Hallo Leute,
ich bin neu hier im Forum, habe die Suche auch bereits bemüht und bin leider zu keinem Ergebnis gekommen - sonst hätte ich den Post wohl auch nicht erstellt
Wäre es nicht so dringend hätte ich mich wohlmöglich auch kurz vorgestellt, nun komme ich aber direkt zum Problem.
Ich bin dringend auf der Suche nach geplagten des Trojaners "Phobos". Handelt sich dabei um eine scheinbar neue Ransomware die unseren Firmenserver getroffen hat (unmittelbar zu dem Zeitpunkt als das tägliche Backup erstellt wurde).
Eine Lösung hat bis dato niemand, so dass uns von allen Seiten geraten wurde das Lösegeld (4.000$ in BTC) zu bezahlen. Ist dann auch über einen IT-Dienstleister erfolgt, unseren Entkryptungsschlüssel haben wir jedoch nicht erhalten da wir laut Hackeransicht "zu spät" bezahlt haben (Etwa 36 Stunden nach Lösegeldforderung, 48 Stunden waren die vorgegebene Deadline). Wie dem auch sei suchen wir nach mindestens zwei weiteren betroffenen die innerhalb der letzten Tage von Phobos getroffen worden sind und das Problem noch nicht behoben haben, zwecks "Verhandlungsstrategie" mit den Hackern.
Genaueres würde ich in einem Telefonat erörtern und bei Gelingen der Strategie natürlich hier weitergeben damit auch zukünftigen Betroffenen geholfen werden kann.
Wir stehen in engem Kontakt mit der Entwicklungsabteilung von Kaspersky, dem BSI und einigen weiteren IT-Sicherheitsunternehmen - eine Lösung des Problems (Bis auf die Bezahlung der Lösegeldforderung) hat bis Dato definitiv niemand.
Sollte ein Betroffener unter euch sein dann meldet euch gerne.
Liebe Grüße aus Hannover
Robert
Geändert von Robert (23.01.2019 um 16:29 Uhr)
Grund: IMG Pixel entfernt
1: Es gab einen Fehler bei der Implementierung der Verschlüsselung oder bei dem verwendeten Verfahren. (z.B. lässt sich die Verschlüsselung mathematisch angreifen)
2: Die Täter veröffentlichen einen Generalschlüssel.
3: Die Täter geben doch noch den passenden Schlüssel raus...
Aber das werden die IT Berater dieser großen Firmen auch wissen und aufgezeigt haben.
Ergo dieser Zusammenschluss was sollte er bewirken?!
PS: Manchmal lässt sich der Schlüssel aus einem DUMP vom Hauptspeicher zur Laufzeit bzw. nach der Infektion extrahieren falls das System nicht neugestartet wurde.
PPS: Geld zu zahlen ist aus meiner Sicht nie eine Option ich meine ihr finanziert damit die Täter super gemacht ... ganz toll...
PPS: Geld zu zahlen ist aus meiner Sicht nie eine Option ich meine ihr finanziert damit die Täter super gemacht ... ganz toll...
So generell würd ich das nich sagen.
Erst kürzlich selbst einen Ransomware-Fall betreut. Da warens 50k € in BTC. Gezahlt, Schlüssel erhalten, decrypted. Tat weniger weh als von Null anfangen.
Zum Thema: es wird keine andere Lösung geben. Versuchen zu verhandeln ist alles, was gemacht werden kann. Da kannst du mit noch so vielen Experten (und den Wichtigtuern vom BSI) debattieren, entschlüsseln kann das keiner ohne den Key. Und wenn die schon scheinbar nichtmal gegen Bezahlung den Schlüssel rausrücken, werden die wohl kaum einfach so einen veröffentlichen, wäre ja schön doof.
Und unabhängig vom Ausgang des Falls: Backupstrategie überdenken.
Das Motto der Minensucher: Wer suchet, der findet. Wer drauftritt verschwindet.
50K in Hardware und Softwarelösungen zu stecken sowie zur Schulung der Mitarbeiter wäre sinnvoller gewesen proaktiv nicht reaktiv.
Die Kohle jetzt finanziert diese ganze Branche.
Nur weil es geklappt hat mit dem Schlüssel war das sicherlich kein Erfolg sondern eine Kapitulation vor dem System was jetzt nur gestärkt weitermacht.
Es gibt eine einzige Sache wo ich niemals helfe und das ist bei dem bezahlen von Erpressern.
So sehr ich den Fragesteller prinzipiell verstehen kann, dass er das Geld gezahlt hat - es ist der falsche Weg. Eigentlich stellt man die Daten schlicht und ergreifend aus dem Backup wieder her und gut ist. Ist Aufwand, ist (mehr als) ärgerlich und dauert sicherlich auch ne ganze Weile. Aber es finanziert keine Kriminellen.
Zum Thema selbst:
Wieviele Maschinen sind denn überhaupt betroffen? Server? Clients?
Cheers,
Joshua
select * from USERS where IQ > 60
0 rows returned.
Natürlich geb ich euch so weit recht. Zu zahlen ist der mit Abstand letzte Ausweg.
In dem Fall war leider ein absolut unfähiger Admin am Werk, so dass die Verschlüsselung leider auch das (einzige) Backup betroffen hat. Und so klingts ja auch hier.
Und wenn die Alternative zum bezahlen ist, ohne jeglichen Datenbestand von Null anzufangen, dann muss leider in den sauren Apfel gebissen werden.
[...]In dem Fall war leider ein absolut unfähiger Admin am Werk[...]
Das zu behaupten ist schon ziemlich krass, ohne Details zu kennen. In 99,9% der Fälle sind es eher User, die so nen ****** triggern, ohne zu ahnen, was sie da tun. Der Admin kann da wenig machen, auch hier gab es das schon, trotz Schulung und allerlei technischer Abwehrmaßnahmen. Solange User das Hirn morgens an der Garderobe abgeben, haste als Admin leider die A....karte.
Zitat:
[...]so dass die Verschlüsselung leider auch das (einzige) Backup betroffen hat.[...]
Es gibt immer mehr als ein Backup, im Zweifel nimmt man halt das Backup vom Vortag und stellt es wieder her. Wenn es das nicht gibt oder der Trojaner das komplette Backup-Archiv mit verschlüsselt hat, weil er eben Zugriff drauf hatte - dann, und nur dann liegt ein böser Fehler im Backup-Konzept vor. Den hätte ein Admin finden/erkennen und Abhilfe schaffen müssen.
Cheers,
Joshua
Geändert von Joshua (26.01.2019 um 08:55 Uhr)
Grund: Typo
So ein paar Punkte die mir zu dem Thema einfallen:
(dont)
externe Datenspeicher sind immer am PC angeschlossen und das auch immer mit Schreibrechten.
Der Zugang zur Cloud wo die Backups liegen ist so eingerichtet das sie per Laufwerksbuchstabe erreichbar ist und so einfach "mitgefressen" werden vom Schädling.
normale Benutzer sollten nur die benötigten Rechte haben und kein lokaler Admin sein.
(do)
Backuplösungen sollten regelmässig geteset werden ob eine problemlose Rücksicherung möglich ist.
Bei externen Datenträgern kann man auf Geräte setzen welche selber eine transparente Verschlüsselung direkt per Hardware anbieten.
Also z.B. eine externe Festplatte mit einem PIN Pad welche sich erst entsperrt und am PC als Laufwerk erkannt wird wenn die richtige PIN eingegeben wurde.
So ist man auf der sicheren Seite bei Verlust/Diebstahl von externen Datenträgern.
Generell Backups verschlüsseln zwecks Datenschutz/Sicherheit.
Diesen Test machen bei Google um Phishing Emails besser zu erkennen: https://phishingquiz.withgoogle.com/
Das zu behaupten ist schon ziemlich krass, ohne Details zu kennen. In 99,9% der Fälle sind es eher User, die so nen ****** triggern, ohne zu ahnen, was sie da tun. Der Admin kann da wenig machen, auch hier gab es das schon, trotz Schulung und allerlei technischer Abwehrmaßnahmen. Solange User das Hirn morgens an der Garderobe abgeben, haste als Admin leider die A....karte.
"Ausgelöst" hats natürlich ein User. Der User hat seinen Fehler aber bemerkt, den Rechner ausgeschaltet und den Admin informiert, bevor mehr als nur sein eigener PC und sein eigenes Netzlaufwerk betroffen waren.
Aber was tat der Gute? Er meldet sich am betroffenen PC mit Credentials des Domänen-Admins an (die übrigens im Netz auf allen Geräten identisch waren, selbst bei solchen die nicht Teil der Domäne sind, hat er extra so angelegt, Faulheit ftw!) um den Fehler zu beseitigen....das von ihm genutzte Passwort ist mittlerweile Running Gag bei uns in der Firma.
Rechner war natürlich noch am Netz. Das "Tool" hatte dann an eine ganze Nacht Zeit, sämtliche Server, Netzwerkspeicher und alle 250 Clients an 15 Standorten komplett zu verschlüsseln. So weit, dass nichts mehr zu starten ging.
Zitat:
[...]so dass die Verschlüsselung leider auch das (einzige) Backup betroffen hat.[...][/qoute]
Es gibt immer mehr als ein Backup, im Zweifel nimmt man halt das Backup vom Vortag und stellt es wieder her. Wenn es das nicht gibt oder der Trojaner das komplette Backup-Archiv mit verschlüsselt hat, weil er eben Zugriff drauf hatte - dann, und nur dann liegt ein böser Fehler im Backup-Konzept vor. Den hätte ein Admin finden/erkennen und Abhilfe schaffen müssen.
Genau so wars. Es gab natürlich mehrere Backup-Stände. Die lagen aber alle auf dem selben NAS, dort auf dem selben Volume und mit den gleichen Credentials zugreifbar. Und die oben genannten Admin-Credentials waren mit Vollzugriff gültig. Das NAS (eine QNAP) wurde vom Virus erst verschlüsselt und dann auf Werkseinstellungen zurückgesetzt.
Ich treff solche Aussagen nicht grundlos. Ich weiß, mit was für Hirnhaufen (aka User) man es leider in der Branche zu tun bekommt. Da sollte man aber als Admin in jedem Fall die letzte Verteidigung sein, anstatt das Hauptproblem überhaupt erst auszulösen.
@ Tweak-IT: vollkommen richtig. Aber selbst wenn man es nicht so "weit" treibt, reicht vernünftiges Haushalten mit Zugängen oft schon, um das allergröbste zu verhindern.
@Killerpixel:
Ist schon erstaunlich, welche Details du aus dem Post von robra so rausziehen kannst. Vielleicht bin ich ja blind, aber ich kann nichts von dem, was du so detailliert geschildert hast, im Eingangspost erkennen. Es geht hier nicht darum, was du selbst evtl. schon erlebt hast.