Zurück   Trojaner-Board > Malware entfernen > Antiviren-, Firewall- und andere Schutzprogramme

Antiviren-, Firewall- und andere Schutzprogramme: Crytowall 3.0 | Teslacrypt Version 7

Windows 7 Sämtliche Fragen zur Bedienung von Firewalls, Anti-Viren Programmen, Anti Malware und Anti Trojaner Software sind hier richtig. Dies ist ein Diskussionsforum für Sicherheitslösungen für Windows Rechner. Benötigst du Hilfe beim Trojaner entfernen oder weil du dir einen Virus eingefangen hast, erstelle ein Thema in den oberen Bereinigungsforen.

Antwort
Alt 11.11.2015, 11:10   #1
hauptplatine
 
Crytowall 3.0 | Teslacrypt Version 7 - Icon34

Crytowall 3.0 | Teslacrypt Version 7



Hallo,

ich habe mehrere Rechner bzw. Freigaben im Netz die verschlüsselt sind.
Kurzer Rückblick;
Es lagen u.a "HELP_DECRYPT.HTML" in den betroffenen Verzeichnissen. Die verschlüsselten Dateien wurde nicht umbenannt, und auch die Dateiendung blieb umgeändert.
Nachdem wir das Einfallstor (USER) geschlossen hatten war Ruhe (keine weiteren Dateien gefunden).
Malwarebytes und Trendmicro haben keine Auffälligkeiten mehr gefunden.
48 Stunden später wurden wieder verschlüsselte Dateien gefunden, diesmal lagen keine Hinweis-Dateien mehr in den betreffenden Verzeichnisses. Jedoch wurde die Dateiendungen auf "*.ccc" geändert.
Die Daten sind futsch, kann ich aber aus der Sicherung wiederherstellen. Wie kann ich sicher gehen denn Verursacher auch zu finden ? Soweit ich das verstanden habe arbeitet z.b. die neuste Version von Teslacryt (7?) nicht mehr mit lokalen Dateien, also ist auch nicht s mehr zu finden ??!!
Ideen ?

Danke

Alt 11.11.2015, 11:25   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Crytowall 3.0 | Teslacrypt Version 7 - Standard

Crytowall 3.0 | Teslacrypt Version 7



Zitat:
Zitat von hauptplatine Beitrag anzeigen
Wie kann ich sicher gehen denn Verursacher auch zu finden ?
Schauen wer der Besitzer der Datei ist. Das könnte ein Anhaltpunkt ein. Und schauen was der Server an Protokollierfunktionen mitbringt. Was für ein Server das ist, der die Freigaben bereitstellt, hast du ja leider nicht nicht geschrieben.
__________________

__________________

Alt 11.11.2015, 11:30   #3
hauptplatine
 
Crytowall 3.0 | Teslacrypt Version 7 - Standard

Crytowall 3.0 | Teslacrypt Version 7



Windows 2003 Server mit SP2
Der Schadcode müsste nach meinem Verständnis im Arbeitsspeicher gehalten und ausgeführt werden, ein Neustart des betreffenden Systems sollte dem Spuk ein Ende machen (Teslacrpyt neuste Version) oder ?!
__________________

Alt 11.11.2015, 11:38   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Crytowall 3.0 | Teslacrypt Version 7 - Standard

Crytowall 3.0 | Teslacrypt Version 7



Computerverwaltung => System => Freigegebene Ordner => Geöffnete Dateien

Da siehst du welcher User wo genau seine Griffel drauf hat.

Und mal so nebenbei, Windows Server 2003 ist mega-alt, wird seit vier Monaten nicht mehr supportet von MS. Einen Server so produktiv noch einzusetzen halte ich für grobfahrlässig.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 11.11.2015, 11:49   #5
hauptplatine
 
Crytowall 3.0 | Teslacrypt Version 7 - Standard

Crytowall 3.0 | Teslacrypt Version 7



Gute werde ich mal schauen, zum alter des Systems, stimmt. Windows 2012 wird derzeit ausgerollt bei uns, hat uns halt vorher erwischt :-/
P.S.: Terminalserver sind 2008R2 "nur" der Fileserver ist noch ein 2003er (noch)


Alt 11.11.2015, 11:56   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Crytowall 3.0 | Teslacrypt Version 7 - Standard

Crytowall 3.0 | Teslacrypt Version 7



Das mit Windows 2003 war nur nebenbei, allein ein aktueller Windows-Server hilft auch nicht gegen die Verschlüsselungsmalware.
__________________
--> Crytowall 3.0 | Teslacrypt Version 7

Alt 11.11.2015, 11:58   #7
hauptplatine
 
Crytowall 3.0 | Teslacrypt Version 7 - Standard

Crytowall 3.0 | Teslacrypt Version 7



System (Fileserver) ist noch in Quarantäne daher offline bzw. keine Freigaben.
Verschlüsselte Dateien mit der Endung *.ccc haben den Besitzer "SYSTEM"

Alt 11.11.2015, 11:59   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Crytowall 3.0 | Teslacrypt Version 7 - Standard

Crytowall 3.0 | Teslacrypt Version 7



Wieso ist der Server in Quarantäne? Die Verschlüsselungsmalware wurde von dem doch garnicht ausgeführt, sondern von einem Client.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 11.11.2015, 12:05   #9
hauptplatine
 
Crytowall 3.0 | Teslacrypt Version 7 - Standard

Crytowall 3.0 | Teslacrypt Version 7



Stimmt aber da der Verursacher ein Terminaluser mit Thin-Client ist mussten wir die Ressourcen offline nehmen, da die Die Verschlüsselungsmalware auch Ressourcen verschlüsselt hatte wo der Verursacher keine Rechte drauf hatte, ab da wird's dann undurchsichtig....

Alt 11.11.2015, 12:18   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Crytowall 3.0 | Teslacrypt Version 7 - Standard

Crytowall 3.0 | Teslacrypt Version 7



Diese Info hast du vorher aber nicht gepostet

Als remotedesktop user sieht das nämlich schon anders aus. Und da ist die Frage wie viele Rechte dieser User denn am Terminalserver hat. Ich kenn das aus alten Windows-200x-Server-Tagen, dass man den Leuten schnell mal volle Rechte gegeben hat, weil da irgendeine depperte billig-ERP-oder-sonstwas-Software sonst nicht laufen wollte oder abstürzte.

Hatte der User nur normale Rechte, also ein ganz normaler Remotedesktop-User, stellt sich die Frage, wie ein limitierter Benutzer Änderungen an Systemdateien vornehmen kann. Keine Ahnung ob aktuellere Varianten der Verschlüsselungszecken jetzt schon Lücken im OS ausnutzen für Privilege Escalation, eigentlich ist der Aufwand zu hoch und rechtfertigt den Nutzen nicht, denn die Erpresser erreichen ihr Ziel ja schon wenn sie nur die Nutzerdaten verschlüsseln. Dafür braucht es keine Adminrechte auf der Maschine.

Welche Verzeichnisse wurden denn verschlüsselt, obwohl der User, der den ransom doppelklickt, keine Rechte darauf hatte?
Und sicher, dass er der User war?
Sicher, dass nicht irgendwie ein dicker Rechtedschungel, den Überblick auf den IST-Zustand der Berechtigungen verfälscht?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 11.11.2015, 12:36   #11
hauptplatine
 
Crytowall 3.0 | Teslacrypt Version 7 - Standard

Crytowall 3.0 | Teslacrypt Version 7



Also lokale Systemdateien wurde nicht angefasst nur SMB Freigaben wo aber vermeintliche Anwender aber auch keine Rechte hat. Was hier jedoch übereinstimmt ist "SYSTEM", viel weiter bin ich auch noch nicht gekommen.

Wie siehts mit "meiner" Neustart-Theorie aus? Stoppt das die Verbreitung...

Alt 11.11.2015, 12:42   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Crytowall 3.0 | Teslacrypt Version 7 - Standard

Crytowall 3.0 | Teslacrypt Version 7



Schaden kann ein reboot nicht. Und automatisch starten kann der Schädling sich auch nicht wieder, da der Benutzer, der ihn ausführte, ja keine Adminrechte hat (hatte). Das wäre ja erst dann wieder der möglich, wenn du dich mit dem Konto anmeldest.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 11.11.2015, 12:57   #13
hauptplatine
 
Crytowall 3.0 | Teslacrypt Version 7 - Standard

Crytowall 3.0 | Teslacrypt Version 7



Also 30 mal reboot ;-) Meld mich, Danke soweit.

MfG

Alt 11.11.2015, 12:59   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Crytowall 3.0 | Teslacrypt Version 7 - Standard

Crytowall 3.0 | Teslacrypt Version 7



Wieso denn jetzt die Clients? Ich dachte du sprichst vom Server
Wie kann denn da der Server überhaupt nopch von den Clients betroffen sein, da sagtest doch er sei offline??

Irgendwie reden wir gerade aneinander vorbei?!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 11.11.2015, 13:09   #15
hauptplatine
 
Crytowall 3.0 | Teslacrypt Version 7 - Standard

Crytowall 3.0 | Teslacrypt Version 7



Besser die komplette Windows Server Farm (ja 30)..., da der User auch auf unterschiedlichen Systemen (per RDP/Citirx) gearbeitet hat. Und wir bisher keine Erklärung haben, wieso die Verschlüsselungsmalware nach 48 Stunden wieder aktiv geworden ist, obwohl der vermeidliche Verursacher (USER) in der Zeit nicht angemeldet war (Profil gelöscht/User gesperrt).

Antwort

Themen zu Crytowall 3.0 | Teslacrypt Version 7
arbeitet, blieb, crytowall, dateien, daten, freigabe, futsch, gefunde, geschlossen, help, lokale, lokalen, neuste, nicht mehr, rechner, rückblick, sicherung, stunde, stunden, teslacryt, trendmicro, umbenannt, verschlüsselt, verschlüsselte, version, verursacher, verzeichnisse




Ähnliche Themen: Crytowall 3.0 | Teslacrypt Version 7


  1. TeslaCrypt - Virus entfernen/Daten noch zu retten?
    Plagegeister aller Art und deren Bekämpfung - 03.11.2015 (3)
  2. Rechner mit Teslacrypt verschlüsselt
    Log-Analyse und Auswertung - 03.11.2015 (1)
  3. Alphacrypt / Teslacrypt
    Plagegeister aller Art und deren Bekämpfung - 06.07.2015 (5)
  4. Teslacrypt hat Festplatteninhalt verschlüsselt.
    Log-Analyse und Auswertung - 01.05.2015 (4)
  5. GVU Trojaner (Version 2.12)
    Plagegeister aller Art und deren Bekämpfung - 12.05.2013 (9)
  6. GVU Virus Version 2.11
    Log-Analyse und Auswertung - 05.02.2013 (32)
  7. GVU Version des BKA-Trojaners
    Plagegeister aller Art und deren Bekämpfung - 31.10.2012 (23)
  8. GVU Trojaner Version 2.07
    Plagegeister aller Art und deren Bekämpfung - 15.09.2012 (3)
  9. BKA Trojaner Version 1.13
    Log-Analyse und Auswertung - 28.08.2012 (24)
  10. 32-Bit Version auf 64 Bit-Version upgraden ??
    Alles rund um Windows - 20.03.2008 (2)
  11. IE "angeblich" nur Version 5, habe aber die neuste Version!Wer kann helfen?
    Alles rund um Windows - 27.02.2008 (0)
  12. window xp 64 bit version
    Alles rund um Windows - 01.07.2007 (4)
  13. Dr.Virus Version 3
    Mülltonne - 04.04.2007 (0)
  14. Spybot SD Version 1.4 RC (Neue Version)
    Antiviren-, Firewall- und andere Schutzprogramme - 25.05.2006 (13)
  15. KNOPPIX Version 3.7
    Alles rund um Mac OSX & Linux - 16.12.2004 (2)

Zum Thema Crytowall 3.0 | Teslacrypt Version 7 - Hallo, ich habe mehrere Rechner bzw. Freigaben im Netz die verschlüsselt sind. Kurzer Rückblick; Es lagen u.a "HELP_DECRYPT.HTML" in den betroffenen Verzeichnissen. Die verschlüsselten Dateien wurde nicht umbenannt, und auch - Crytowall 3.0 | Teslacrypt Version 7...
Archiv
Du betrachtest: Crytowall 3.0 | Teslacrypt Version 7 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.