59561
Goto Top

Ransomware-Attacke - aber welche?

Hallo Gemeinde,

wir sind heute Mittag in den "Genuss" einer Ransomware-Attacke gekommen, leider finde ich bisher keinen Anhaltspunkt, um welche es sich handelt. Vielleicht kommt das hier einem bekannt vor, deshalb mal kurz die Entstehung:

Betroffen sind mehrere Ordner auf unserem Fileserver (2008R2), die als Share für eine Gruppe von ca. 15 Domain-Usern freigegeben sind. Der ganze "Befall" dauerte laut Timestamp nur ca. 45 Minuten, danach wurden keine weiteren Verzeichnisse verschlüsselt. In Summe sind das ca. 35 GB, der ganze Server hat 1,2 TB an Dateien vorrätig. In jedem verschlüsselten Verzeichnis befinden sich anschließend drei weitere Dateien (PNG, HTML, TXT), Filename ist !RecoveR!-kanvy++ Der Virenscanner (wir nutzen Sophos) zeigt natürlich nichts an...

In den erwähnten drei neuen Dateien wird auf eine Seite im Darknet verwiesen, via Tor-Browser zu erreichen. Man hätte gerne 1,3 BitCoins bis nächsten Mittwoch, danach verdoppelt sich der Preis... So richtig zu finden ist nichts im Web, weder "kanvy" oder irgendwas ähnliches bringt zielführende Resultate. Ich habe erst noch auf den alten TorLocker getippt - Fehlanzeige.

Ein sauberes Backup habe ich, deshalb ist die Panik momentan noch nicht ganz so groß. Ich hätte nur zu gerne gewußt, was wir uns da eingefangen haben. Wenn jemand weiterhelfen kann, ich wäre sehr dankbar!!

Gruß,
Karsten

Content-ID: 303282

Url: https://administrator.de/contentid/303282

Ausgedruckt am: 23.11.2024 um 00:11 Uhr

the-buccaneer
the-buccaneer 30.04.2016 um 03:26:46 Uhr
Goto Top
Moin!

Hast du denn den verursachenden Client schon identifiziert?
Hat der sich evtl. nach 45 min. abgemeldet und deshalb nicht weiter rumoren können?
Oder hatte evtl. der befallene User nur Berechtigungen auf diese 35 GB?
Von einer Variante, die ausschliesslich Shares verschlüsselt, habe ich noch nichts gehört, das wäre aber ne gute Idee der Bad Guys. face-wink

Jedenfalls musst du dringend den Infektionsweg nachvollziehen und auf dem betroffenen Rechner sollten Dateien liegen, die via Virus Total identifizierbar sind.
Viel Erfolg!

Buc
supergrml
supergrml 30.04.2016 aktualisiert um 07:46:33 Uhr
Goto Top
Moin,

hört sich für mich nach nem TorrentLocker an:
the-current-state-of-ransomware-torrentlocker

Wenn dem so ist, war der Angriffsvektor höchstwahrscheinlich eine Spam-Mail. Aber diese Variante nistet sich auch im befallenen Rechner ein, du solltest also wie von the-buccaneer gesagt unbedingt das Einfallstor finden.

Mit freundlichen Grüßen
59561
59561 30.04.2016 um 12:04:20 Uhr
Goto Top
... Danke erstmal. Ja, die Quelle könnte sich auf ein oder zwei Clients reduzieren lassen, wenn ich nach dem Timestamp der befallenen Verzeichnisse gehe. Jeder der User hat noch ein eigenes Verzeichnis mit exklusivem Schreibrecht, dort wurden die ersten Dateien verschlüsselt. Nur - beide Clients waren noch deutlich länger online, als überhaupt verschlüsselt wurde. Habe gestern beide vom Netzwerk genommen und überlege gerade, worauf und womit ich die überprüfen könnte. Die entsprechenden Exchange-Postfächer der User schau ich mir dann auch nochmal genauer an.

Nachdem ich noch mehrere Male überprüft habe, ob weitere Verzeichnisse in der Zwischenzeit verschlüsselt wurden/werden (nicht der Fall), werde ich die betroffenen Dateien jetzt erstmal wegkopieren, dann auf dem Server löschen und aus dem Backup ersetzen. Überlege nur gerade noch, wie groß das Risiko sein könnte, nach dieser Prozedur den Server wieder online zu nehmen. Oder eben doch die gesamte Datenpartition (läuft als Passthrough-Disk an einer VM) zu kippen und zurückzuspielen. Notfalls geht halt noch der Sonntag drauf... face-sad

So sieht übrigens die Hinterlassenschaft in den Verzeichnissen aus...

!recover!-kanvy++


Gruß,
Karsten
59561
59561 02.05.2016 um 13:11:05 Uhr
Goto Top
Hallo,
kurzes Update - leider sind keine größeren Erkenntnisse dazugekommen. Die Daten sind wieder OK, den Client, der das ausgelöst hat, habe ich auch relativ schnell finden können (alle Berechtigten vom Netz getrennt und der Reihe nach eingeschaltet - beim zweiten kam nach dem Hochfahren die bildschirmfüllende Meldung vom Screenshot hier oben).
Ansonsten gestaltet sich die Suche nach dem Namen der Ransomware schwierig. Die gängigen Tools helfen nicht (Kaspersky usw.), was vielleicht noch interessant sein könnte: die verschlüsselten Dateien werden nicht umbenannt oder in einer zusätzlichen Liste gesammelt und abgelegt - alles noch "original" (Name, Größe; Datum natürlich nicht).

Gruß,
Karsten
friest
Lösung friest 02.05.2016 um 16:00:05 Uhr
Goto Top
Hallo,

ein guter Ansatz für eine Suche ist, dass man eine verschlüsselte Datei mit einem Hex-Editor öffnet. In den ersten Zeilen schreiben die meisten Trojaner einige Informationen, welche zum Entschlüsseln benötigt werden, mit diesen Infos kann man schnell den Trojaner ausfindig machen.

Oder man nutzt https://id-ransomware.malwarehunterteam.com. Am besten eine weniger wichtige Datei nehmen, man gibt diese ja nunmal an eine fremde Webseite.
59561
59561 02.05.2016 um 19:26:38 Uhr
Goto Top
Hallo zurück,

nein, ich fürchte, da werden wir noch etwas Geduld brauchen. Aber trotzdem Danke für den Link, ich kann ja von Zeit zu Zeit mal nachschauen.

unknown_ransom

Gruß,
Karsten
59561
59561 03.05.2016, aktualisiert am 09.05.2016 um 09:29:31 Uhr
Goto Top
Hallo nochmal,
so wie es aussieht, haben wir eine Version von Teslacrypt gefangen. Ich habe auf https://ransomwaretracker.abuse.ch/feeds/csv/
unter dem Datumsstempel "2016-05-02..." die 3 Domains gefunden, die in den Info-Dateien der verschlüsselten Verzeichnisse aufgeführt sind.
Unter https://www.pcrisk.com/removal-guides/8724-teslacrypt-virus sind auch die Screenshots zu sehen.
Mal sehen ob das soweit stimmt, normalerweise benennt Teslacrypt die befallenen Dateien um, das ist bei uns nicht der Fall. Ich melde mich nochmal, wenn ich neue Erkenntnisse habe.

Gruß,
Karsten
59561
59561 09.05.2016 aktualisiert um 09:30:25 Uhr
Goto Top
Hallo zusammen,
da wir an diesem Punkt nichts weiter unternehmen können, als zu warten, setze ich das Thema zunächst mal auf "gelöst".
Was soweit klar ist - wir hatten TeslaCrypt 4.2, es gibt momentan keinen Weg, die Verschlüsselung zu knacken. Hier nochmal die letzten Infos, die man diesbezüglich finden kann - http://www.bleepingcomputer.com/news/security/teslacrypt-4-2-released-w ...
Ich werde mir den verursachenden Client mit dem Trojaner zunächst aufheben - vielleicht tut sich ja noch was in der nächsten Zeit.

Gruß,
Karsten
59561
59561 27.05.2016 aktualisiert um 10:17:15 Uhr
Goto Top
Hallo zusammen,
es gibt also mittlerweile eine Lösung für das Problem, verschiedene Threads dazu existieren ja seit knapp einer Woche. Habe vorhin folgenden Artikel gefunden: https://dieviren.de/teslacrypt-4-2/
und das Tool unter dem Link auf Seite 2 zum Teslacrypt-Entschlüsselungsprogramm auf unsere verschlüsselten Dateien losgelassen. Das funktioniert bis jetzt soweit - jede befallene Datei wurde wiederhergestellt. Ich werde die Dateien dennoch nicht mehr verwenden und schön weit weg vom Produktivsystem halten, aber immerhin bekommt man wohl seine Daten wieder.

Na gut, zu manchen Aussagen auf der Seite kann man sich seinen Teil denken: "In Mai 2016 haben die Hacker das Projekt jedoch endlich beendet und einen universalen Entschlüsselungsschlüssel veröffentlicht. Sie können Ihre Dateien jetzt also zum Glück kostenfrei wiederherstellen.", aber egal...

Ich bitte trotzdem, die Angelegenheit mit der gebotenen Vorsicht zu betrachten. Wie gesagt, bei uns wurden alle Dateien mit dem angebotenen Tool wieder entschlüsselt und funktionieren auch (die, die ich stichprobenartig geöffnet habe). Ein paar abschließende Scans stehen zwar noch aus, aber es sieht gut aus.

Gruß,
Karsten
the-buccaneer
the-buccaneer 29.05.2016 um 01:40:45 Uhr
Goto Top
Glück muss man haben face-wink

Buc