5
Lockbit-Befall bei Kunden
Hallo zusammen,
hat jemand Erfahrung mit dem Befall durch Lockbit 2.0?
Bei einem Kunden im Netz ist das an einem Computer aufgetreten... dass die Windows-PCs neu installiert werden, ist kein Thema, die Datensicherung hat auch funktioniert.
Aber ein paar Fragen bleiben... z.B. weiß jemand, wie es mit einem MacBook und einem Linux-Server aussieht? Gefunden habe ich nichts dazu. Der Linux-Server läuft unter Centos 7 und hat ein paar SMB-Shares, keine zentrale Authentifizierung, keine Gruppenrichtlinien.
Und zweite Frage: Was ist von Anwendungen wie „Combo Cleaner“, „SpyHunter“, „Data Recovery Pro“ oder „Stellar Data Recovery“ zu halten? Diese werden allesamt eifrig beworben, bin mir aber nicht sicher, ob das eher nützlich ist oder die Lage noch schlimmer macht? Hintergrund ist, dass der Kunde wohl einen USB-Stick in seinem privaten Netz eingesteckt hat (das sonst komplett getrennt ist von dem betroffenen Netzwerk). Und ich würde gerne rausfinden, ob die PCs dort auch befallen sind. Verschlüsselt wurde hier nichts und der normale Virenscanner hat nichts gefunden. Auch die Desinfect-CD des heise-Verlags hat mit vier Virenscannern nichts zutage gebracht.
Mehrfach wurde in einigen Artikeln auch empfohlen, ein potentiell betroffenes System auf den Stand vor der Infektion zurückzusetzen. Was ist davon zu halten?
Vielen Dank im Voraus und viele Grüße,
Frank
hat jemand Erfahrung mit dem Befall durch Lockbit 2.0?
Bei einem Kunden im Netz ist das an einem Computer aufgetreten... dass die Windows-PCs neu installiert werden, ist kein Thema, die Datensicherung hat auch funktioniert.
Aber ein paar Fragen bleiben... z.B. weiß jemand, wie es mit einem MacBook und einem Linux-Server aussieht? Gefunden habe ich nichts dazu. Der Linux-Server läuft unter Centos 7 und hat ein paar SMB-Shares, keine zentrale Authentifizierung, keine Gruppenrichtlinien.
Und zweite Frage: Was ist von Anwendungen wie „Combo Cleaner“, „SpyHunter“, „Data Recovery Pro“ oder „Stellar Data Recovery“ zu halten? Diese werden allesamt eifrig beworben, bin mir aber nicht sicher, ob das eher nützlich ist oder die Lage noch schlimmer macht? Hintergrund ist, dass der Kunde wohl einen USB-Stick in seinem privaten Netz eingesteckt hat (das sonst komplett getrennt ist von dem betroffenen Netzwerk). Und ich würde gerne rausfinden, ob die PCs dort auch befallen sind. Verschlüsselt wurde hier nichts und der normale Virenscanner hat nichts gefunden. Auch die Desinfect-CD des heise-Verlags hat mit vier Virenscannern nichts zutage gebracht.
Mehrfach wurde in einigen Artikeln auch empfohlen, ein potentiell betroffenes System auf den Stand vor der Infektion zurückzusetzen. Was ist davon zu halten?
Vielen Dank im Voraus und viele Grüße,
Frank
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1458464396
Url: https://administrator.de/contentid/1458464396
Ausgedruckt am: 15.11.2024 um 17:11 Uhr
5 Kommentare
Neuester Kommentar
Hallo,
Nein.
https://www.zdnet.de/88396436/lockbit-2-0-entschluesselt/
https://www.zdnet.de/88396290/version-2-0-ransomware-lockbit-kehrt-mit-n ...
https://www.datensicherheit.de/accenture-lockbit-ransomware-angriff
Gruß,
Peter
Nein.
ein potentiell betroffenes System auf den Stand vor der Infektion zurückzusetzen. Was ist davon zu halten?
Entscheide selbst, aber Grundsätzlich ist dies richtig und eher Pflicht. https://www.kaspersky.de/resource-center/threats/lockbit-ransomwarehttps://www.zdnet.de/88396436/lockbit-2-0-entschluesselt/
https://www.zdnet.de/88396290/version-2-0-ransomware-lockbit-kehrt-mit-n ...
https://www.datensicherheit.de/accenture-lockbit-ransomware-angriff
Gruß,
Peter
Das ist das Problem.
Bloss weil Du nichts gefunden hast, ist dies kein Beweis, dass dort nichts ist.
Dies ist eine Ermessensfrage.
Bloss weil Du nichts gefunden hast, ist dies kein Beweis, dass dort nichts ist.
Dies ist eine Ermessensfrage.
Servus!
Wir verwenden als Second opinion Scanner gerne thor-lite
https://www.nextron-systems.com/thor-lite/
Kostet nix - ok - E-Mail addy musst du angeben...
Gruß
Luigi
Wir verwenden als Second opinion Scanner gerne thor-lite
https://www.nextron-systems.com/thor-lite/
Kostet nix - ok - E-Mail addy musst du angeben...
Gruß
Luigi
Hi,
Ich frage deshalb, weil ein Befall mit Lockbit 2.0 grob gesagt aus mehreren Phasen besteht:
1. Einbruch in das System
2. Verteilung im Netzwer)
3. Datenklau
4. Deaktivierung aller Accounts
5. Verschlüsselung
Von Einbruch bis Verschlüsselung können mehrere Monate vergehen.
Wahrscheinlich ist es bei dem Kunden erst durch die Verschlüsselung aufgefallen.
Wie (und warum !) sind die Kriminellen in euer System eingedrungen ?
Was ist in dem Netzwerk und allen beteiligten PCs, Servern etc. durch Lockbit passiert ?
Welche Daten sind wann abgeflossen ?
etc.
Falls forensische Untersuchungen gemacht werden (müssen) werden die Originalfestplatten bzw. forensische Images davon benötigt. Auch von dem verschlüsseltem PC können z.B. noch Eventlogs ausgelesen werden.
noch paar Tools die auch eingesetzt werden können:
Kape und Carbon Black.
Gruß
CH
Falls du mehr wissen willst: PM
hat jemand Erfahrung mit dem Befall durch Lockbit 2.0?
Leider ja.Bei einem Kunden im Netz ist das an einem Computer aufgetreten
Was ist da aufgetreten, bzw. was ist da festgestellt worden ?Ich frage deshalb, weil ein Befall mit Lockbit 2.0 grob gesagt aus mehreren Phasen besteht:
1. Einbruch in das System
2. Verteilung im Netzwer)
3. Datenklau
4. Deaktivierung aller Accounts
5. Verschlüsselung
Von Einbruch bis Verschlüsselung können mehrere Monate vergehen.
Wahrscheinlich ist es bei dem Kunden erst durch die Verschlüsselung aufgefallen.
Wie (und warum !) sind die Kriminellen in euer System eingedrungen ?
Was ist in dem Netzwerk und allen beteiligten PCs, Servern etc. durch Lockbit passiert ?
Welche Daten sind wann abgeflossen ?
etc.
dass die Windows-PCs neu installiert werden, ist kein Thema
Nicht die betroffenen Geräte bzw. Festplatten überschreiben !!!! Falls forensische Untersuchungen gemacht werden (müssen) werden die Originalfestplatten bzw. forensische Images davon benötigt. Auch von dem verschlüsseltem PC können z.B. noch Eventlogs ausgelesen werden.
die Datensicherung hat auch funktioniert.
Siehe oben, du kannst nur der Datensicherung vor der Infektion vetrauen, nicht vor der Verschlüsselung.noch paar Tools die auch eingesetzt werden können:
Kape und Carbon Black.
Gruß
CH
Falls du mehr wissen willst: PM
Von Einbruch bis Verschlüsselung können mehrere Monate vergehen.
Siehe oben, du kannst nur der Datensicherung vor der Infektion vetrauen, nicht vor der Verschlüsselung
Nicht die betroffenen Geräte bzw. Festplatten überschreiben !!!!
Neue HW, Daten von vor 6 Monaten, alles nacharbeiten, Renomee-Verlust, und DSGVO-Schikanen
… vielleicht einfacher den Laden zu schließen 🙄
