Ransomware Locky Encryptor mit Lösegeldzahlung
Hallo zusammen,
da im Internet viel von Ransomware / Verschlüsselungsschadsoftware die Rede ist, aber komischerweise wenig Erfahrungsberichte dazu existieren, hoffe ich hiermit einigen Betroffenen helfen zu können.
Einem Kunden von mir ist es nun passiert:
Über einen Windows7-PC ohne Virenschutz hat ein Mitarbeiter einen infizierten Mailanhang geöffnet. Darin enthalten war eine Software, die die eigentliche Schadsoftware dann erst noch runtergeladen hat.
In recht kurzer Zeit wurden dann sämtliche selbsterstellten Daten (nennen wir sie mal "Eigene Dateien"), aber auch andere Dateiformate verschlüsselt. Die Anzahl der unterschiedlichen Dateiformate, die verschlüsselt werden, ist durchaus beachtlich - es wurden fast alle Dateien verschlüsselt.
Der Verschlüsselungsvorgang geht ziemlich schnell, sodass innerhalb kurzer Zeit recht große Datenmengen verschlüsselt werden können. (Das sieht man hinterher an Erstelldatum und -Uhrzeit der verschlüsselten Dateien)
Die Software blieb jedoch nicht lokal auf dem Rechner, sondern verschlüsselte auch nahezu sämtliche Dateien auf den erreichbaren Netzlaufwerken auf dem Server.
Freigegebene Laufwerke, für die der Nutzer keine Zugriffsrechte hatte wurden nicht infiziert.
Der Schaden war recht groß - einige Hundert GB Nutzdaten wurden verschlüsselt.
In jedem verschlüsselten Ordner waren nun statt den Nutzdaten nur noch verschlüsselte Dateien mit der Endung .thor, sowie eine .html-Datei abgelegt. Darin sinngemäss der Hinweis:
"Gehen Sie im Tor-Netzwerk auf die Seite xyz, dort erhalten Sie weitere Anweisungen".
Auf der Seite im Tor-Netzwerk angekommen, wurde dann eine Forderung von 4 Bitcoin genannt (ca 2700 Euro), die man an eine Adresse überweisen solle. Danach soll man angeblich die Entschlüsselungssoftware erhalten. Sofort habe ich nach Entschlüsselungssoftware im Internet für diesen Schädling gesucht, ohne Erfolg. Ich habe auch kommerzielle Anbieter von Entschlüsselungssoftware angeschrieben, aber auch die gaben dann die Auskunft, dass für diesen recht neuen Schädling noch keine Entschlüsselungssoftware auf dem Markt sei.
Auch diverse Virenschutzanbieter (GDATA, Kaspersky) machten wenig Hoffnung. Es kann Wochen oder Monate dauern, bis für einen neuen Schädling eine Entschlüsselungssoftware erhältlich wird.
So lange konnte der Kunde nicht warten. Kontaktiert wurden auch IT-Spezialisten der Polizei. Die können aber natürlich auch nicht helfen. Die sammeln nur die Fälle, leiten diese dann an höhere Stellen weiter und... naja - Behördenbürokratie halt. Ob was bei rumkommt ist höchst fraglich. Die Polizei riet natürlich davon ab das Lösegeld zu zahlen. Aufgrund der Wichtigkeit der Daten war das geforderte Lösegeld in Höhe von 2700 Euro aber noch relativ gering im Vergleich zu dem Schaden, der sonst entstanden wäre.
Somit riet ich dem Kunden dazu zu bezahlen - natürlich mit dem Hinweis, dass das Risiko bestehe, dass das Geld dann weg sei, und die Dateien verschlüsselt bleiben.
Wenn man noch kein Bitcoin-Konto hat, ist es gar nicht so leicht mal eben 4 Bitcoins zu kaufen. Insgesamt können dafür mehrere Tage ins Land gehen. Man kann sie entweder recht schnell von mehr oder weniger anonymen Händlern an einer Bitcoinbörse kaufen (das war mir aber zu unsicher), oder man kauft sie von Firmen, die Bitcoins zum Kauf anbieten, was ich dann getan habe. Bei Beträgen in dieser Größenordnung muss man dann aber erstmal Identitätsnachweise durchführen (Personalausweis hochladen, Videochat, Wohnsitznachweis), bis man freigeschaltet wird, um solche Beträge kaufen zu können (ist natürlich bei jedem Anbieter anders).
Irgendwann waren dann die 4 Bitcoins da und ich habe sie überwiesen. Innerhalb weniger Sekunden war dann auf der Erpresserseite im Tor-Netzwerk der Geldeingang zu sehen - scheint also ein professionelles, automatisches System zu sein. Es wird dann jedoch noch eine manuelle Prüfung durchgeführt. Nach 1-2 Stunden wurde ich dann von der Erpresserseite im Tor-Netzwerk automatisch auf eine andere Seite umgeleitet, wo dann die Entschlüsselungssoftware zum Download angeboten wurde. Es war eine recht kleine Datei, weniger als 0,5 MB groß.
Ich habe dann ein Testsystem (ohne Internet oder Netzwerkverbindung) aufgesetzt, auf dem ich einige verschlüsselte Dateien abgelegt habe. Der Virenschutz schlug bei dem Deschiffriertool sofort Alarm - aber ok, das wunderte mich nun nicht. Diesen habe ich dann direkt mal abgeschaltet. Ich habe das Tool dann gestartet, und in windeseile wurde die gesamte Festplatte durchsucht und alle verschlüsselten Dateien wurden entschlüsselt und haben auch ihre alten Dateinamen und -Endungen zurückerhalten. Es funktionierte also!
Warnung: Dies ist die Schilderung eines Einzelfalls: Ich habe keine Ahnung, bei wieviel Prozent der Fälle es funktioniert, oder auch nicht. Es gibt natürlich viele dieser "Anbieter", die solche Ransomware herstellen und Lösegeld erpressen. Vermutlich sind nicht alle so "seriös" und rücken nach Zahlung des Lösegelds ein funktionierendes Deschiffriertool heraus. Die Sache kann also durchaus auch ein Reinfall werden - im Fall meines Kunden war es uns das Risiko aber wert.
Somit will ich niemandan dazu verleiten Lösegeld zu zahlen, wenn er das nicht möchte - das soll jeder selbst entscheiden.
Tipps zum Schutz:
1)
Unbedingt ein Offsite-Backup (Ein Backup, dass nicht mit einem Rechner verbunden ist) anlegen. Eigentlich weiss es ja jeder, viele machen es aber dennoch nicht, weil dann der Faktor Mensch hinzukommt. Entweder mit RDX-Tapes arbeiten, oder mit externen Platten. Eine externe Platte reicht nicht, denn im schlimmsten Fall schlägt die Ransomware in dem Moment zu, wo die externe Platte gerade angeschlossen ist und wird dann gleich mitverschlüsselt.
2)
Wenn es sich bei dem Backup-Laufwerk um ein NAS im Netzwerk handelt, sollte dieses über einen Zugriffsschutz verfügen. Man legt z.B. einen User "backup" an, über den die Backup-Software dann Zugriff auf das NAS bekommt. Alle echten User haben somit dann keinen Zugriff auf das Backup-NAS. Fangen diese sich dann eine Ransomware ein, kann diese schonmal nicht die Backups erreichen.
Trotzdem ist natürlich Punkt 1) zu befolgen!
3)
Unbedingt einen kostenpflichtigen Virenschutz installieren, der sich stündlich aktualisiert.
Die Ransomware wird inzwischen immer schneller verändert - es erscheinen ständig neue Versionen, die dann im Eiltempo per Mail oder über Webseiten verteilt werden. Ein topaktueller Virenschutz kann dabei entscheidend sein, denn es kann um Stunden gehen.
4)
Mitarbeiterschulung ist toll und wichtig, aber damit ist es nicht getan. Man kann sich sowas auch unbewusst beim Surfen im Netz einfangen. Schlägt dann der Virenschutz nicht Alarm, weil er die neue Variante vielleicht noch nicht kennt, ist es passiert.
5)
Benutzerzugriff beschränken. Die Benutzer sollten nur auf die freigegebenen Laufwerke zugreifen dürfen, die sie wirklich benötigen. Somit kann man den möglichen Schaden schon deutlich eingrenzen.
Soweit mein Erfahrunsbericht - vielleicht fand ihn ja jemand aufschlussreich / hilfreich.
Bei Fragen einfach eine Nachricht schreiben.
Gruß,
Colt
da im Internet viel von Ransomware / Verschlüsselungsschadsoftware die Rede ist, aber komischerweise wenig Erfahrungsberichte dazu existieren, hoffe ich hiermit einigen Betroffenen helfen zu können.
Einem Kunden von mir ist es nun passiert:
Über einen Windows7-PC ohne Virenschutz hat ein Mitarbeiter einen infizierten Mailanhang geöffnet. Darin enthalten war eine Software, die die eigentliche Schadsoftware dann erst noch runtergeladen hat.
In recht kurzer Zeit wurden dann sämtliche selbsterstellten Daten (nennen wir sie mal "Eigene Dateien"), aber auch andere Dateiformate verschlüsselt. Die Anzahl der unterschiedlichen Dateiformate, die verschlüsselt werden, ist durchaus beachtlich - es wurden fast alle Dateien verschlüsselt.
Der Verschlüsselungsvorgang geht ziemlich schnell, sodass innerhalb kurzer Zeit recht große Datenmengen verschlüsselt werden können. (Das sieht man hinterher an Erstelldatum und -Uhrzeit der verschlüsselten Dateien)
Die Software blieb jedoch nicht lokal auf dem Rechner, sondern verschlüsselte auch nahezu sämtliche Dateien auf den erreichbaren Netzlaufwerken auf dem Server.
Freigegebene Laufwerke, für die der Nutzer keine Zugriffsrechte hatte wurden nicht infiziert.
Der Schaden war recht groß - einige Hundert GB Nutzdaten wurden verschlüsselt.
In jedem verschlüsselten Ordner waren nun statt den Nutzdaten nur noch verschlüsselte Dateien mit der Endung .thor, sowie eine .html-Datei abgelegt. Darin sinngemäss der Hinweis:
"Gehen Sie im Tor-Netzwerk auf die Seite xyz, dort erhalten Sie weitere Anweisungen".
Auf der Seite im Tor-Netzwerk angekommen, wurde dann eine Forderung von 4 Bitcoin genannt (ca 2700 Euro), die man an eine Adresse überweisen solle. Danach soll man angeblich die Entschlüsselungssoftware erhalten. Sofort habe ich nach Entschlüsselungssoftware im Internet für diesen Schädling gesucht, ohne Erfolg. Ich habe auch kommerzielle Anbieter von Entschlüsselungssoftware angeschrieben, aber auch die gaben dann die Auskunft, dass für diesen recht neuen Schädling noch keine Entschlüsselungssoftware auf dem Markt sei.
Auch diverse Virenschutzanbieter (GDATA, Kaspersky) machten wenig Hoffnung. Es kann Wochen oder Monate dauern, bis für einen neuen Schädling eine Entschlüsselungssoftware erhältlich wird.
So lange konnte der Kunde nicht warten. Kontaktiert wurden auch IT-Spezialisten der Polizei. Die können aber natürlich auch nicht helfen. Die sammeln nur die Fälle, leiten diese dann an höhere Stellen weiter und... naja - Behördenbürokratie halt. Ob was bei rumkommt ist höchst fraglich. Die Polizei riet natürlich davon ab das Lösegeld zu zahlen. Aufgrund der Wichtigkeit der Daten war das geforderte Lösegeld in Höhe von 2700 Euro aber noch relativ gering im Vergleich zu dem Schaden, der sonst entstanden wäre.
Somit riet ich dem Kunden dazu zu bezahlen - natürlich mit dem Hinweis, dass das Risiko bestehe, dass das Geld dann weg sei, und die Dateien verschlüsselt bleiben.
Wenn man noch kein Bitcoin-Konto hat, ist es gar nicht so leicht mal eben 4 Bitcoins zu kaufen. Insgesamt können dafür mehrere Tage ins Land gehen. Man kann sie entweder recht schnell von mehr oder weniger anonymen Händlern an einer Bitcoinbörse kaufen (das war mir aber zu unsicher), oder man kauft sie von Firmen, die Bitcoins zum Kauf anbieten, was ich dann getan habe. Bei Beträgen in dieser Größenordnung muss man dann aber erstmal Identitätsnachweise durchführen (Personalausweis hochladen, Videochat, Wohnsitznachweis), bis man freigeschaltet wird, um solche Beträge kaufen zu können (ist natürlich bei jedem Anbieter anders).
Irgendwann waren dann die 4 Bitcoins da und ich habe sie überwiesen. Innerhalb weniger Sekunden war dann auf der Erpresserseite im Tor-Netzwerk der Geldeingang zu sehen - scheint also ein professionelles, automatisches System zu sein. Es wird dann jedoch noch eine manuelle Prüfung durchgeführt. Nach 1-2 Stunden wurde ich dann von der Erpresserseite im Tor-Netzwerk automatisch auf eine andere Seite umgeleitet, wo dann die Entschlüsselungssoftware zum Download angeboten wurde. Es war eine recht kleine Datei, weniger als 0,5 MB groß.
Ich habe dann ein Testsystem (ohne Internet oder Netzwerkverbindung) aufgesetzt, auf dem ich einige verschlüsselte Dateien abgelegt habe. Der Virenschutz schlug bei dem Deschiffriertool sofort Alarm - aber ok, das wunderte mich nun nicht. Diesen habe ich dann direkt mal abgeschaltet. Ich habe das Tool dann gestartet, und in windeseile wurde die gesamte Festplatte durchsucht und alle verschlüsselten Dateien wurden entschlüsselt und haben auch ihre alten Dateinamen und -Endungen zurückerhalten. Es funktionierte also!
Warnung: Dies ist die Schilderung eines Einzelfalls: Ich habe keine Ahnung, bei wieviel Prozent der Fälle es funktioniert, oder auch nicht. Es gibt natürlich viele dieser "Anbieter", die solche Ransomware herstellen und Lösegeld erpressen. Vermutlich sind nicht alle so "seriös" und rücken nach Zahlung des Lösegelds ein funktionierendes Deschiffriertool heraus. Die Sache kann also durchaus auch ein Reinfall werden - im Fall meines Kunden war es uns das Risiko aber wert.
Somit will ich niemandan dazu verleiten Lösegeld zu zahlen, wenn er das nicht möchte - das soll jeder selbst entscheiden.
Tipps zum Schutz:
1)
Unbedingt ein Offsite-Backup (Ein Backup, dass nicht mit einem Rechner verbunden ist) anlegen. Eigentlich weiss es ja jeder, viele machen es aber dennoch nicht, weil dann der Faktor Mensch hinzukommt. Entweder mit RDX-Tapes arbeiten, oder mit externen Platten. Eine externe Platte reicht nicht, denn im schlimmsten Fall schlägt die Ransomware in dem Moment zu, wo die externe Platte gerade angeschlossen ist und wird dann gleich mitverschlüsselt.
2)
Wenn es sich bei dem Backup-Laufwerk um ein NAS im Netzwerk handelt, sollte dieses über einen Zugriffsschutz verfügen. Man legt z.B. einen User "backup" an, über den die Backup-Software dann Zugriff auf das NAS bekommt. Alle echten User haben somit dann keinen Zugriff auf das Backup-NAS. Fangen diese sich dann eine Ransomware ein, kann diese schonmal nicht die Backups erreichen.
Trotzdem ist natürlich Punkt 1) zu befolgen!
3)
Unbedingt einen kostenpflichtigen Virenschutz installieren, der sich stündlich aktualisiert.
Die Ransomware wird inzwischen immer schneller verändert - es erscheinen ständig neue Versionen, die dann im Eiltempo per Mail oder über Webseiten verteilt werden. Ein topaktueller Virenschutz kann dabei entscheidend sein, denn es kann um Stunden gehen.
4)
Mitarbeiterschulung ist toll und wichtig, aber damit ist es nicht getan. Man kann sich sowas auch unbewusst beim Surfen im Netz einfangen. Schlägt dann der Virenschutz nicht Alarm, weil er die neue Variante vielleicht noch nicht kennt, ist es passiert.
5)
Benutzerzugriff beschränken. Die Benutzer sollten nur auf die freigegebenen Laufwerke zugreifen dürfen, die sie wirklich benötigen. Somit kann man den möglichen Schaden schon deutlich eingrenzen.
Soweit mein Erfahrunsbericht - vielleicht fand ihn ja jemand aufschlussreich / hilfreich.
Bei Fragen einfach eine Nachricht schreiben.
Gruß,
Colt
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 322002
Url: https://administrator.de/contentid/322002
Ausgedruckt am: 22.11.2024 um 19:11 Uhr
3 Kommentare
Neuester Kommentar
Moin,
Zumindestens wurdeste nicht insofern doppelt übern Tisch gezogen als das dann keine Entschlüsselungssoftware gekommen wäre.
An deiner Stelle würde ich das Entschlüsselungs Tool an einen der gängigen Virenschutzanbieter weiterleiten.
Dort kann man eventuell durch Reverse Engineering an erfoderliche Infos gelangen um ein kostenloses Verschlüsselungstool anzubieten.
Es ist kaum Aufwand und vielleicht hilfst du damit zumindestens den nächsten den es trifft.
Grüße
pelzfrucht
Zumindestens wurdeste nicht insofern doppelt übern Tisch gezogen als das dann keine Entschlüsselungssoftware gekommen wäre.
An deiner Stelle würde ich das Entschlüsselungs Tool an einen der gängigen Virenschutzanbieter weiterleiten.
Dort kann man eventuell durch Reverse Engineering an erfoderliche Infos gelangen um ein kostenloses Verschlüsselungstool anzubieten.
Es ist kaum Aufwand und vielleicht hilfst du damit zumindestens den nächsten den es trifft.
Grüße
pelzfrucht
Hi,
vielen Dank für Deinen Bericht. Warum war kein Virenschutz auf dem PC? Eine Administration in der der Kunde keinen ordentlichen Virenscanner hat oder ablehnt, würde ich ablehnen. Zudem bemühen wir auf den Servern den Ressourcenmanager um das Schreiben bestimmter Dateiendungen zu überwachen / zu unterbinden. Ist ein bisschen Arbeit die neuen Dateiendungen zu pflegen, nur bei der Cerber - Version die in Zufallszahlen verschlüsselt hilft es nicht, hier könnte man die typische "Hilfe-Anweisung" überwachen. Ansonsten aber sehr wirksam, halt wie hier *.thor, wäre ja gegangen.
Hier wird es genau beschrieben:
https://www.frankysweb.de/windows-fileserver-vor-ransomware-crypto-locke ...
LG KIra
vielen Dank für Deinen Bericht. Warum war kein Virenschutz auf dem PC? Eine Administration in der der Kunde keinen ordentlichen Virenscanner hat oder ablehnt, würde ich ablehnen. Zudem bemühen wir auf den Servern den Ressourcenmanager um das Schreiben bestimmter Dateiendungen zu überwachen / zu unterbinden. Ist ein bisschen Arbeit die neuen Dateiendungen zu pflegen, nur bei der Cerber - Version die in Zufallszahlen verschlüsselt hilft es nicht, hier könnte man die typische "Hilfe-Anweisung" überwachen. Ansonsten aber sehr wirksam, halt wie hier *.thor, wäre ja gegangen.
Hier wird es genau beschrieben:
https://www.frankysweb.de/windows-fileserver-vor-ransomware-crypto-locke ...
LG KIra