edaseins
Goto Top

Mischa Trojaner. Was nun

Hi Leute,

und nun bin ich verzweifelt.

Ich habe einen Kunden der hat sich nen Mischa im gesamten Netzwerk eingefangen. Dieser kam per Bewerbungsmail mit Link zu einer Cloud Plattform in dem die Bewerbungsunterlagen angeblich liegen sollten. Dort befand sich eine "Bewerbungsmappe". die wenn man sie gedownloadet hat. "PDF Bewerbungsmappe" hies. Diese wurde geöffnet da auch das Symbol von Adobe geklaut wurde. Im nachhinein konnte ich dann feststellen dass die Dateiendung .exe ist. Nun ist meine Kundin total aufgeschmissen und hat absolut keine Daten mehr weil das Backup ist auch infiziert. Nun versuche ich die bPvK Dateien zu entschlüsseln.

Die Dateien die auf C: lagen habe ich mit einem Shadow Explorer wieder bekommen. Die Daten die auf den Externen Datenträgern lagen habe ich zu 10% ca mit Data Recovery Pro wiederherstellen können.

Hat jemand von euch mal ähnliches gehabt und kennt noch ein tool?

liebe Grüße

Content-ID: 305441

Url: https://administrator.de/contentid/305441

Ausgedruckt am: 08.11.2024 um 09:11 Uhr

ArnoNymous
ArnoNymous 26.05.2016 um 09:25:14 Uhr
Goto Top
Moin,

was ist da denn für ein Backup, das auch verschlüsselt wurde...?
Kurze Recherche hat ergeben, dass es noch ein Decrypt-Tool dafür gibt.
Wenn auch keine Schttenkopien vorhanden sind, sieht es wohl eher schlecht aus.
Lochkartenstanzer
Lochkartenstanzer 26.05.2016 um 09:42:27 Uhr
Goto Top
Zitat von @Edaseins:

und nun bin ich verzweifelt.

Hol Dir ein paar Flaschen Single-Malt und leere die zusammenmit Deiner Kundin bei Trinkspielen.

Ich habe einen Kunden der hat sich nen Mischa im gesamten Netzwerk eingefangen. Dieser kam per Bewerbungsmail mit Link zu einer Cloud Plattform in dem die Bewerbungsunterlagen angeblich liegen sollten. Dort befand sich eine "Bewerbungsmappe". die wenn man sie gedownloadet hat. "PDF Bewerbungsmappe" hies. Diese wurde geöffnet da auch das Symbol von Adobe geklaut wurde. Im nachhinein konnte ich dann feststellen dass die Dateiendung .exe ist.

Was für eine Überraschung warum zeigst Du Deinen Kunden nciht, wie man die Defaulteinstellungen übergeht und sich die Dateiendungen imemr anzeigen läßt. Ein Großteil der "bewerbungen" und "rechnungen" fällt allein dadurch auf, wenn man sich die Dateiendungen anzeigen läßt.

Nun ist meine Kundin total aufgeschmissen und hat absolut keine Daten mehr weil das Backup ist auch infiziert.

Backups die auch infiziert werden können, sind keine Backups. Eingeschaften von Backups ist z.b. daß wenn das ganze haus abfackelt, man imme rnoch die Daten hat, die also entweder in einem sicheren Safe außer reichweite von Feuer udn Trojanern liegen oder gelcih ganz außer Haus sind.

Lerne udn bringe es Deiner Kundin bei, wie man richtige backups macht.


Nun versuche ich die bPvK Dateien zu entschlüsseln.

Viel Spaß.


Die Dateien die auf C: lagen habe ich mit einem Shadow Explorer wieder bekommen. Die Daten die auf den Externen Datenträgern lagen habe ich zu 10% ca mit Data Recovery Pro wiederherstellen können.

Da warst Du schon recht erfolgreich und hast Glück gehabt, daß das Ding die Schattenkopien noch nicht über den Jordan geschickt hat.


Hat jemand von euch mal ähnliches gehabt und kennt noch ein tool?

Meine Erfahrung mit solchen Programmen ist, daß Du i.d.R. keien Chance hast, wenn Du kein ordentliches Backup gemacht hast. und es noch kein Tool für das Entschlüsseln gibt. Und für Mischa wäre mir nicht bekannt, daß es schon eines gäbe.


Mögliche Schritte die Du unternehmen kannst:

  • Datenrettungsunternehmen beauftragen -> Recht teuer.
  • Lösegeld zahlen. Auch teuer, hilft aber oft.
  • Images aller Kisten ziehen zum aufbewahren. Alles (!!!einself!!) frisch installeiren, ordentliches Backup einrichten mit mindestens 3 offlinemedien und bis zu 14 tagen zurück. danach warten, bis irgendwann ein Tool herausgegeben wird, daß Mischa entschlüsseln kann.

lks
Epixc0re
Epixc0re 26.05.2016 um 10:05:01 Uhr
Goto Top
Hallo,

ich hab einen Kunden in Deutschland - der hat beim Forum der Agentur für Arbeit einen Job ausgeschrieben.
Er hat dann exakt auf diese Ausschreibung eine Bewerbung erhalten, in korrektem Deutsch und mit dem erwähntem Anhang.

Cloud: jottacloud.com
Absender: Andreas.Ric......@maills.de


Wie ist der denn zu euch ins Netz gekommen? Hat der Kunde auch eine Ausschreibung gemacht?


lG,
Stefan
Edaseins
Edaseins 26.05.2016 um 13:27:30 Uhr
Goto Top
Also um mal ganz auszuholen.

Wir bieten Datenrettung usw an. Wir haben vor Jahren mal einer anderen Kundin einen Trojaner entfernt und ihre Daten gerettet, die Kundin um die es jetzt geht ist eine Freundin der anderen.

Diese Firma ist nun Neukunde für uns, vor Ort haben sie 3 PC´s die gemeinsam auf einer externen Festplatte arbeiten welche an einem Netbook angeschlossen ist. Diese Festplatte wird als Backup bezeichnet.

Desweiteren gab es auf einem der PC´s.... (um nicht zu sagen auf dem HauptPC der auch inzwischen der Mischa Client ist) eine 2 te verbaute Festplatte die sich alle k.a.... 3 Monate oder so ein backup der Platte vom netbook gezogen hat.

So dass diese Backup Lösung nicht gerade Optimal ist haben wir ja nun geklärt. Und diese wird von uns durch ein NAS, externe Platten und Onlinebackup ersetzt.

So nun nehme man die Situation der jungen Dame die sich sich gar nicht auskennt. Sie nahm die Situation so hin. Blöd ist das Ihr PC der Haupt PC war. Mischa hat nun Ihren PC, die Netbook Platte und die "Backup" Platte infiziert.

Soll heissen egal was die junge Frau für Daten hatte... Die sind derzeit alle im Eimer.

Nun zu mir:

-> Alle Daten auf Ihrem PC konnte ich wiederherstellen.

-> AAAAber! die haben ja wie beschrieben alle auf der Netbook Platte gearbeitet. Das heisst 98% aller Daten waren darauf.

-> Mit dem Data Recovery Pro Programm konnte ich jetzt ca 2000 Dokumente wiederherstellen, hilft ihr erstmal dabei nicht zum Insolvenzgericht zu müssen...

-> Nun lager ich die Platte ein bis es eine Dechylfrierung gibt, da es ja scheinbar keine weiteren Tools gibt. Wo kann ich mich up to Date halten, wann sowas rauskommt?

Wie es zu der Mail kam... k.a. Sie sucht tatsächlich auch Mitarbeiter über die Jobbörse. Warscheinlich dasgleiche. Die Ausschreibung stimmte, ein Foto war in der jottacloud und die PDF.exe. Das Deutsch war korrekt.

Die Anwenderin wurde nun belehrt.

Sry für mein Deutsch... bin grad total im Prass.
MG-One
MG-One 26.05.2016 um 14:32:11 Uhr
Goto Top
^^Zitat von @Epixc0re:
ich hab einen Kunden in Deutschland - der hat beim Forum der Agentur für Arbeit einen Job ausgeschrieben.

Cloud: jottacloud.com
Absender: Andreas.Ric......@maills.de


Ein Kunde von mir hatte eine ähnliche mail. Die hatte aber zum Glück nicht auf die Stellenausschreibung gepasst und somit Misstrauen erweckt.

Absender war ein anderer, Link war aber auch die jottacloud.