59561
29.04.2016
2193
10
0
Ransomware-Attacke - aber welche?
Hallo Gemeinde,
wir sind heute Mittag in den "Genuss" einer Ransomware-Attacke gekommen, leider finde ich bisher keinen Anhaltspunkt, um welche es sich handelt. Vielleicht kommt das hier einem bekannt vor, deshalb mal kurz die Entstehung:
Betroffen sind mehrere Ordner auf unserem Fileserver (2008R2), die als Share für eine Gruppe von ca. 15 Domain-Usern freigegeben sind. Der ganze "Befall" dauerte laut Timestamp nur ca. 45 Minuten, danach wurden keine weiteren Verzeichnisse verschlüsselt. In Summe sind das ca. 35 GB, der ganze Server hat 1,2 TB an Dateien vorrätig. In jedem verschlüsselten Verzeichnis befinden sich anschließend drei weitere Dateien (PNG, HTML, TXT), Filename ist !RecoveR!-kanvy++ Der Virenscanner (wir nutzen Sophos) zeigt natürlich nichts an...
In den erwähnten drei neuen Dateien wird auf eine Seite im Darknet verwiesen, via Tor-Browser zu erreichen. Man hätte gerne 1,3 BitCoins bis nächsten Mittwoch, danach verdoppelt sich der Preis... So richtig zu finden ist nichts im Web, weder "kanvy" oder irgendwas ähnliches bringt zielführende Resultate. Ich habe erst noch auf den alten TorLocker getippt - Fehlanzeige.
Ein sauberes Backup habe ich, deshalb ist die Panik momentan noch nicht ganz so groß. Ich hätte nur zu gerne gewußt, was wir uns da eingefangen haben. Wenn jemand weiterhelfen kann, ich wäre sehr dankbar!!
Gruß,
Karsten
wir sind heute Mittag in den "Genuss" einer Ransomware-Attacke gekommen, leider finde ich bisher keinen Anhaltspunkt, um welche es sich handelt. Vielleicht kommt das hier einem bekannt vor, deshalb mal kurz die Entstehung:
Betroffen sind mehrere Ordner auf unserem Fileserver (2008R2), die als Share für eine Gruppe von ca. 15 Domain-Usern freigegeben sind. Der ganze "Befall" dauerte laut Timestamp nur ca. 45 Minuten, danach wurden keine weiteren Verzeichnisse verschlüsselt. In Summe sind das ca. 35 GB, der ganze Server hat 1,2 TB an Dateien vorrätig. In jedem verschlüsselten Verzeichnis befinden sich anschließend drei weitere Dateien (PNG, HTML, TXT), Filename ist !RecoveR!-kanvy++ Der Virenscanner (wir nutzen Sophos) zeigt natürlich nichts an...
In den erwähnten drei neuen Dateien wird auf eine Seite im Darknet verwiesen, via Tor-Browser zu erreichen. Man hätte gerne 1,3 BitCoins bis nächsten Mittwoch, danach verdoppelt sich der Preis... So richtig zu finden ist nichts im Web, weder "kanvy" oder irgendwas ähnliches bringt zielführende Resultate. Ich habe erst noch auf den alten TorLocker getippt - Fehlanzeige.
Ein sauberes Backup habe ich, deshalb ist die Panik momentan noch nicht ganz so groß. Ich hätte nur zu gerne gewußt, was wir uns da eingefangen haben. Wenn jemand weiterhelfen kann, ich wäre sehr dankbar!!
Gruß,
Karsten
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 303282
Url: https://administrator.de/contentid/303282
Ausgedruckt am: 08.11.2024 um 18:11 Uhr
10 Kommentare
Neuester Kommentar
Moin!
Hast du denn den verursachenden Client schon identifiziert?
Hat der sich evtl. nach 45 min. abgemeldet und deshalb nicht weiter rumoren können?
Oder hatte evtl. der befallene User nur Berechtigungen auf diese 35 GB?
Von einer Variante, die ausschliesslich Shares verschlüsselt, habe ich noch nichts gehört, das wäre aber ne gute Idee der Bad Guys.
Jedenfalls musst du dringend den Infektionsweg nachvollziehen und auf dem betroffenen Rechner sollten Dateien liegen, die via Virus Total identifizierbar sind.
Viel Erfolg!
Buc
Hast du denn den verursachenden Client schon identifiziert?
Hat der sich evtl. nach 45 min. abgemeldet und deshalb nicht weiter rumoren können?
Oder hatte evtl. der befallene User nur Berechtigungen auf diese 35 GB?
Von einer Variante, die ausschliesslich Shares verschlüsselt, habe ich noch nichts gehört, das wäre aber ne gute Idee der Bad Guys.
Jedenfalls musst du dringend den Infektionsweg nachvollziehen und auf dem betroffenen Rechner sollten Dateien liegen, die via Virus Total identifizierbar sind.
Viel Erfolg!
Buc
Moin,
hört sich für mich nach nem TorrentLocker an:
the-current-state-of-ransomware-torrentlocker
Wenn dem so ist, war der Angriffsvektor höchstwahrscheinlich eine Spam-Mail. Aber diese Variante nistet sich auch im befallenen Rechner ein, du solltest also wie von the-buccaneer gesagt unbedingt das Einfallstor finden.
Mit freundlichen Grüßen
hört sich für mich nach nem TorrentLocker an:
the-current-state-of-ransomware-torrentlocker
Wenn dem so ist, war der Angriffsvektor höchstwahrscheinlich eine Spam-Mail. Aber diese Variante nistet sich auch im befallenen Rechner ein, du solltest also wie von the-buccaneer gesagt unbedingt das Einfallstor finden.
Mit freundlichen Grüßen
Hallo,
ein guter Ansatz für eine Suche ist, dass man eine verschlüsselte Datei mit einem Hex-Editor öffnet. In den ersten Zeilen schreiben die meisten Trojaner einige Informationen, welche zum Entschlüsseln benötigt werden, mit diesen Infos kann man schnell den Trojaner ausfindig machen.
Oder man nutzt https://id-ransomware.malwarehunterteam.com. Am besten eine weniger wichtige Datei nehmen, man gibt diese ja nunmal an eine fremde Webseite.
ein guter Ansatz für eine Suche ist, dass man eine verschlüsselte Datei mit einem Hex-Editor öffnet. In den ersten Zeilen schreiben die meisten Trojaner einige Informationen, welche zum Entschlüsseln benötigt werden, mit diesen Infos kann man schnell den Trojaner ausfindig machen.
Oder man nutzt https://id-ransomware.malwarehunterteam.com. Am besten eine weniger wichtige Datei nehmen, man gibt diese ja nunmal an eine fremde Webseite.