Verschlüsselungstrojaner

[blurrrr]

Gut formuliert, aber wenn man das jetzt mal auf die nicht digitale Welt ummünzt...

Jemand hat Dir eine wertvolle Vase aus dem Haus gestohlen (oder Dein Kind, kommt ja schon einer Entführung gleich)... WAS ist denn jetzt das EIGENTLICHE Problem? Die Vase die weg ist? Die Tatsache, dass jemand alles in Deinem Haus gesehen hat? Schlüssel wurden ggf. sogar nachgemacht? Wie kam man ins Haus? Aufs Grundstück? Fehlt vielleicht noch etwas anderes? .... DAS sind die eigentlichen Probleme... nicht die Vase...

Jut, Vase sind in diesem Fall halt die Daten, aber ganz ehrlich: drauf gesch.... wenn man ein vernünftiges Backup zur Hand hat. Ansonsten: Kein Backup, kein Mitleid. Der wesentliche Punkt ist nur, dass a) alle möglichen Logindaten abgeflossen sein könnten, b) JEDES erreichbares Gerät theoretisch als komprimitiert anzusehen ist... Was nutzt es da grade den PC abzuschalten, oder das NAS? Durch den Abschaltvorgang kann man mitunter verhindern, dass noch mehr verschlüsselt wird... jou... super... WEN juckt das noch gleich, wenn man ein Backup hat? Spielt also keine Rolle...

Ausserdem ist nach wie vor nicht geklärt, wie es überhaupt dazu kam (und nein, es muss nicht der PC gewesen sein, Handys und Tablets sind für sowas auch ganz toll).... alternativ irgendwelche gehackten Repos von irgendeiner Smarthome-Software, was weiss ich... Möglichkeiten gibt es tausende... Da bringt auch alles hin und her nix, da muss man halt extremst akribisch vorgehen....

Ich persönlich würde erstmal in Richtung Honeypot-Verfahren tendieren... Backup ist ja da und BLEIBT auch da... NAS wieder mittels Kopie des Backups (wie schon ganz richtig erwähnt) herstellen, vor "alle" anderen Geräte ausschalten (oder Netzwerk kappen) und dann - ggf. in Tagesschritten - langsam ein Gerät nach dem anderen wieder ins Netz hängen und alles kritisch beachten... Wobei selbst das nicht das beste Verfahren ist, da mitunter auch künstliche Zeitverzögerungen drin ist (quasi Schläfer)...

Man weiss halt auch nicht, was ausser "Verschlüsselung" sonst noch so passiert ist. Wie gesagt, ist es ein Gewerbe, Polizei einschalten und Vorfall melden (dazu ist man sowieso verpflichtet). Die werden dann auch entsprechende Ratschläge in die richtige Richtung geben können.

EDIT: Kann man natürlich auch als Privatperson...

 

[synfor]

Interessant finde ich (als Laie), dass hier verschluesselte gemeinsame Ordner gebaut wurden. Das stinkt so ein bisschen nach Handarbeit oder zumindest nach, wenn nciht per Hand, dann auf der Shell.

Das stinkt nach kompromittiertem NAS.

 

[blurrrr]

Aber auch da muss man irgendwie "hin" gekommen sein und sowas passiert halt auch nicht einfach so... Ich hol gern nochmal den einen Satz raus (den, den hier jeder überlesen möchte)...

Und die Mail kam mit dem Passwort er NAS im Betreff und das nutze ich nur dafür.

Da kommt jetzt niemand auf die Idee, dass es wohl primär (ohne Exploits) nur mit Passwort möglich wäre? Stellt sich da nicht automatisch die Frage, auf welchen und wievielen Geräten dieses Passwort gespeichert ist? Sicherlich kann es auch ein anderes Gerät gewesen sein, das hat sich am Windows-Client (oder sonstigen Clients) zu schaffen gemacht und dort die Passwörter abgezogen... aber irgendwie "so" muss es wohl gelaufen sein (oder via Exploit), ansonsten wäre der TO vermutlich mit Mails über gesperrte IP-Adressen überhäuft worden..... gelle?....

 

[Synchrotron]

Sorry, sehe ich aktuell anders. Die typische Ransomattacke versucht, Zeitdruck aufzubauen. Also Zahlung bis Datum X, oder Verschlüsselung endgültig.

Philosophisch bin ich gegen Zahlung an solche Verbrecher, weil man deren Geschäft befördert, womit es die Nächsten trifft.

Nur kann es pragmatisch tatsächlich die günstigste Variante sein, zu zahlen und auf „ehrliche“ Ganoven zu setzen. Deren Interesse ist es, dass bekannt ist, dass man nach Zahlung seine Daten zurück bekommt. Also gibt es da eine Chance.

Ist ein gutes (brauchbares) Backup da, kann man Variante 2 wählen: Nicht zahlen, die Geräte platt machen, neu aufsetzen, Backup einspielen und dann schauen, ob wieder etwas passiert. Dann kommen die ganzen Themen zum tragen, die oben schon erwähnt wurden.

Anzeige erstatten, Polizei etc. - ja, schon wegen einer möglichen Versicherungsdeckung für eventuell zu ersetzende Hardware. Aber die Daten bringen die einem nicht wieder.

Theoretisch kann die Verschlüsselung von jedem Gerät mit einem Prozessor und einem Betriebssystem ausgehen. Aber faktisch sind es auch aktuell immer noch Windows PCs mit Office und danach PowerShell, auf die die Schadsoftware abgestimmt ist, und über die sie auch andere Geräte im Netzwerk angreift.

 

[Synchrotron]

Da der typische Angriff wie oben beschrieben abläuft (Phishing-Mail, Office-Makro, Nachladen von innen, Öffnen des Netzwerks zum ControlServer von innen etc.), gibt es keine gesperrten IPs, weil nie jemand ungefragt von außen anklopft.

Man müsste schon den Netzwerkverkehr ziemlich dicht überwachen (so Typ LittleSnitch), um diesen Traffic mit zu bekommen.

 

[blurrrr]

Nur kann es pragmatisch tatsächlich die günstigste Variante sein, zu zahlen und auf „ehrliche“ Ganoven zu setzen.

Wie das "immer" so ist, wah? ? Sicherlich... 150€ kann man auch in einen Lotto-Schein stecken, kein Ding, nur besteht da realistisch betrachtet, dann doch noch die größere Chance zu gewinnen...

Was grade leicht vergessen wird: "Völlig egal" wie das Einfallstor selbst war... nachziehen kann man dann sowieso "alles" (und ja, es auch so gestalten, dass es so "aussieht", als wäre es vom PC gekommen)

EDIT: Najo, man kann auch einfach mal alles aus lassen und einfach nur mit TCPview in die Runde schauen, bringt aber natürlich auch nur was, wenn man ansatzweise versteht, was einem da angezeigt wird...

 

[blurrrr]

Btw gehe ich hier grade sowieso von einem Gewerbe aus und von daher... Polizei, Vorfall melden und dann weiter sehen, da sind wir hier dann aber raus...

 

[Synchrotron]

@LutzHase Könntest du auf die Frage zum Backup antworten ?

Hast du eines, taugt es was, oder tritt unersetzlicher Datenverlust ein, falls es bei der Verschlüsselung bleibt ?

 

[LutzHase]

Ich habe mein Pssswort sofort geändert.
Ich habe hatte ein dyndns von meiner Webseite eingerichtet, damit ich unterwegs Daten habe... Hab ich alles abgeschaltet.
Ich habe die Nas mal an einen Laptop gehangen und habe mich eingeloggt, alles ohne Internet usw.
Benutzer ist soweit keiner angemeldet, ich hatte auch Standard admin immer schon aus.

 

[blurrrr]

DynDNS funktioniert nur, wenn Du am Router auch offene Ports hast

 

[Synchrotron]

Das einzige, was von der Polizei etwas nützt, ist der Schrieb mit der Bestätigung der Anzeige.

Die Ransomware-„Industrie“ sitzt irgendwo warm und trocken: In Russland, in Nordkorea, etc. Bei denen platzt kein SEK-Kommando durch die Tür.

 

[LutzHase]

Ich habe leider kein weiteres Backup, die Nas ist an Sich mein Backup.
Einige Dateien nutze ich allerdings nur dort und die hatte ich auf der UBS Platte, die ist aber auch verschlüsselt.

 

[blurrrr]

Dann geben wir vielleicht mal ein wenig Geld für jemanden aus, der da auch Ahnung von hat, oder investieren einfach mal ein bisschen Zeit und lesen einfach mal hier im Forum, was zu 99,9% so empfohlen wird (zum Thema Backup, Emotet-sicheres Backup, 3-2-1-Backupregel, usw.)... und bevor es dann heissst "alles viel zu teuer", muss man sich halt fragen, ob es den ganzen Stress (und Datenverlust) wert ist, den Du grade hast.

 

[Synchrotron]

OK

Dann hast du aus meiner Sicht nur diese Möglichkeiten:

- Du findest den Typ des Trojaners heraus, der dir den Ärger macht, und stellst fest (Google), ob er bereits geknackt wurde. Dabei kannst du dir wie von blurrrr vorgeschlagen gegen Bezahlung auch helfen lassen.
- Du zahlst und hoffst darauf, dass die Typen auf ihren Ruf achten, dann auch den Schlüssel zu liefern.
- Du schreibst deine Daten ab, bzw. hoffst darauf, dass der Algorithmus dieses Trojaners irgendwann in der Zukunft einmal geknackt wird. Die geknackten Trojaner in der Vergangenheit haben Einheitsschlüssel verwendet. Wenn der Schlüssel dynamisch erzeugt wurde, sehe ich die Chancen für einen Crack als nahe Null an. Die aktuelle Schadsoftware verwendet 256AES, das ist bei guter Schlüsselqualität nicht zu knacken.

Unabhängig davon (auch nach einer Entschlüsselung) musst du dein gesamtes Netwzerk als weiter kompromittiert betrachten. Vorgehensweise s.o., alles platt machen und neu aufsetzen (mit Restrisiko) oder verschrotten und neu kaufen.

Dann bitte auch mit Backup, nützt nur hier und jetzt nichts mehr.

Sorry wenn das hier sehr direkt rüber kommt, aber drum herum reden nützt dir nichts.

 

[Synchrotron]

@LutzHase Drücke dir die Daumen, bin jetzt hier raus.

Wollte schon lange ins Bett, dir aber noch so weit wie per Ferndiagnose möglich helfen.

 

[LutzHase]

Ja das mit dem nichtBackup ist ein grober Fehler. Ich bin auch ein gebranntes Kind was Festplatten angeht, aber ich habe im Moment nicht mehr.
Unter Berechtigungen stand der neue Ordner (1_readme) auch als voll Zugriff. Weil es mit meinem Account gemacht wurde, denke ich. - wie auch immer.
Das geht theoretisch nur über meinen Rechner, weil dort die Laufwerke gemappt wurden.
Und wenn dem so ist, kann man auch rausfinden wie Backups gefahren und dann wartet man schön bis alle Datenträger einmal dran waren...
Das nützt mir auch kein rdx Laufwerk mit 20 Disks etwas, der Gauner wartet einfach ab.

Bei Raw Bildern ist das wirklich irgendwann recht teuer...

Bleibt die Frage was ist denn sicherer?
Wenn man Backups nicht vergessen möchte muss man diese doch automatisch machen lassen. Platten aushängen ist natürlich klar.
Was noch viel unsicherer ist, ist meine VM mit Windows drauf. Wenn diese an bleibt ist das Tor ja immer auf. Den Rechner macht man ja mal aus.

Auch wenn ich in erster Linie Schuld habe, weil ich die Fehlerquelle ja erzeugt haben muss, habe ich irgendwie keine Lust mehr auf NAS Speicher.
Ich danke euch schon mal für die Unterstützung und halte euch auf dem laufenden.
In der Firma hatten wir letztens auch eine DDos Attacke, wurde sogar vom Provider bestätigt....

 

[blurrrr]

Das NAS hat da wenig mit zu tun (wie Du ja auch schon richtig erkannt hast)... Einfallstore gibt es halt auch einige, aber der "bequemste" Weg führt immer über das Einfallstor "vor" dem Rechner (nix für ungut, ist aber so ). Davor sind auch große Firmen nicht gefeit... Ich wollte es die Tage eh schon erwähnt haben, aber das scheint mir jetzt in Deinem Fall nochmal umso wichtiger:

BSI und DisN haben in einer Gemeinschaftsarbeit ein entsprechendes Projekt auf die Beine gestellt: Die Cyberfibel. Das ganze soll als eine Art "Guide" für die digitale Welt gelten. Sicherlich werden die meisten direkt sagen "Pah, brauch ich nicht, kann ich auch alles ohne", aber das ein oder andere nützliche wird da wohl jeder für sich irgendwo rausziehen können (ggf. abseits den Leuten vom Fach).

Hilft Dir jetzt natürlich alles nicht, aber es hilft mitunter ein wenig zu verstehen, wie die Dinge so funktionieren und warum das ein oder andere mitunter doch als "wichtig" erachten zu ist.

Was mich im Nachgang auch ein wenig wundert... wenn es so von statten gegangen ist, wie angenommen wird (über Office-Dokumente)... Normalerweise sind Makros und dergleichen immer ausgeschaltet. Man muss sie vorher aktivieren (etliche Dialoge zig mal bestätigen)... entweder hast Du sowas getan, ODER... manche Menschen nutzen gern Makros in Tabellen für allen möglichen Kram... Mitunter hattest Du (irgendwann) mal sowas und hast evtl. die Einstellungen für die Makros entsprechend abgeändert, so dass das aktuelle Thema quasi "spurlos" an Dir vorbei gerauscht ist und entsprechend seine "Arbeit" verrichten konnte. Für diesen Fall wäre es auf jeden Fall ratsam, dass Du mal die Einstellungen bzgl. der Makros in Deinen Office-Produkten prüfst

 

[Michael336]

Moin,

was mich dahingehend weiter interessiert:
Wie lange ist denn die Latenzphase des Trojaners von der Infektion bis zum Bemerken oder dem Hinweis... ich will Geld? Generell könnte ja sowas schön im Hintergrund ablaufen und man würde es vermutlich nur an höherer Systemlast merken, falls der Scanner nicht anspringt.

Ich meine, prinzipiell ist es doch möglich, dass auch unbemerkt Backups infiziert wurden und nur auf ein Signal warten, dass der Trojaner mit der Verschlüsselung oder dem Löschen beginnt.
Denn, verbinden muss ich mich ja irgendwie mit dem Sicherungsmedium.

Wie lässt sich solch eine Möglichkeit ziemlich sicher ausschließen?
Nutzt ein Scanner auf der NAS irgendetwas?

LG Micha

 

[blurrrr]

Prinzipiell hast Du vollkommen Recht damit. Früher war es auch eher Gang und Gebe, dass nicht sofort losgerattert wurde, sondern das ganze eher Schläfer-mässig ablief, um dann zu einem bestimmten Zeitpunkt loszulegen. Heutzutage ist das nicht mehr so weit verbreitet (maximal, wenn der Rechner längere Zeit nicht genutzt wird, damit das Ding erstmal in Ruhe rumrödeln kann).

Grundsätzlich gilt: Wer anderen traut, gehört verhaut. Ist schon fragwürdig, ob man sich selbst vertrauen kann Ein guter Rat ist hier definitiv geflossen: Das Backup "nicht" direkt anhängen, sondern nur eine Kopie.

Das verbinden mit dem Sicherungsmedium ist so eine Sache... hier im Forum gibt es u.a. den Thread mit dem Emotet-sicheren Backup. Das wäre mal etwas zum reinschauen. Grundsätzlich gilt dabei halt, dass die Sicherungsquelle keinen Zugriff auf das Backup hat. Im Falle von z.B. 2 NAS würde das so aussehen, dass das Quell-NAS das Backup nicht auf das Ziel-NAS schiebt, sondern, dass sich das Ziel-NAS das Backup vom Quell-NAS holt (z.B. via ActiveBackup, Dateiserver-Backup). Somit hat das Quell-NAS (und somit auch die Schadsoftware) auch keine Möglichkeit an die Daten auf dem Ziel-NAS zu gelangen.

Das ist aber eher eine Thematik für anderweitige vorhandene Threads, dieser hier gehört unserem... "Opfer"

 

[Michael336]

ja, auf jeden Fall.
Viel Erfolg und Glück bei der Beseitigung.
Ganz schlimme Sache.