22
Verschlüsselungstrojaner
Hallo zusammen,
ich habe heute einen Anruf von einer Kanzlei erhalten, dass NIX mehr funktioniert.
Bin dann auch gleich hingefahren um zu sehen was los ist.
Ja, alle Daten und die SQL Datenbanken sind verschlüsselt.
Es handelt sich um den Trojaner TomGate33 der alle Daten in .TG33 Dateien verschlüsselte, auch die SQL Datenbanken.
Hierzu habe ich am Server auf C:\perflog\TG33 ein paar batch Dateien und exe Dateien gefunden.
Die Batchdateien stellten sämtliche Dienste am Server ab, damit alles schön verschlüsselt werden konnte.
Eine andere Batchdatei lösche das gesamte VSS, eine andere wiederum sämtliche Ereigniseinträge.
Blöderweise hat sich der Trojaner auch über die Sicherungsfestplatte hergemacht
Leider hat die Kanzlei auch nur immer auf eine Festplatte gesichert.
Ja, ich weis, eine "gscheite" Datensicherung ist das A&O.
Zum Glück habe NICHT ich den Server und die Datensicherung in der Kanzlei eingerichtet, ich wurde lediglich zur Hilfe gerufen um das Problem anzusehen.
Tja, mit dem Tool Stellar Data Recovery Professional konnten zwar schon die eine oder andere Datei wiederhergestellt werden, aber ich brauche die SQL Datenbank.
Shadow Explorer funktioniert natürlich auch nicht.
Es handelt sich um eine Windows Server 2012.
Wir haben nun auch schon dem Erpresser nachgegeben und ihm mal eine Mail geschrieben was wir nun tun müssen.
Bis jetzt haben wir auch noch keine Antwort erhalten - die Kanzlei wäre bereit die Forderung zu bezahlten, falls diese nicht zu hoch ist.
Ich hab mal den Erpresserbrief unten angehängt.
Hat jemand einen Tipp, was man noch versuchen kann?
Oder hat die Kanzlei schlichtweg einfach jetzt den "Scherben auf"?
Danke
LG Marko
ALL YOUR VALUABLE DATA WAS ENCRYPTED!
All yоur filеs wеrе еnсrуptеd with strоng crуptо аlgоrithm АЕS-256 + RSА-2048.
Plеаsе bе surе thаt yоur filеs аrе nоt brоkеn аnd уоu cаn rеstоrе thеm tоdаy.
If yоu rеаllу wаnt tо rеstоrе yоur filеs plеаsе writе us tо thе е-mаils:
TomGate33@criptext.com
TomGate33@yahoo.com
TomGate33@tutanota.com
In subjеct linе writе уоur ID: 18992C8E142297CD
Impоrtаnt! Plеаsе sеnd yоur mеssаgе tо аll оf оur 3 е-mаil аddrеssеs. This is rеаllу impоrtаnt bеcаusе оf dеlivеrу prоblеms оf sоmе mаil sеrviсеs!
Important! If you haven't received a response from us within 24 hours, please try to use a different email service (Gmail, Yahoo, AOL, etc).
Important! Please check your SPAM folder each time you wait for our response! If you find our email in the SPAM folder please move it to your Inbox.
Important! We are always in touch and ready to help you as soon as possible!
Аttаch up tо 3 smаll еncrуptеd filеs fоr frее tеst dесryption. Plеаsе nоte thаt thе filеs yоu sеnd us shоuld nоt cоntаin аnу vаluаblе infоrmаtiоn. Wе will sеnd yоu tеst dеcrуptеd files in оur rеspоnsе fоr yоur cоnfidеnсе.
Of course you will receive all the necessary instructions hоw tо dеcrуpt yоur filеs!
Important!
Plеаsе nоte that we are professionals and just doing our job!
Please dо nоt wаstе thе timе аnd dо nоt trу to dесеive us - it will rеsult оnly priсе incrеаsе!
Wе аrе alwауs оpеnеd fоr diаlоg аnd rеаdy tо hеlp уоu.
ich habe heute einen Anruf von einer Kanzlei erhalten, dass NIX mehr funktioniert.
Bin dann auch gleich hingefahren um zu sehen was los ist.
Ja, alle Daten und die SQL Datenbanken sind verschlüsselt.
Es handelt sich um den Trojaner TomGate33 der alle Daten in .TG33 Dateien verschlüsselte, auch die SQL Datenbanken.
Hierzu habe ich am Server auf C:\perflog\TG33 ein paar batch Dateien und exe Dateien gefunden.
Die Batchdateien stellten sämtliche Dienste am Server ab, damit alles schön verschlüsselt werden konnte.
Eine andere Batchdatei lösche das gesamte VSS, eine andere wiederum sämtliche Ereigniseinträge.
Blöderweise hat sich der Trojaner auch über die Sicherungsfestplatte hergemacht
Leider hat die Kanzlei auch nur immer auf eine Festplatte gesichert.
Ja, ich weis, eine "gscheite" Datensicherung ist das A&O.
Zum Glück habe NICHT ich den Server und die Datensicherung in der Kanzlei eingerichtet, ich wurde lediglich zur Hilfe gerufen um das Problem anzusehen.
Tja, mit dem Tool Stellar Data Recovery Professional konnten zwar schon die eine oder andere Datei wiederhergestellt werden, aber ich brauche die SQL Datenbank.
Shadow Explorer funktioniert natürlich auch nicht.
Es handelt sich um eine Windows Server 2012.
Wir haben nun auch schon dem Erpresser nachgegeben und ihm mal eine Mail geschrieben was wir nun tun müssen.
Bis jetzt haben wir auch noch keine Antwort erhalten - die Kanzlei wäre bereit die Forderung zu bezahlten, falls diese nicht zu hoch ist.
Ich hab mal den Erpresserbrief unten angehängt.
Hat jemand einen Tipp, was man noch versuchen kann?
Oder hat die Kanzlei schlichtweg einfach jetzt den "Scherben auf"?
Danke
LG Marko
ALL YOUR VALUABLE DATA WAS ENCRYPTED!
All yоur filеs wеrе еnсrуptеd with strоng crуptо аlgоrithm АЕS-256 + RSА-2048.
Plеаsе bе surе thаt yоur filеs аrе nоt brоkеn аnd уоu cаn rеstоrе thеm tоdаy.
If yоu rеаllу wаnt tо rеstоrе yоur filеs plеаsе writе us tо thе е-mаils:
TomGate33@criptext.com
TomGate33@yahoo.com
TomGate33@tutanota.com
In subjеct linе writе уоur ID: 18992C8E142297CD
Impоrtаnt! Plеаsе sеnd yоur mеssаgе tо аll оf оur 3 е-mаil аddrеssеs. This is rеаllу impоrtаnt bеcаusе оf dеlivеrу prоblеms оf sоmе mаil sеrviсеs!
Important! If you haven't received a response from us within 24 hours, please try to use a different email service (Gmail, Yahoo, AOL, etc).
Important! Please check your SPAM folder each time you wait for our response! If you find our email in the SPAM folder please move it to your Inbox.
Important! We are always in touch and ready to help you as soon as possible!
Аttаch up tо 3 smаll еncrуptеd filеs fоr frее tеst dесryption. Plеаsе nоte thаt thе filеs yоu sеnd us shоuld nоt cоntаin аnу vаluаblе infоrmаtiоn. Wе will sеnd yоu tеst dеcrуptеd files in оur rеspоnsе fоr yоur cоnfidеnсе.
Of course you will receive all the necessary instructions hоw tо dеcrуpt yоur filеs!
Important!
Plеаsе nоte that we are professionals and just doing our job!
Please dо nоt wаstе thе timе аnd dо nоt trу to dесеive us - it will rеsult оnly priсе incrеаsе!
Wе аrе alwауs оpеnеd fоr diаlоg аnd rеаdy tо hеlp уоu.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 618591
Url: https://administrator.de/contentid/618591
Printed on: April 25, 2024 at 21:04 o'clock
22 Comments
Latest comment
Wenn es kein richtiges Backup gibt, bleibt nicht s anderes übrig außer zu bezahlen.
In 95% der Fälle erhaltet ihr auch den Entschlüsselungscode, da dies ihr Geschäftsmodell ist und die „Bösen“ dennoch eine hart „Kodex“ haben.
Bei richtig gut organisierten erhält man auf Nachfrage sogar einen Bericht wie sie es geschafft haben
. Aber immer schön nett sein, da die Erpresser am längeren Hebel sitzen.
Ps: die Summe bewegt sich meist zwischen 10-20% vom jährlichen Umsatz.
Welches Antivirusprogramm wurde bisher dort verwendet? War dies nicht nochmal mit einem extra Kennwort gesichert? Von welchem Server OS reden wir hier?
In 95% der Fälle erhaltet ihr auch den Entschlüsselungscode, da dies ihr Geschäftsmodell ist und die „Bösen“ dennoch eine hart „Kodex“ haben.
Bei richtig gut organisierten erhält man auf Nachfrage sogar einen Bericht wie sie es geschafft haben
. Aber immer schön nett sein, da die Erpresser am längeren Hebel sitzen.Ps: die Summe bewegt sich meist zwischen 10-20% vom jährlichen Umsatz.
Welches Antivirusprogramm wurde bisher dort verwendet? War dies nicht nochmal mit einem extra Kennwort gesichert? Von welchem Server OS reden wir hier?
moin...
allerdings ist das mit der bestehemden datensicherung schon grob fahrlässig... das weiß die kanzlei aber wohl selber.
Danke
LG Marko
Frank
ALL YOUR VALUABLE DATA WAS ENCRYPTED!
All yоur filеs wеrе еnсrуptеd with strоng crуptо аlgоrithm АЕS-256 + RSА-2048.
Plеаsе bе surе thаt yоur filеs аrе nоt brоkеn аnd уоu cаn rеstоrе thеm tоdаy.
If yоu rеаllу wаnt tо rеstоrе yоur filеs plеаsе writе us tо thе е-mаils:
TomGate33@criptext.com
TomGate33@yahoo.com
TomGate33@tutanota.com
In subjеct linе writе уоur ID: 18992C8E142297CD
Impоrtаnt! Plеаsе sеnd yоur mеssаgе tо аll оf оur 3 е-mаil аddrеssеs. This is rеаllу impоrtаnt bеcаusе оf dеlivеrу prоblеms оf sоmе mаil sеrviсеs!
Important! If you haven't received a response from us within 24 hours, please try to use a different email service (Gmail, Yahoo, AOL, etc).
Important! Please check your SPAM folder each time you wait for our response! If you find our email in the SPAM folder please move it to your Inbox.
Important! We are always in touch and ready to help you as soon as possible!
Аttаch up tо 3 smаll еncrуptеd filеs fоr frее tеst dесryption. Plеаsе nоte thаt thе filеs yоu sеnd us shоuld nоt cоntаin аnу vаluаblе infоrmаtiоn. Wе will sеnd yоu tеst dеcrуptеd files in оur rеspоnsе fоr yоur cоnfidеnсе.
Of course you will receive all the necessary instructions hоw tо dеcrуpt yоur filеs!
Important!
Plеаsе nоte that we are professionals and just doing our job!
Please dо nоt wаstе thе timе аnd dо nоt trу to dесеive us - it will rеsult оnly priсе incrеаsе!
Wе аrе alwауs оpеnеd fоr diаlоg аnd rеаdy tо hеlp уоu.
Zitat von @Markowitsch:
Hallo zusammen,
ich habe heute einen Anruf von einer Kanzlei erhalten, dass NIX mehr funktioniert.
Bin dann auch gleich hingefahren um zu sehen was los ist.
Ja, alle Daten und die SQL Datenbanken sind verschlüsselt.
Es handelt sich um den Trojaner TomGate33 der alle Daten in .TG33 Dateien verschlüsselte, auch die SQL Datenbanken.
Hierzu habe ich am Server auf C:\perflog\TG33 ein paar batch Dateien und exe Dateien gefunden.
Die Batchdateien stellten sämtliche Dienste am Server ab, damit alles schön verschlüsselt werden konnte.
Eine andere Batchdatei lösche das gesamte VSS, eine andere wiederum sämtliche Ereigniseinträge.
Blöderweise hat sich der Trojaner auch über die Sicherungsfestplatte hergemacht
Leider hat die Kanzlei auch nur immer auf eine Festplatte gesichert.
Ja, ich weis, eine "gscheite" Datensicherung ist das A&O.
Zum Glück habe NICHT ich den Server und die Datensicherung in der Kanzlei eingerichtet, ich wurde lediglich zur Hilfe gerufen um das Problem anzusehen.
Tja, mit dem Tool Stellar Data Recovery Professional konnten zwar schon die eine oder andere Datei wiederhergestellt werden, aber ich brauche die SQL Datenbank.
Shadow Explorer funktioniert natürlich auch nicht.
Es handelt sich um eine Windows Server 2012.
Wir haben nun auch schon dem Erpresser nachgegeben und ihm mal eine Mail geschrieben was wir nun tun müssen.
Bis jetzt haben wir auch noch keine Antwort erhalten - die Kanzlei wäre bereit die Forderung zu bezahlten, falls diese nicht zu hoch ist.
Ich hab mal den Erpresserbrief unten angehängt.
Hat jemand einen Tipp, was man noch versuchen kann?
finde mal raus, wie der Trojaner ausgeführt worden ist, und verkaufe der Kanzlei eine ordentliche Datensicherung & AV Software!Hallo zusammen,
ich habe heute einen Anruf von einer Kanzlei erhalten, dass NIX mehr funktioniert.
Bin dann auch gleich hingefahren um zu sehen was los ist.
Ja, alle Daten und die SQL Datenbanken sind verschlüsselt.
Es handelt sich um den Trojaner TomGate33 der alle Daten in .TG33 Dateien verschlüsselte, auch die SQL Datenbanken.
Hierzu habe ich am Server auf C:\perflog\TG33 ein paar batch Dateien und exe Dateien gefunden.
Die Batchdateien stellten sämtliche Dienste am Server ab, damit alles schön verschlüsselt werden konnte.
Eine andere Batchdatei lösche das gesamte VSS, eine andere wiederum sämtliche Ereigniseinträge.
Blöderweise hat sich der Trojaner auch über die Sicherungsfestplatte hergemacht
Leider hat die Kanzlei auch nur immer auf eine Festplatte gesichert.
Ja, ich weis, eine "gscheite" Datensicherung ist das A&O.
Zum Glück habe NICHT ich den Server und die Datensicherung in der Kanzlei eingerichtet, ich wurde lediglich zur Hilfe gerufen um das Problem anzusehen.
Tja, mit dem Tool Stellar Data Recovery Professional konnten zwar schon die eine oder andere Datei wiederhergestellt werden, aber ich brauche die SQL Datenbank.
Shadow Explorer funktioniert natürlich auch nicht.
Es handelt sich um eine Windows Server 2012.
Wir haben nun auch schon dem Erpresser nachgegeben und ihm mal eine Mail geschrieben was wir nun tun müssen.
Bis jetzt haben wir auch noch keine Antwort erhalten - die Kanzlei wäre bereit die Forderung zu bezahlten, falls diese nicht zu hoch ist.
Ich hab mal den Erpresserbrief unten angehängt.
Hat jemand einen Tipp, was man noch versuchen kann?
Oder hat die Kanzlei schlichtweg einfach jetzt den "Scherben auf"?
ich denke schon....allerdings ist das mit der bestehemden datensicherung schon grob fahrlässig... das weiß die kanzlei aber wohl selber.
Danke
LG Marko
Frank
ALL YOUR VALUABLE DATA WAS ENCRYPTED!
All yоur filеs wеrе еnсrуptеd with strоng crуptо аlgоrithm АЕS-256 + RSА-2048.
Plеаsе bе surе thаt yоur filеs аrе nоt brоkеn аnd уоu cаn rеstоrе thеm tоdаy.
If yоu rеаllу wаnt tо rеstоrе yоur filеs plеаsе writе us tо thе е-mаils:
TomGate33@criptext.com
TomGate33@yahoo.com
TomGate33@tutanota.com
In subjеct linе writе уоur ID: 18992C8E142297CD
Impоrtаnt! Plеаsе sеnd yоur mеssаgе tо аll оf оur 3 е-mаil аddrеssеs. This is rеаllу impоrtаnt bеcаusе оf dеlivеrу prоblеms оf sоmе mаil sеrviсеs!
Important! If you haven't received a response from us within 24 hours, please try to use a different email service (Gmail, Yahoo, AOL, etc).
Important! Please check your SPAM folder each time you wait for our response! If you find our email in the SPAM folder please move it to your Inbox.
Important! We are always in touch and ready to help you as soon as possible!
Аttаch up tо 3 smаll еncrуptеd filеs fоr frее tеst dесryption. Plеаsе nоte thаt thе filеs yоu sеnd us shоuld nоt cоntаin аnу vаluаblе infоrmаtiоn. Wе will sеnd yоu tеst dеcrуptеd files in оur rеspоnsе fоr yоur cоnfidеnсе.
Of course you will receive all the necessary instructions hоw tо dеcrуpt yоur filеs!
Important!
Plеаsе nоte that we are professionals and just doing our job!
Please dо nоt wаstе thе timе аnd dо nоt trу to dесеive us - it will rеsult оnly priсе incrеаsе!
Wе аrе alwауs оpеnеd fоr diаlоg аnd rеаdy tо hеlp уоu.
Moin,
Man kann die Ausgaben steuerlich geltend machen.
lks
PS: Ein Backup, daß von eine Trojaner schlüsselt oder gelöscht werden kann ist kein Backup.
Man kann die Ausgaben steuerlich geltend machen.
lks
PS: Ein Backup, daß von eine Trojaner schlüsselt oder gelöscht werden kann ist kein Backup.
moin...
jo... oder abschließen und gehen!
lks
PS: Ein Backup, daß von eine Trojaner schlüsselt oder gelöscht werden kann ist kein Backup.
jo.. das weiß der kunde jetzt auch
Frank
jo... oder abschließen und gehen!
lks
PS: Ein Backup, daß von eine Trojaner schlüsselt oder gelöscht werden kann ist kein Backup.
Frank
Wichtig wäre vielleicht noch, sich mit dem BKA in Verbindung setzen.
Wenn es einen Entschlüsselungscode geben sollte, müsst ihr trotzdem zusehen, das alle Systeme neu aufgesetzt werden. Ansonsten stehst du 4 Wochen später wieder da...
Wenn es einen Entschlüsselungscode geben sollte, müsst ihr trotzdem zusehen, das alle Systeme neu aufgesetzt werden. Ansonsten stehst du 4 Wochen später wieder da...
Hi
versuch dein Glück bei den Anti-Ransomware-Projekten.
Lass dir eine Datei entschlüsseln und folge dann den Anweisungen z.B bei
https://id-ransomware.malwarehunterteam.com/
https://www.nomoreransom.org/crypto-sheriff.php?lang=de
Die Chance ist zwar Gering, aber besser als nichts
Ansonsten: Zahlen. Ohne Backup sind die sonst am A...
Und danach auf keinen Fall dazu überreden lassen das einfach nur irgendwie wieder ans laufen zu bringen.
ALLES frisch neu installieren, JEDES Kennwort ändern und dann eine ordentliche Security und vor allem Backups installieren
hat sich der Trojaner auch über die Sicherungsfestplatte hergemacht
RIP....versuch dein Glück bei den Anti-Ransomware-Projekten.
Lass dir eine Datei entschlüsseln und folge dann den Anweisungen z.B bei
https://id-ransomware.malwarehunterteam.com/
https://www.nomoreransom.org/crypto-sheriff.php?lang=de
Die Chance ist zwar Gering, aber besser als nichts
Ansonsten: Zahlen. Ohne Backup sind die sonst am A...
Und danach auf keinen Fall dazu überreden lassen das einfach nur irgendwie wieder ans laufen zu bringen.
ALLES frisch neu installieren, JEDES Kennwort ändern und dann eine ordentliche Security und vor allem Backups installieren
Wir haben nun eine Antwort vom Erpresser bekommen und die Testdateien konnten wiederhergestellt werden :
Hello!
Your server was hacked due to vulnerabilities in your IT infrastructure.
Your data was encrypted with strong crypto algorithm and can be automatically decrypted fast and safely!
Also, all valuable and confidential data was copied to our servers.
Your test decrypted files:
https://dropmefiles.com/XXXXXXXXXXX
Archive password: XXXXXXXXX
(if you will not be able to unpack the archive please install Winrar)
For our help you have to pay in Bitcoin (BTC).
Price of automatic decryption tool and your decryption key {18992C8E142297CD}:
is: 0.35 BTC - if you will pay within 24 hours.
After 24 hours price will rise up automatically!
When you will be ready to send BTC we will send you our actual wallet.
If you don't pay we will publish your confidential data on the darknet!
Immediately after payment we will send you decryption tool and decryption key.
(your data on our server will be deleted!)
You just have to run decryption tool and files will be decrypted automatically!
Waiting for your answer...
Die Kanzlei überlegt nun ob die ca. 4000€ bezahlt werden sollen.
Hauptsächlich geht es um die SQL Datenbankdatei - Alles andere ist halb so wichtig.
Wie würde das ablaufen, wenn wir bezahlten?
Vielen Dank
Hello!
Your server was hacked due to vulnerabilities in your IT infrastructure.
Your data was encrypted with strong crypto algorithm and can be automatically decrypted fast and safely!
Also, all valuable and confidential data was copied to our servers.
Your test decrypted files:
https://dropmefiles.com/XXXXXXXXXXX
Archive password: XXXXXXXXX
(if you will not be able to unpack the archive please install Winrar)
For our help you have to pay in Bitcoin (BTC).
Price of automatic decryption tool and your decryption key {18992C8E142297CD}:
is: 0.35 BTC - if you will pay within 24 hours.
After 24 hours price will rise up automatically!
When you will be ready to send BTC we will send you our actual wallet.
If you don't pay we will publish your confidential data on the darknet!
Immediately after payment we will send you decryption tool and decryption key.
(your data on our server will be deleted!)
You just have to run decryption tool and files will be decrypted automatically!
Waiting for your answer...
Die Kanzlei überlegt nun ob die ca. 4000€ bezahlt werden sollen.
Hauptsächlich geht es um die SQL Datenbankdatei - Alles andere ist halb so wichtig.
Wie würde das ablaufen, wenn wir bezahlten?
Vielen Dank
Hi
erfahrungsgemäß genau so wie beschrieben.
Ihr zahlt auf das Wallet und erhaltet dann das Tool als Download und den entsprechenden Key zum entschlüsseln.
Was gibt's da zu überlegen von der Kanzlei. 4k€ oder Tage bis Wochen arbeitsunfähig zu sein und ggf sogar noch öffentlich blossgestellt werden. Vertrauliche Daten in der Öffentlichkeit ist nicht witzig. Das kostet schnell die Zulassung der Anwälte.
erfahrungsgemäß genau so wie beschrieben.
Ihr zahlt auf das Wallet und erhaltet dann das Tool als Download und den entsprechenden Key zum entschlüsseln.
Was gibt's da zu überlegen von der Kanzlei. 4k€ oder Tage bis Wochen arbeitsunfähig zu sein und ggf sogar noch öffentlich blossgestellt werden. Vertrauliche Daten in der Öffentlichkeit ist nicht witzig. Das kostet schnell die Zulassung der Anwälte.
Moin,
Da täuscht du dich aber. Wir hatten auch mal einen Kunden, der das Zahlen etwas hinausgezögert hat. Was nach 24 Stunden passiert ist folgendes. Die Daten werden (wie oben angekündigt) im Darknet veröffentlicht. Die Kunden der Anwaltskanzlei werden dann per E-Mail schöne Infos bekommen, dass die Kanzlei gehackt wurde und man deren Kundendaten im Internet veröffentlicht hat. Dadurch wird die Kanzlei vermutlich einen Imageschaden davon tragen und einige Mandanten verlieren.
Außerdem denk dran, dass es nach 24 Stunden teurer wird. Meine Erfahrung nach, bezahlen, als Lehrgeld verbuchen, Systeme komplett neu aufsetzen und sichern. Die Erpresser geben dir im Regelfall tatsächlich die daten zurück, weil wenn es sich herumspricht, dass trotz Zahlung keine daten wiederhergestellt werden können, dann zahlt keiner. Es geht hier nur ums Geld und nicht mehr wie in den Anfangsjahren der Viren, Trojaner und Hacker darum etwas zu schaffen
Gruß
Doskias
Zitat von @Markowitsch:
Hauptsächlich geht es um die SQL Datenbankdatei - Alles andere ist halb so wichtig.
Hauptsächlich geht es um die SQL Datenbankdatei - Alles andere ist halb so wichtig.
Da täuscht du dich aber. Wir hatten auch mal einen Kunden, der das Zahlen etwas hinausgezögert hat. Was nach 24 Stunden passiert ist folgendes. Die Daten werden (wie oben angekündigt) im Darknet veröffentlicht. Die Kunden der Anwaltskanzlei werden dann per E-Mail schöne Infos bekommen, dass die Kanzlei gehackt wurde und man deren Kundendaten im Internet veröffentlicht hat. Dadurch wird die Kanzlei vermutlich einen Imageschaden davon tragen und einige Mandanten verlieren.
Außerdem denk dran, dass es nach 24 Stunden teurer wird. Meine Erfahrung nach, bezahlen, als Lehrgeld verbuchen, Systeme komplett neu aufsetzen und sichern. Die Erpresser geben dir im Regelfall tatsächlich die daten zurück, weil wenn es sich herumspricht, dass trotz Zahlung keine daten wiederhergestellt werden können, dann zahlt keiner. Es geht hier nur ums Geld und nicht mehr wie in den Anfangsjahren der Viren, Trojaner und Hacker darum etwas zu schaffen
Gruß
Doskias
Für die Zukunft:
Immer schön mehrere Backupmedien in Rotation! Außerdem ein Netzlaufwerk verwenden, was automatisch Snapshots mehrmals am Tag erstellt. Die Clients virtualisieren und täglich snapshotten. Erst dann ist man einigermaßen gefeit vor solchen Attacken.
Immer schön mehrere Backupmedien in Rotation! Außerdem ein Netzlaufwerk verwenden, was automatisch Snapshots mehrmals am Tag erstellt. Die Clients virtualisieren und täglich snapshotten. Erst dann ist man einigermaßen gefeit vor solchen Attacken.
Zitat von @Lochkartenstanzer:
PS: Ein Backup, daß von eine Trojaner schlüsselt oder gelöscht werden kann ist kein Backup.
PS: Ein Backup, daß von eine Trojaner schlüsselt oder gelöscht werden kann ist kein Backup.
Eins, das permanent ungesichert am Rechner/Server hängt, auch nicht.
Zitat von @SarekHL:
Eins, das permanent ungesichert am Rechner/Server hängt, auch nicht.
ist ja jetzt irgendwie die gleiche AussageZitat von @Lochkartenstanzer:
PS: Ein Backup, daß von eine Trojaner schlüsselt oder gelöscht werden kann ist kein Backup.
PS: Ein Backup, daß von eine Trojaner schlüsselt oder gelöscht werden kann ist kein Backup.
Eins, das permanent ungesichert am Rechner/Server hängt, auch nicht.
Hallo,
ich hatte dies bei einem Neukunden auch.
"Hallo, können sie sofort kommen? Hier geht nix mehr."
"Datensicherung macht der Server doch automatisch?"
1. Image des aktuellen Servers und aller PCs erstellen
2. Server und alle PCs wipen und von Grund auf neu installieren.
Auf jedem kann sich ein RMM, Wurm oder Trojaner verstecken der 5 Tage später das gleiche nochmal abzieht.
3. Mit dem Hersteller der Branchensoftware in Verbindung setzten wie man die IT am besten neu installiert und später die Daten wieder einspielt.
4. Die Daten die man dann zurückbekommt oder mit deren Tool entschlüsselt hat auf mindestens 2 USB Festplatten kopieren die offline in Schrank liegen.
Ich hatte damals welche mit einem halb-mechanischem Schreibschutz
5. Die Wiederhergestellten Daten genau prüfen. Auch da können Viren oder Trojaner zwischen sein.
Wichtig wäre allgemein auch rauszufinden wie die reinkommen sind.
Öffentlicher RDP-Port, Email, Webseite, etc...
Das gelingt aber sehr häufig nicht weil die Angreifer alle Spuren versuchen zu löschen.
Meldung an die Behörde!
Man kann nicht ausschliessen, dass die Bösen alle Dokumente und die Daten aus der Datenbank kopiert haben und nun für kriminelle Zwecke nutzen.
Stefan
ich hatte dies bei einem Neukunden auch.
"Hallo, können sie sofort kommen? Hier geht nix mehr."
"Datensicherung macht der Server doch automatisch?"
1. Image des aktuellen Servers und aller PCs erstellen
2. Server und alle PCs wipen und von Grund auf neu installieren.
Auf jedem kann sich ein RMM, Wurm oder Trojaner verstecken der 5 Tage später das gleiche nochmal abzieht.
3. Mit dem Hersteller der Branchensoftware in Verbindung setzten wie man die IT am besten neu installiert und später die Daten wieder einspielt.
4. Die Daten die man dann zurückbekommt oder mit deren Tool entschlüsselt hat auf mindestens 2 USB Festplatten kopieren die offline in Schrank liegen.
Ich hatte damals welche mit einem halb-mechanischem Schreibschutz
5. Die Wiederhergestellten Daten genau prüfen. Auch da können Viren oder Trojaner zwischen sein.
Wichtig wäre allgemein auch rauszufinden wie die reinkommen sind.
Öffentlicher RDP-Port, Email, Webseite, etc...
Das gelingt aber sehr häufig nicht weil die Angreifer alle Spuren versuchen zu löschen.
Meldung an die Behörde!
Man kann nicht ausschliessen, dass die Bösen alle Dokumente und die Daten aus der Datenbank kopiert haben und nun für kriminelle Zwecke nutzen.
Stefan
Danke erstmal vom mir und auch im Namen der Kanzlei für Eure Hilfe!
Der CEO der Kanzlei hat über einen Klienten nun einen Spezialisten empfohlen bekommen, welcher behauptet die verschlüsselten Daten wiederherstellen zu können.
Anscheinend ist diesem Spezialisten dies schon in 17 Fällen von Verschlüsselungsangriffen gelungen.
Dieser hat anscheinend das nötige Fachwissen und die nötigen Tools um die Verschlüsselung rückgängig machen zu können.
Die Kanzlei soll dieser Person, die wir bis jetzt noch nicht kennen gelernt haben, den Server und die Sicherungsfestplatte aushändigen und bis am Abend wissen wir Bescheid ob die Daten zu retten sind oder nicht.
Falls er es schafft, will er die Hälfte des Betrages den der Erpresser verlangt - sein Honorar sozusagen.
Weiters sagt diese Person auch, man solle sofort Strafanzeige bei der Polizei erstatten, was wiederum seine Glaubwürdigkeit gegenüber der Kanzlei steigert.
Ich habe geraten extrem vorsichtig zu sein, sich einen Ausweis der Person zeigen zu lassen und nochmal genau zu prüfen ob diese Person vertrauenswürdig ist - so gut es halt geht.
Was haltet ihr von so einem Experten der angibt, eine derartige Verschlüsselung rückgängig machen zu können?
Würde es funktionieren, wenn man eine Verschlüsselte Datei und die zugehörige Originaldatei hat, den Verschlüsselungsalgorythmus rauszufinden?
Wie könnte dies sonst noch funktionieren?
Oder kann es sein, dass die Kanzlei hier ein weiteres mal abgezockt wird?
Ihr wisst ja, wie es so mit dem letzten Strohalm ist - man versucht den so lange wie möglich festzuhalten.
Danke, ich halte Euch auf dem laufenden.
Lg
Der CEO der Kanzlei hat über einen Klienten nun einen Spezialisten empfohlen bekommen, welcher behauptet die verschlüsselten Daten wiederherstellen zu können.
Anscheinend ist diesem Spezialisten dies schon in 17 Fällen von Verschlüsselungsangriffen gelungen.
Dieser hat anscheinend das nötige Fachwissen und die nötigen Tools um die Verschlüsselung rückgängig machen zu können.
Die Kanzlei soll dieser Person, die wir bis jetzt noch nicht kennen gelernt haben, den Server und die Sicherungsfestplatte aushändigen und bis am Abend wissen wir Bescheid ob die Daten zu retten sind oder nicht.
Falls er es schafft, will er die Hälfte des Betrages den der Erpresser verlangt - sein Honorar sozusagen.
Weiters sagt diese Person auch, man solle sofort Strafanzeige bei der Polizei erstatten, was wiederum seine Glaubwürdigkeit gegenüber der Kanzlei steigert.
Ich habe geraten extrem vorsichtig zu sein, sich einen Ausweis der Person zeigen zu lassen und nochmal genau zu prüfen ob diese Person vertrauenswürdig ist - so gut es halt geht.
Was haltet ihr von so einem Experten der angibt, eine derartige Verschlüsselung rückgängig machen zu können?
Würde es funktionieren, wenn man eine Verschlüsselte Datei und die zugehörige Originaldatei hat, den Verschlüsselungsalgorythmus rauszufinden?
Wie könnte dies sonst noch funktionieren?
Oder kann es sein, dass die Kanzlei hier ein weiteres mal abgezockt wird?
Ihr wisst ja, wie es so mit dem letzten Strohalm ist - man versucht den so lange wie möglich festzuhalten.
Danke, ich halte Euch auf dem laufenden.
Lg
Moin...
mit etwas Hirnschmalz ist vieles möglich....
und was noch wichtiger ist, finde raus wie die Infektion stattgefunden hat!!!!
Frank
Weiters sagt diese Person auch, man solle sofort Strafanzeige bei der Polizei erstatten, was wiederum seine Glaubwürdigkeit gegenüber der Kanzlei steigert.
also das sollte auf jedenfall gemacht werden....Was haltet ihr von so einem Experten der angibt, eine derartige Verschlüsselung rückgängig machen zu können?
viel... haben wir auch schon gemacht, und SQL DB´s für ivoris extrahiert!mit etwas Hirnschmalz ist vieles möglich....
Falls er es schafft, will er die Hälfte der Betrages den der Erpresser verlangt - sein Honorar sozusagen.
finde ich jetzt evtl. sogar wenig... und eigentlich muss Strafe sein, mit der Kunde lernt sich zu schützen, und ordentliche Datensicherungen hat!und was noch wichtiger ist, finde raus wie die Infektion stattgefunden hat!!!!
Frank
Zitat von @Markowitsch:
Der CEO der Kanzlei hat über einen Klienten nun einen Spezialisten empfohlen bekommen, welcher behauptet die verschlüsselten Daten wiederherstellen zu können.
Anscheinend ist diesem Spezialisten dies schon in 17 Fällen von Verschlüsselungsangriffen gelungen.
Dieser hat anscheinend das nötige Fachwissen und die nötigen Tools um die Verschlüsselung rückgängig machen zu können.
Die Kanzlei soll dieser Person, die wir bis jetzt noch nicht kennen gelernt haben, den Server und die Sicherungsfestplatte aushändigen und bis am Abend wissen wir Bescheid ob die Daten zu retten sind oder nicht.
Falls er es schafft, will er die Hälfte des Betrages den der Erpresser verlangt - sein Honorar sozusagen.
Der CEO der Kanzlei hat über einen Klienten nun einen Spezialisten empfohlen bekommen, welcher behauptet die verschlüsselten Daten wiederherstellen zu können.
Anscheinend ist diesem Spezialisten dies schon in 17 Fällen von Verschlüsselungsangriffen gelungen.
Dieser hat anscheinend das nötige Fachwissen und die nötigen Tools um die Verschlüsselung rückgängig machen zu können.
Die Kanzlei soll dieser Person, die wir bis jetzt noch nicht kennen gelernt haben, den Server und die Sicherungsfestplatte aushändigen und bis am Abend wissen wir Bescheid ob die Daten zu retten sind oder nicht.
Falls er es schafft, will er die Hälfte des Betrages den der Erpresser verlangt - sein Honorar sozusagen.
Die Mafia schützt auch Geschäftsinhaber für Gebühr gegen ihre eigenen Schläger.
Weiters sagt diese Person auch, man solle sofort Strafanzeige bei der Polizei erstatten, was wiederum seine Glaubwürdigkeit gegenüber der Kanzlei steigert.
Das ist sowieso etwas so grundsätzliches, was man imemr tun sollte. Insofern macht das keien Unterschied, ob ein "Experte" sowas sagt oder nicht.
Ihr habt im Moment das Problem, daß das alles sehr zeitkritisch ist. Wenn der "Experte" nur auf Erfolgsbasis bezahtl werden will, ist das sicher einen Versuch wert, weil im Mißerfolgsfall nur der "Zeitverlust" der Schaden ist.
Alerldigns warten die "Erpresser"auch nicht ewig, bis sie die Daten veröffentlichen und der Preis steigt natürlich auch weiter.
Was auf jeden Fall zu machen wäre:
- Komplettes Image aller betroffenen Systeme ziehen.
- Alle betrofenen System plattmachen und neu installieren, ggf. Sicherheitskonzepte überdenken.
- Alternativ alle betroffenen Systeme durch neue Systeme ersetzen und die betroffenen "einlagern" zum wiederherstellen
- Arbeitskopien der Images der betroffenen Systeme erstellen und nur mit diesen eine Wiederherstellung versuchen.
lks
Zitat von @Markowitsch:
Der CEO der Kanzlei hat über einen Klienten nun einen Spezialisten empfohlen bekommen, welcher behauptet die verschlüsselten Daten wiederherstellen zu können.
Das finde ich zumindest kühn ohne sich das Ganze vorher anschauen zu können.Der CEO der Kanzlei hat über einen Klienten nun einen Spezialisten empfohlen bekommen, welcher behauptet die verschlüsselten Daten wiederherstellen zu können.
Es gibt genung Verschlüsselungstrojaner die bis Heute nicht entschlüsselt werden können und leider auch einige welche die Daten nur zerstören und Nieman, nicht mal die, können sie wiederherstellen.
Selbst wenn alles funktioniert bleibt dem Kunden nicht die restliche Arbeit erspart.
Wenn nicht einwandfrei geklärt werden kann wie das Ding reinkam und welche Folgen die Infektion hatte müsst Ihr alles neu installieren.
Diese Dinger bringen in der Regel andere "Freunde" mit die sich verteilen.
Stefan
Wenn nicht einwandfrei geklärt werden kann wie das Ding reinkam und welche Folgen die Infektion hatte müsst Ihr alles neu installieren.
Auch wenn einwandfrei geklärt wurde, wie das Ding reinkam, ist es i.d.R. nicht möglich einzugrenzen, was es wirklich alles angestellt hat. Von daher gibt es zu "neu machen" keine sinnvolle Alternative.
lks
Wenn nicht einwandfrei geklärt werden kann wie das Ding reinkam und welche Folgen die Infektion hatte müsst Ihr alles neu installieren.
Auch wenn einwandfrei geklärt wurde, wie das Ding reinkam, ist es i.d.R. nicht möglich einzugrenzen, was es wirklich alles angestellt hat. Von daher gibt es zu "neu machen" keine sinnvolle Alternative.
lks
Auch wenn einwandfrei geklärt wurde, wie das Ding reinkam, ist es i.d.R. nicht möglich einzugrenzen, was es wirklich alles angestellt hat. Von daher gibt es zu "neu machen" keine sinnvolle Alternative.
lks
Wie schon geschrieben hat der Virus sämtliche Ereignisse gelöscht.
Aber es steht die Vermutung nahe, dass der Virus über den NICHT gesicherten RDP Port reingekommen ist.
JA, es ist grob fahrlässig einen ungesicherten RDP Port zu Betreiben, war aber auch nicht meine Schuld - wurde von einer anderen EDV Firma eingerichtet.
Ich habe den RDP Port natürlich sofort geschlossen.
Strafanzeige wurde gleich am ersten Tag erstattet - danke nochmals für den Hinweis.
Was haltet ihr von so einem Experten der angibt, eine derartige Verschlüsselung rückgängig machen zu können?
Der Experte kann auch nichts anderes tun als in den gängigen Groups, Foren etc auf entschlüsselungstools zu hoffen.Die Kryptotrojaner sind heutzutage so gut gebaut das ein entschlüsseln wegen fehlerhafter implementation äusserst selten geworden ist.
Nur wenn deren Server hops genommen wurden und die entschlüsselungscodes beschlagnahmt und veröffentlicht wurden hat man dann noch eine chance. von daher: Das dürfte ein Schwätzer sein
Würde es funktionieren, wenn man eine Verschlüsselte Datei und die zugehörige Originaldatei hat, den Verschlüsselungsalgorythmus rauszufinden?
Wenn das ordentlich implementiert wurde, dann gar nicht.
Hallo, es hat sich was getan.
Der Experte der angab die Dateien wiederherstellen zu können, gab (wie erwartet) nach wenigen Minuten wieder auf. Nichtmal seine Bitcoin-Mininganlage mit mehreren Grafikkarten konnte den Schlüssel errechnen.
Also hat die Kanzlei die 0,35 Bitcoin an den Erpresser bezahlt.
Promt erhielten wir eine Antwort vom Erpresser welcher einen Link für eine ZIP Datei samt PW zusendete.
In der ZIP war dann eine kleine .exe Datei und der Schlüssel - quasi eine Textdatei mit vermutlich 1024 Zeichen - ich habs nicht nachgezählt aber grob dürfte es hinkommen.
Wir arbeiteten lt. Anleitung, welche auch im Mail enthalten war, und konnten sofort die Daten wiederherstellen.
Als erstes versuchten wir zum Testen den Ordner mit den Scans - ca. 3000 PFD Dateien. Schön brav stellte das Programm eine PDF nach der Anderen wieder her. In dieser Zeit sicherten wir nochmal die verschlüsselten SQL Datenbanken auf eine externe HDD und anschließend konnten wir diese auch wiederherstellen. Auch die Datensicherung wurde ohne Probleme wiederhergestellt und nun läuft die Wiederherstellung am restliche Server. Das Internet am Server wurde im Vorfeld deaktiviert.
Soweit sogut
Ich hab jetzt aber noch eine Frage - ich hätte vermutet, dass eine SQL Datenbankdatei mit 60GB länger braucht um entschlüsselt zu werden als eine 500KB große PDF Datei.
Aber beide Dateien benötigen in etwa gleich lang, nämlich ca. 1 Sekunde.
Wurde hier nur der Dateiname verschlüsselt oder wie muss ich mir das vorstellen.
Weiters bat uns die Polizei den Virus und den "Entschlüsseler" fur zukünftige Fälle auszuhändigen, was die Kanzlei am Montag machen wird.
Dem CEO der Kanzlei ist auf jeden Fall ein großer Stein vom Herzen gefallen , nun können wir anfangen das ganze System neu zu installieren und abzusichern.
Danke lg und schönes Weekend.
Der Experte der angab die Dateien wiederherstellen zu können, gab (wie erwartet) nach wenigen Minuten wieder auf. Nichtmal seine Bitcoin-Mininganlage mit mehreren Grafikkarten konnte den Schlüssel errechnen.
Also hat die Kanzlei die 0,35 Bitcoin an den Erpresser bezahlt.
Promt erhielten wir eine Antwort vom Erpresser welcher einen Link für eine ZIP Datei samt PW zusendete.
In der ZIP war dann eine kleine .exe Datei und der Schlüssel - quasi eine Textdatei mit vermutlich 1024 Zeichen - ich habs nicht nachgezählt aber grob dürfte es hinkommen.
Wir arbeiteten lt. Anleitung, welche auch im Mail enthalten war, und konnten sofort die Daten wiederherstellen.
Als erstes versuchten wir zum Testen den Ordner mit den Scans - ca. 3000 PFD Dateien. Schön brav stellte das Programm eine PDF nach der Anderen wieder her. In dieser Zeit sicherten wir nochmal die verschlüsselten SQL Datenbanken auf eine externe HDD und anschließend konnten wir diese auch wiederherstellen. Auch die Datensicherung wurde ohne Probleme wiederhergestellt und nun läuft die Wiederherstellung am restliche Server. Das Internet am Server wurde im Vorfeld deaktiviert.
Soweit sogut
Ich hab jetzt aber noch eine Frage - ich hätte vermutet, dass eine SQL Datenbankdatei mit 60GB länger braucht um entschlüsselt zu werden als eine 500KB große PDF Datei.
Aber beide Dateien benötigen in etwa gleich lang, nämlich ca. 1 Sekunde.
Wurde hier nur der Dateiname verschlüsselt oder wie muss ich mir das vorstellen.
Weiters bat uns die Polizei den Virus und den "Entschlüsseler" fur zukünftige Fälle auszuhändigen, was die Kanzlei am Montag machen wird.
Dem CEO der Kanzlei ist auf jeden Fall ein großer Stein vom Herzen gefallen , nun können wir anfangen das ganze System neu zu installieren und abzusichern.
Danke lg und schönes Weekend.
Zitat von @Markowitsch:
Ich hab jetzt aber noch eine Frage - ich hätte vermutet, dass eine SQL Datenbankdatei mit 60GB länger braucht um entschlüsselt zu werden als eine 500KB große PDF Datei.
Aber beide Dateien benötigen in etwa gleich lang, nämlich ca. 1 Sekunde.
Es gibt viele Wege solche Dateien unbenutzbar zu machen.Ich hab jetzt aber noch eine Frage - ich hätte vermutet, dass eine SQL Datenbankdatei mit 60GB länger braucht um entschlüsselt zu werden als eine 500KB große PDF Datei.
Aber beide Dateien benötigen in etwa gleich lang, nämlich ca. 1 Sekunde.
Neben der Vollverschlüsselung könnte man z.B. die ersten und die letzten 10MB verschlüsselung.
Oder alle 100MB jeweils 1MB.
Da kannst ja mal mit einem Hexeditor eine ver- und eine entschlüsselte Datei vergleichen.
