Dateien per Verschlüsselungs-Trojaner CryptoLocker/Cyrypt0L0cker verschlüsselt

Status
Für weitere Antworten geschlossen.

JackOh

Benutzer
Mitglied seit
27. Mai 2015
Beiträge
188
Punkte für Reaktionen
3
Punkte
24
Auch ich habe nun mit dem CryptoLocker/Cyrypt0L0cker Trojaner zu tun. Jemand hat den Button in einer angeblichen o2-Mail mit einem angeblich offenen Betrag angeklickt und der Horror ging los. Es wurden sämtliche Dateien auf dem PC verschlüsselt (Hinter den Dateiendungen werden noch so was wie .abcdefg... hinzugefügt und die Dateien lassen sich nicht mehr öffnen. Der Erpresser fordert Geld für die Entschlüsselung.
Hinzu kommt, dass der Trojaner sich über die gleichen Rechte wie der aktuell eingeloggte User einfach Zugang zu den Netzlaufwerken auf der Diskstation verschafft und die Dateien dort auch infiziert hat. Meine Hoffnung war, das Backup zurückzuholen. Leider funktioniert das nicht, da Hyper Backup nichts zum Wiederherstellen findet, obwohl laut Status eine Sicherung am Vortag der Katastrophe existiert.

Screenshot1.jpg

Die Planung für die Sicherung habe ich abgeschaltet, damit die Daten nicht überschrieben werden. Der Support hat keine Lösung. Ich würde gerne eine Datenrettung der gesamten Synologie Daten durchführen. Womit kann man das am besten machen?
 

dil88

Benutzer
Contributor
Sehr erfahren
Mitglied seit
03. Sep 2012
Beiträge
30.694
Punkte für Reaktionen
2.104
Punkte
829
Du könntest die externe Platte an einen Rechner hängen und die Wiederherstellung per Hyper Backup Explorer versuchen.
 

blinddark

Benutzer
Mitglied seit
03. Jan 2013
Beiträge
1.386
Punkte für Reaktionen
34
Punkte
68
Ich würde das NaS einmal komplett platt machen und dann die Datensicherung wieder einspielen.
 

JackOh

Benutzer
Mitglied seit
27. Mai 2015
Beiträge
188
Punkte für Reaktionen
3
Punkte
24
@dil88: Stimmt, so kann ich es ja machen. Woher bekomme ich Hyper Backup Explorer? Könnte ich die Platte auch mit R-Studio scannen? Oder ist sie nicht mit dem Windows-Filesystem formatiert?

@blinddark: Sowohl die Daten auf der Diskstation als auch auf der USB Platte sind verschlüsselt/infiziert.
 

tuep

Benutzer
Mitglied seit
14. Jul 2012
Beiträge
187
Punkte für Reaktionen
0
Punkte
0
Wenn das Backup auch verschlüsselt ist, kann Hyper Backup das natürlich auch nicht finden.
Ein anderes Backup gibt es nicht?
 

independence2206

Benutzer
Mitglied seit
30. Nov 2013
Beiträge
560
Punkte für Reaktionen
24
Punkte
38
Klugscheißen im Nachgang ist natürlich einfach aber wieso hat der User der die Schad-Email ausgeführt hat Benutzerrechte für den gemeinsamen Ordner auf dem das Backup liegt?

Den Hyper Backup Explorer kannst du auf der Synology Webseite downloaden und installieren
 

Perry2000

Benutzer
Mitglied seit
05. Nov 2012
Beiträge
829
Punkte für Reaktionen
16
Punkte
44
Scheisse.....
Ihr hattet die USB Platte immer angesteckt? Das ist dann natürlich nicht wirklich ein Backup :-(
So wirds wohl sehr schwierig. Vielleicht kann dir hier jemand helfen: http://www.trojaner-board.de Aber vermutlich ist es dazu zu spät.
Eigentlich dachte ich, dass ein Verschlüsselungs-Trojaner ein Hyper Backup nicht verschlüsseln kann. Aber es bewahrheitet sich mal wieder: mann lernt nie aus.

EDIT: Teste mal eine verschlüsselte Datei hier: https://id-ransomware.malwarehunterteam.com/index.php?lang=de_DE
 
Zuletzt bearbeitet:

JackOh

Benutzer
Mitglied seit
27. Mai 2015
Beiträge
188
Punkte für Reaktionen
3
Punkte
24
Klugscheißen im Nachgang ist natürlich einfach aber wieso hat der User der die Schad-Email ausgeführt hat Benutzerrechte für den gemeinsamen Ordner auf dem das Backup liegt?

Den Hyper Backup Explorer kannst du auf der Synology Webseite downloaden und installieren

Also das ist mir ebenfalls schleierhaft, wie der Trojaner an die USB Platte drankam. Sie ist gar nicht freigegeben. Aber die Daten darauf sind auch verschlüsselt. Und die Sicherung lief am Abend am Vortag. Der Befall ereignete sich dann am nächsten Mittag. Also kann die Sicherung nicht die Daten von der Diskstation per Sicherung auf die USB HDD übertragen haben.
 

Hispeed

Benutzer
Mitglied seit
19. Apr 2013
Beiträge
231
Punkte für Reaktionen
4
Punkte
18
Ein sehr interessanter Fall. Mit welchen Berechtigungen sind die User ausgerüstet und mit welchem User machst du das Hyper Backup und was für Rechte hat der?
 

TeXniXo

Benutzer
Mitglied seit
07. Mai 2012
Beiträge
4.948
Punkte für Reaktionen
100
Punkte
134

Perry2000

Benutzer
Mitglied seit
05. Nov 2012
Beiträge
829
Punkte für Reaktionen
16
Punkte
44
Versuchs auch einmal mit https://decrypter.emsisoft.com/
Emsisoft wird auch von Trojaner Board empfohlen.......

Sorry für die Werbung. Ich arbeite nicht da, aber wenn es hilft ;-)
 

JackOh

Benutzer
Mitglied seit
27. Mai 2015
Beiträge
188
Punkte für Reaktionen
3
Punkte
24

JackOh

Benutzer
Mitglied seit
27. Mai 2015
Beiträge
188
Punkte für Reaktionen
3
Punkte
24

JackOh

Benutzer
Mitglied seit
27. Mai 2015
Beiträge
188
Punkte für Reaktionen
3
Punkte
24
Ein sehr interessanter Fall. Mit welchen Berechtigungen sind die User ausgerüstet und mit welchem User machst du das Hyper Backup und was für Rechte hat der?

Es ist ein User mit Admin-Rechten, aber kein "admin" als Username für Hyper Backup. Die anderen User haben nur Zugriff auf manche Gemeinsamen Ordner mit Lese/Schreibrechten.

Dieses fiese Ding hat sogar die Papierkörbe der gemeinsamen Ordner befallen!!!
 

JackOh

Benutzer
Mitglied seit
27. Mai 2015
Beiträge
188
Punkte für Reaktionen
3
Punkte
24
Ich scanne gerade die USB Platte mit R-Studio und werde von dem Ergebnis berichten.
 

TeXniXo

Benutzer
Mitglied seit
07. Mai 2012
Beiträge
4.948
Punkte für Reaktionen
100
Punkte
134
Ja, bitte darum. Deine Erkenntnisse sind sicher relevant für uns und andere User, die hiervon betroffen sein könnten!
 

handango

Benutzer
Mitglied seit
10. Apr 2015
Beiträge
67
Punkte für Reaktionen
0
Punkte
0
Mit Spannung und wachsendem Unwohlsein habe ich diesen Thread gelesen - für cloudstation backup und Sync hat mein user auch admin rechte - - das ändere ich gerade!


Kann eine ext. HDD die als Shared Folder usbshare1 mit der Option:" verbergen sie diesen gemeinsamen Ordner unter Netzwerkumgebung" konfiguriert wurde immer noch angegriffen werden?
Theoretisch wäre es immer noch ein freigegebenes VErzeichnis...
Wenn ich dann für die normalen WindowsLaufwerksfreigaben einen User verwende der keine Rechte(und auch keine admin rechte hat) auf den ext. Hdd backup Ordner hat sollte der hier geschilderte Angriff fehlschlagen.
Oder gibt auch das noch keine Sicherheit?
 

JackOh

Benutzer
Mitglied seit
27. Mai 2015
Beiträge
188
Punkte für Reaktionen
3
Punkte
24
Mit Spannung und wachsendem Unwohlsein habe ich diesen Thread gelesen - für cloudstation backup und Sync hat mein user auch admin rechte - - das ändere ich gerade!


Kann eine ext. HDD die als Shared Folder usbshare1 mit der Option:" verbergen sie diesen gemeinsamen Ordner unter Netzwerkumgebung" konfiguriert wurde immer noch angegriffen werden?
Theoretisch wäre es immer noch ein freigegebenes VErzeichnis...
Wenn ich dann für die normalen WindowsLaufwerksfreigaben einen User verwende der keine Rechte(und auch keine admin rechte hat) auf den ext. Hdd backup Ordner hat sollte der hier geschilderte Angriff fehlschlagen.
Oder gibt auch das noch keine Sicherheit?

Wirklich gute Frage. Ich habe keine Ahnung. Ich denke, der Normal-User sollte auf keinen Fall Zugriffsrechte auf die USB Platte haben. Der Trojaner geht den einfach gleichen Weg, den der eingeloggte User gehen kann. Wo er drankommt wird verschlüsselt.

R-Studio findet jedenfalls KEINE einzige gelöschte Datei auf der USB HDD :( Das war meine letzte Hoffnung. Wie kann das sein? Die Software findet nur die verschlüsselten Dateien, mehr nicht. Und die Software hat mir in Vergangenheit einige gelöschte Dateien gefunden und gerettet.
 

tschortsch

Benutzer
Mitglied seit
16. Dez 2008
Beiträge
1.645
Punkte für Reaktionen
34
Punkte
74
HyperBackup sichert (ohne bseondere einstellungen) auch in einer versionierte Datenbank (kein reines duplizieren von DS auf USB)- da kommst du von haus aus nur mit einer DS oder dem HyperBackupExplorer unter windows ran.
Wenn aber diese Dateien von eine Cryptolocker verschlüsselt wurden und es kein Tool zum entschlüsseln gibt siehts wohl schlecht aus für dich.
Da hilft auch kein R-Studio oder andere Datenrettungssoftware da deine Datei nicht als Datei auf der Festplatte liegt sondern praktisch 2x verschlüsselt ist (1x Datenbank, 1x Cryptolocker).

Ohne richtiges (extern, abgesteckt, offline) Backup sehe ich da schwarz

PS für die Zukunft:
1. Jeder User der in der Admin Gruppe ist hat überall Adminrechte auch wenn er in einer anderen Gruppe ausgeschlossen ist... Sonst hätte ein Admin ja quasi nirgends rechte...
2. Auch werden USB Platte automatisch von der DS unter USBShareX eingebunden. Admin User haben da immer Zugriff ohne besondere einstellungen.
 
Zuletzt bearbeitet:

JackOh

Benutzer
Mitglied seit
27. Mai 2015
Beiträge
188
Punkte für Reaktionen
3
Punkte
24
Hmm, aber: Wenn die Dateien in irgendeiner Art und Weise verändert werden, sollte die Versionierung greifen und die noch unverschlüsselte Version bieten. Hyper Backup hat ja 12 Stunden vorher gesichert und zeigt die letzte Sicherung zumindest als Datum an. Aber sonst sieht man das Backup nirgends im HB Fenster. Und soviel ich verstanden habe, geht der Trojaner hin und kopiert die Datei vor dem Verschlüsseln und löscht dann das Original. Aber bin mir da nicht sicher.

Derjenige, der Admin-Rechte hat, ist ja ein User, der die DSM bedient. Die Win-User haben keine Admin-Rechte, dass die einfach auf die USB Platte können.
 
Zuletzt bearbeitet von einem Moderator:
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat