TweakPC

Zurück   Computer Hardware Forum - TweakPC > Games und Software > Security & SPAM

Antwort
 
LinkBack Themen-Optionen Ansicht
Alt 23.01.2019, 09:09   #1 (permalink)
Neuling
 

Registriert seit: 23.01.2019
Beiträge: 1

robra befindet sich auf einem aufstrebenden Ast

Ausrufezeichen Dringend Betroffene gesucht! Trojaner / PHOBOS Ransomware

Hallo Leute,
ich bin neu hier im Forum, habe die Suche auch bereits bemüht und bin leider zu keinem Ergebnis gekommen - sonst hätte ich den Post wohl auch nicht erstellt
Wäre es nicht so dringend hätte ich mich wohlmöglich auch kurz vorgestellt, nun komme ich aber direkt zum Problem.

Ich bin dringend auf der Suche nach geplagten des Trojaners "Phobos". Handelt sich dabei um eine scheinbar neue Ransomware die unseren Firmenserver getroffen hat (unmittelbar zu dem Zeitpunkt als das tägliche Backup erstellt wurde).
Eine Lösung hat bis dato niemand, so dass uns von allen Seiten geraten wurde das Lösegeld (4.000$ in BTC) zu bezahlen. Ist dann auch über einen IT-Dienstleister erfolgt, unseren Entkryptungsschlüssel haben wir jedoch nicht erhalten da wir laut Hackeransicht "zu spät" bezahlt haben (Etwa 36 Stunden nach Lösegeldforderung, 48 Stunden waren die vorgegebene Deadline). Wie dem auch sei suchen wir nach mindestens zwei weiteren betroffenen die innerhalb der letzten Tage von Phobos getroffen worden sind und das Problem noch nicht behoben haben, zwecks "Verhandlungsstrategie" mit den Hackern.
Genaueres würde ich in einem Telefonat erörtern und bei Gelingen der Strategie natürlich hier weitergeben damit auch zukünftigen Betroffenen geholfen werden kann.

Wir stehen in engem Kontakt mit der Entwicklungsabteilung von Kaspersky, dem BSI und einigen weiteren IT-Sicherheitsunternehmen - eine Lösung des Problems (Bis auf die Bezahlung der Lösegeldforderung) hat bis Dato definitiv niemand.

Sollte ein Betroffener unter euch sein dann meldet euch gerne.

Liebe Grüße aus Hannover
Robert

Geändert von Robert (23.01.2019 um 16:29 Uhr) Grund: IMG Pixel entfernt
robra ist offline   Mit Zitat antworten
Alt 23.01.2019, 14:43   #2 (permalink)
Firmware Killer
 
Benutzerbild von Tweak-IT
 

Registriert seit: 11.03.2005
Beiträge: 4.361

Tweak-IT ist ein wunderbarer AnblickTweak-IT ist ein wunderbarer AnblickTweak-IT ist ein wunderbarer AnblickTweak-IT ist ein wunderbarer AnblickTweak-IT ist ein wunderbarer AnblickTweak-IT ist ein wunderbarer AnblickTweak-IT ist ein wunderbarer Anblick

Standard AW: Dringend Betroffene gesucht! Trojaner / PHOBOS Ransomware

Ich sehe genau drei Chancen:

1: Es gab einen Fehler bei der Implementierung der Verschlüsselung oder bei dem verwendeten Verfahren. (z.B. lässt sich die Verschlüsselung mathematisch angreifen)

2: Die Täter veröffentlichen einen Generalschlüssel.

3: Die Täter geben doch noch den passenden Schlüssel raus...


Aber das werden die IT Berater dieser großen Firmen auch wissen und aufgezeigt haben.

Ergo dieser Zusammenschluss was sollte er bewirken?!

PS: Manchmal lässt sich der Schlüssel aus einem DUMP vom Hauptspeicher zur Laufzeit bzw. nach der Infektion extrahieren falls das System nicht neugestartet wurde.


PPS: Geld zu zahlen ist aus meiner Sicht nie eine Option ich meine ihr finanziert damit die Täter super gemacht ... ganz toll...
Tweak-IT ist offline   Mit Zitat antworten
Alt 23.01.2019, 18:32   #3 (permalink)
Hardware Freak
 
Benutzerbild von Killerpixel
 

Registriert seit: 01.01.2007
Beiträge: 11.494

Killerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz sein

Standard AW: Dringend Betroffene gesucht! Trojaner / PHOBOS Ransomware

Zitat:
Zitat von Tweak-IT Beitrag anzeigen
PPS: Geld zu zahlen ist aus meiner Sicht nie eine Option ich meine ihr finanziert damit die Täter super gemacht ... ganz toll...
So generell würd ich das nich sagen.

Erst kürzlich selbst einen Ransomware-Fall betreut. Da warens 50k € in BTC. Gezahlt, Schlüssel erhalten, decrypted. Tat weniger weh als von Null anfangen.

Zum Thema: es wird keine andere Lösung geben. Versuchen zu verhandeln ist alles, was gemacht werden kann. Da kannst du mit noch so vielen Experten (und den Wichtigtuern vom BSI) debattieren, entschlüsseln kann das keiner ohne den Key. Und wenn die schon scheinbar nichtmal gegen Bezahlung den Schlüssel rausrücken, werden die wohl kaum einfach so einen veröffentlichen, wäre ja schön doof.

Und unabhängig vom Ausgang des Falls: Backupstrategie überdenken.
Das Motto der Minensucher: Wer suchet, der findet. Wer drauftritt verschwindet.

Killerpixel ist offline   Mit Zitat antworten
Alt 23.01.2019, 21:32   #4 (permalink)
Firmware Killer
 
Benutzerbild von Tweak-IT
 

Registriert seit: 11.03.2005
Beiträge: 4.361

Tweak-IT ist ein wunderbarer AnblickTweak-IT ist ein wunderbarer AnblickTweak-IT ist ein wunderbarer AnblickTweak-IT ist ein wunderbarer AnblickTweak-IT ist ein wunderbarer AnblickTweak-IT ist ein wunderbarer AnblickTweak-IT ist ein wunderbarer Anblick

Standard AW: Dringend Betroffene gesucht! Trojaner / PHOBOS Ransomware

50K in Hardware und Softwarelösungen zu stecken sowie zur Schulung der Mitarbeiter wäre sinnvoller gewesen proaktiv nicht reaktiv.

Die Kohle jetzt finanziert diese ganze Branche.
Nur weil es geklappt hat mit dem Schlüssel war das sicherlich kein Erfolg sondern eine Kapitulation vor dem System was jetzt nur gestärkt weitermacht.

Es gibt eine einzige Sache wo ich niemals helfe und das ist bei dem bezahlen von Erpressern.
Tweak-IT ist offline   Mit Zitat antworten
Alt 23.01.2019, 22:44   #5 (permalink)
IT-Pro aus Leidenschaft
 
Benutzerbild von Joshua
 

Registriert seit: 28.10.2002
Beiträge: 1.463

Joshua ist jedem bekanntJoshua ist jedem bekanntJoshua ist jedem bekanntJoshua ist jedem bekanntJoshua ist jedem bekanntJoshua ist jedem bekannt

Standard AW: Dringend Betroffene gesucht! Trojaner / PHOBOS Ransomware

N'Abend.

So sehr ich den Fragesteller prinzipiell verstehen kann, dass er das Geld gezahlt hat - es ist der falsche Weg. Eigentlich stellt man die Daten schlicht und ergreifend aus dem Backup wieder her und gut ist. Ist Aufwand, ist (mehr als) ärgerlich und dauert sicherlich auch ne ganze Weile. Aber es finanziert keine Kriminellen.

Zum Thema selbst:
Wieviele Maschinen sind denn überhaupt betroffen? Server? Clients?

Cheers,
Joshua
select * from USERS where IQ > 60
0 rows returned.
Joshua ist offline   Mit Zitat antworten
Alt 24.01.2019, 08:40   #6 (permalink)
Hardware Freak
 
Benutzerbild von Killerpixel
 

Registriert seit: 01.01.2007
Beiträge: 11.494

Killerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz sein

Standard AW: Dringend Betroffene gesucht! Trojaner / PHOBOS Ransomware

Natürlich geb ich euch so weit recht. Zu zahlen ist der mit Abstand letzte Ausweg.

In dem Fall war leider ein absolut unfähiger Admin am Werk, so dass die Verschlüsselung leider auch das (einzige) Backup betroffen hat. Und so klingts ja auch hier.

Und wenn die Alternative zum bezahlen ist, ohne jeglichen Datenbestand von Null anzufangen, dann muss leider in den sauren Apfel gebissen werden.
Killerpixel ist offline   Mit Zitat antworten
Alt 24.01.2019, 09:06   #7 (permalink)
IT-Pro aus Leidenschaft
 
Benutzerbild von Joshua
 

Registriert seit: 28.10.2002
Beiträge: 1.463

Joshua ist jedem bekanntJoshua ist jedem bekanntJoshua ist jedem bekanntJoshua ist jedem bekanntJoshua ist jedem bekanntJoshua ist jedem bekannt

Standard AW: Dringend Betroffene gesucht! Trojaner / PHOBOS Ransomware

Moin.
Zitat:
Zitat von Killerpixel Beitrag anzeigen
[...]In dem Fall war leider ein absolut unfähiger Admin am Werk[...]
Das zu behaupten ist schon ziemlich krass, ohne Details zu kennen. In 99,9% der Fälle sind es eher User, die so nen ****** triggern, ohne zu ahnen, was sie da tun. Der Admin kann da wenig machen, auch hier gab es das schon, trotz Schulung und allerlei technischer Abwehrmaßnahmen. Solange User das Hirn morgens an der Garderobe abgeben, haste als Admin leider die A....karte.

Zitat:
[...]so dass die Verschlüsselung leider auch das (einzige) Backup betroffen hat.[...]
Es gibt immer mehr als ein Backup, im Zweifel nimmt man halt das Backup vom Vortag und stellt es wieder her. Wenn es das nicht gibt oder der Trojaner das komplette Backup-Archiv mit verschlüsselt hat, weil er eben Zugriff drauf hatte - dann, und nur dann liegt ein böser Fehler im Backup-Konzept vor. Den hätte ein Admin finden/erkennen und Abhilfe schaffen müssen.

Cheers,
Joshua

Geändert von Joshua (26.01.2019 um 08:55 Uhr) Grund: Typo
Joshua ist offline   Mit Zitat antworten
Alt 24.01.2019, 15:02   #8 (permalink)
Firmware Killer
 
Benutzerbild von Tweak-IT
 

Registriert seit: 11.03.2005
Beiträge: 4.361

Tweak-IT ist ein wunderbarer AnblickTweak-IT ist ein wunderbarer AnblickTweak-IT ist ein wunderbarer AnblickTweak-IT ist ein wunderbarer AnblickTweak-IT ist ein wunderbarer AnblickTweak-IT ist ein wunderbarer AnblickTweak-IT ist ein wunderbarer Anblick

Standard AW: Dringend Betroffene gesucht! Trojaner / PHOBOS Ransomware

So ein paar Punkte die mir zu dem Thema einfallen:

(dont)
externe Datenspeicher sind immer am PC angeschlossen und das auch immer mit Schreibrechten.
Der Zugang zur Cloud wo die Backups liegen ist so eingerichtet das sie per Laufwerksbuchstabe erreichbar ist und so einfach "mitgefressen" werden vom Schädling.
normale Benutzer sollten nur die benötigten Rechte haben und kein lokaler Admin sein.

(do)
Backuplösungen sollten regelmässig geteset werden ob eine problemlose Rücksicherung möglich ist.
Bei externen Datenträgern kann man auf Geräte setzen welche selber eine transparente Verschlüsselung direkt per Hardware anbieten.
Also z.B. eine externe Festplatte mit einem PIN Pad welche sich erst entsperrt und am PC als Laufwerk erkannt wird wenn die richtige PIN eingegeben wurde.
So ist man auf der sicheren Seite bei Verlust/Diebstahl von externen Datenträgern.
Generell Backups verschlüsseln zwecks Datenschutz/Sicherheit.
Diesen Test machen bei Google um Phishing Emails besser zu erkennen:
https://phishingquiz.withgoogle.com/
Tweak-IT ist offline   Mit Zitat antworten
Alt 24.01.2019, 18:16   #9 (permalink)
Hardware Freak
 
Benutzerbild von Killerpixel
 

Registriert seit: 01.01.2007
Beiträge: 11.494

Killerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz sein

Standard AW: Dringend Betroffene gesucht! Trojaner / PHOBOS Ransomware

Zitat:
Zitat von Joshua Beitrag anzeigen
Moin.

Das zu behaupten ist schon ziemlich krass, ohne Details zu kennen. In 99,9% der Fälle sind es eher User, die so nen ****** triggern, ohne zu ahnen, was sie da tun. Der Admin kann da wenig machen, auch hier gab es das schon, trotz Schulung und allerlei technischer Abwehrmaßnahmen. Solange User das Hirn morgens an der Garderobe abgeben, haste als Admin leider die A....karte.
"Ausgelöst" hats natürlich ein User. Der User hat seinen Fehler aber bemerkt, den Rechner ausgeschaltet und den Admin informiert, bevor mehr als nur sein eigener PC und sein eigenes Netzlaufwerk betroffen waren.

Aber was tat der Gute? Er meldet sich am betroffenen PC mit Credentials des Domänen-Admins an (die übrigens im Netz auf allen Geräten identisch waren, selbst bei solchen die nicht Teil der Domäne sind, hat er extra so angelegt, Faulheit ftw!) um den Fehler zu beseitigen....das von ihm genutzte Passwort ist mittlerweile Running Gag bei uns in der Firma.

Rechner war natürlich noch am Netz. Das "Tool" hatte dann an eine ganze Nacht Zeit, sämtliche Server, Netzwerkspeicher und alle 250 Clients an 15 Standorten komplett zu verschlüsseln. So weit, dass nichts mehr zu starten ging.

Zitat:
[...]so dass die Verschlüsselung leider auch das (einzige) Backup betroffen hat.[...][/qoute]
Es gibt immer mehr als ein Backup, im Zweifel nimmt man halt das Backup vom Vortag und stellt es wieder her. Wenn es das nicht gibt oder der Trojaner das komplette Backup-Archiv mit verschlüsselt hat, weil er eben Zugriff drauf hatte - dann, und nur dann liegt ein böser Fehler im Backup-Konzept vor. Den hätte ein Admin finden/erkennen und Abhilfe schaffen müssen.
Genau so wars. Es gab natürlich mehrere Backup-Stände. Die lagen aber alle auf dem selben NAS, dort auf dem selben Volume und mit den gleichen Credentials zugreifbar. Und die oben genannten Admin-Credentials waren mit Vollzugriff gültig. Das NAS (eine QNAP) wurde vom Virus erst verschlüsselt und dann auf Werkseinstellungen zurückgesetzt.

Ich treff solche Aussagen nicht grundlos. Ich weiß, mit was für Hirnhaufen (aka User) man es leider in der Branche zu tun bekommt. Da sollte man aber als Admin in jedem Fall die letzte Verteidigung sein, anstatt das Hauptproblem überhaupt erst auszulösen.

@ Tweak-IT: vollkommen richtig. Aber selbst wenn man es nicht so "weit" treibt, reicht vernünftiges Haushalten mit Zugängen oft schon, um das allergröbste zu verhindern.
Killerpixel ist offline   Mit Zitat antworten
Für diesen Beitrag bedankt sich:
poiu (24.01.2019)
Alt 25.01.2019, 08:01   #10 (permalink)
IT-Pro aus Leidenschaft
 
Benutzerbild von Joshua
 

Registriert seit: 28.10.2002
Beiträge: 1.463

Joshua ist jedem bekanntJoshua ist jedem bekanntJoshua ist jedem bekanntJoshua ist jedem bekanntJoshua ist jedem bekanntJoshua ist jedem bekannt

Standard AW: Dringend Betroffene gesucht! Trojaner / PHOBOS Ransomware

Moin.

@Killerpixel:
Ist schon erstaunlich, welche Details du aus dem Post von robra so rausziehen kannst. Vielleicht bin ich ja blind, aber ich kann nichts von dem, was du so detailliert geschildert hast, im Eingangspost erkennen. Es geht hier nicht darum, was du selbst evtl. schon erlebt hast.

Cheers,
Joshua
Joshua ist offline   Mit Zitat antworten
Alt 25.01.2019, 23:36   #11 (permalink)
Hardware Freak
 
Benutzerbild von Killerpixel
 

Registriert seit: 01.01.2007
Beiträge: 11.494

Killerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz sein

Standard AW: Dringend Betroffene gesucht! Trojaner / PHOBOS Ransomware

Zitat:
Zitat von Joshua Beitrag anzeigen
Es geht hier nicht darum, was du selbst evtl. schon erlebt hast.
Nee, denn im Grunde ging es entweder um garnix, oder den Link, der im Einganspost war.

Da der TE seit Erstellung des Themas nich mehr reingeschaut hat, gings hier eher um garnix. Zumal andere Betroffene genau wie geholfen hätten?

In solchen Fällen berät ohnehin das BSI oder BKA/LKA.
Killerpixel ist offline   Mit Zitat antworten
Antwort

Stichworte
betroffene, dringend, gesucht, phobos, ransomware, trojaner


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen
Ansicht

Forumregeln
Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist aus.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
[News] Zahlungsbereitschaft bei Ransomware-Attacken steigt TweakPC Newsbot News 2 03.09.2018 00:50
[News] LambdaLocker: Entschlüsselungs-Tool für Ransomware veröffentlicht TweakPC Newsbot News 0 18.08.2017 12:27
[News] Windows 10 S soll sicher vor Ransomware sein TweakPC Newsbot News 1 12.06.2017 15:53
[News] Hotmail Passwörter geknackt: Betroffene Accounts gesperrt TweakPC Newsbot News 4 06.10.2009 19:06


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:19 Uhr.






Powered by vBulletin® Version 3.8.10 (Deutsch)
Copyright ©2000 - 2024, vBulletin Solutions, Inc.
SEO by vBSEO 3.5.2 ©2010, Crawlability, Inc.
Impressum, Datenschutz Copyright © 1999-2015 TweakPC, Alle Rechte vorbehalten, all rights reserved