals dateien aus dem Backup wiederhergestellt werden konnten oder ob die vorhandenen verschlüsselten Dateien als schwarzes Loch betrachtet werden müssen.

danke jedenfalls für eure Tipps.

Wenn aber jemand noch Hinweise hat, dann gerne her damit,

lks
Bitte warten ..
Mitglied: xalroth
08.02.2018 um 16:36 Uhr
Ich glaube ich stelle mal die Wiederherstellungversuche ein, um zumindest erstmal die mitarbeiter zu lokalisieren, die damals damit zu tun hatten.

Wenn Du die findest, kannst Du ja auch fragen, ob da bereits Entschlüsselungsversuche stattgefunden haben, bei denen die Datein eventuell verändert wurden, was auch zur Quasi-Nichterkennung durch die o.g. Tools führen könnte. Wenn dem so wäre, könntest Du Dir weiteres Prüfen sparen.

LG xal
Bitte warten ..
Ähnliche Inhalte
Viren und Trojaner
Locky - hat ihn jemand für mich?
Frage von pelzfruchtViren und Trojaner25 Kommentare

Abend, klingt jetzt vielleicht etwas verdreht, aber ich wollte fragen ob mir jemand (per PM?) den Verschlüsselungstrojaner zuschicken könnte. ...

Outlook & Mail

Hat jemand schon mal den PST Converter Wizard eingesetzt?

gelöst Frage von LochkartenstanzerOutlook & Mail10 Kommentare

Moin Kollegen, Habe gerade mal den PST Converter Wizard auf den ich durch das Microsoft TechCenter aufmerksam wurde, ausprobiert, ...

Windows Server

Gelöschtes Computerkonto wiederhergestellt

Frage von LK5000Windows Server6 Kommentare

Hallo zusammen, in unserer (noch 2003er Domäne) wurde ein Computerkonto gelöscht, Wiederherstellung hat geklappt, doch jetzt würde ich gerne ...

Sicherheitsgrundlagen

UAC und Locky

gelöst Frage von OberlausitzerSicherheitsgrundlagen10 Kommentare

Hallo, ich bin ein bisschen unklar darüber, ob man die UAC wirklich so einfach aushebeln kann: Umgebung: Windows 10 ...

Neue Wissensbeiträge
Windows 10

Windows 10 V1809: Rollout ist gestartet - kommt per Windows Update

Information von kgborn vor 14 StundenWindows 101 Kommentar

Eine kurze Information für die Admins, die Windows 10 im Programm haben. Microsoft hat die letzte Baustelle (die Inkompatibilität ...

Sicherheit

Heise Beitrag Passwort-Sammlung mit 773 Millionen Online-Konten im Netz aufgetaucht

Information von Penny.Cilin vor 16 StundenSicherheit5 Kommentare

Auf Heise Online ist folgender Beitrag veröffentlicht worden: Heise Beitrag passwörter geleakt Ich bin mir jetzt nicht ganz sicher, ...

Microsoft Office
TEAMS - Skype for business
Tipp von Nebellicht vor 16 StundenMicrosoft Office

Hallo, ms ersetzt Skype for business durch TEAMS. Also, nicht wundern wenn mit der OFFICE365 Umgebung kein Skype for ...

Windows 10

Windows 10: Cortana und die Suche gehen bald wieder eigene Wege

Information von Frank vor 20 StundenWindows 102 Kommentare

Microsoft hat einen neuen Insider Build von Windows 10 veröffentlicht (Fast Ring, Version 18317), wo die digitale Assistentin "Cortana" ...

Heiß diskutierte Inhalte
Windows Server
Uhren gehen immer wieder falsch
Frage von killtecWindows Server23 Kommentare

Hallo, ich habe folgende Konstellation: 1. Physischer DC Div. Virtuelle DC's auf Hyper-V Servern Die Hyper-V-Server, der Physische DC ...

Switche und Hubs
Medienkonverter mit 12 oder 24 Ports gesucht
Frage von wmuellerSwitche und Hubs22 Kommentare

Guten Morgen, ich bin auf der Suche nach einem größeren Medienkonverter, der "stumpf" 1:1 die Ports auf über ein ...

Debian
OpenSSH Login mit Public Key schlägt fehl, mit Passwort funktioniert
gelöst Frage von DKowalkeDebian19 Kommentare

Hallo zusammen, ich hatte hier schon nach einer Anleitung für einen SFTP Server mit Linux gefragt, habe dort auch ...

Windows 10
VM wächst schnell von 14 auf 35 GB an - warum?
Frage von degudejungWindows 1018 Kommentare

Hallo, ich bin ein Freund schlanker VMs und setze daher gerne mit dem Erscheinen einer neuen Win10 Version - ...