|
Antiviren-, Firewall- und andere Schutzprogramme: Crytowall 3.0 | Teslacrypt Version 7Windows 7 Sämtliche Fragen zur Bedienung von Firewalls, Anti-Viren Programmen, Anti Malware und Anti Trojaner Software sind hier richtig. Dies ist ein Diskussionsforum für Sicherheitslösungen für Windows Rechner. Benötigst du Hilfe beim Trojaner entfernen oder weil du dir einen Virus eingefangen hast, erstelle ein Thema in den oberen Bereinigungsforen. |
11.11.2015, 11:10 | #1 |
| Crytowall 3.0 | Teslacrypt Version 7 Hallo, ich habe mehrere Rechner bzw. Freigaben im Netz die verschlüsselt sind. Kurzer Rückblick; Es lagen u.a "HELP_DECRYPT.HTML" in den betroffenen Verzeichnissen. Die verschlüsselten Dateien wurde nicht umbenannt, und auch die Dateiendung blieb umgeändert. Nachdem wir das Einfallstor (USER) geschlossen hatten war Ruhe (keine weiteren Dateien gefunden). Malwarebytes und Trendmicro haben keine Auffälligkeiten mehr gefunden. 48 Stunden später wurden wieder verschlüsselte Dateien gefunden, diesmal lagen keine Hinweis-Dateien mehr in den betreffenden Verzeichnisses. Jedoch wurde die Dateiendungen auf "*.ccc" geändert. Die Daten sind futsch, kann ich aber aus der Sicherung wiederherstellen. Wie kann ich sicher gehen denn Verursacher auch zu finden ? Soweit ich das verstanden habe arbeitet z.b. die neuste Version von Teslacryt (7?) nicht mehr mit lokalen Dateien, also ist auch nicht s mehr zu finden ??!! Ideen ? Danke |
11.11.2015, 11:25 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Crytowall 3.0 | Teslacrypt Version 7 Schauen wer der Besitzer der Datei ist. Das könnte ein Anhaltpunkt ein. Und schauen was der Server an Protokollierfunktionen mitbringt. Was für ein Server das ist, der die Freigaben bereitstellt, hast du ja leider nicht nicht geschrieben.
__________________
__________________ |
11.11.2015, 11:30 | #3 |
| Crytowall 3.0 | Teslacrypt Version 7 Windows 2003 Server mit SP2
__________________Der Schadcode müsste nach meinem Verständnis im Arbeitsspeicher gehalten und ausgeführt werden, ein Neustart des betreffenden Systems sollte dem Spuk ein Ende machen (Teslacrpyt neuste Version) oder ?! |
11.11.2015, 11:38 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Crytowall 3.0 | Teslacrypt Version 7 Computerverwaltung => System => Freigegebene Ordner => Geöffnete Dateien Da siehst du welcher User wo genau seine Griffel drauf hat. Und mal so nebenbei, Windows Server 2003 ist mega-alt, wird seit vier Monaten nicht mehr supportet von MS. Einen Server so produktiv noch einzusetzen halte ich für grobfahrlässig.
__________________ Logfiles bitte immer in CODE-Tags posten |
11.11.2015, 11:49 | #5 |
| Crytowall 3.0 | Teslacrypt Version 7 Gute werde ich mal schauen, zum alter des Systems, stimmt. Windows 2012 wird derzeit ausgerollt bei uns, hat uns halt vorher erwischt :-/ P.S.: Terminalserver sind 2008R2 "nur" der Fileserver ist noch ein 2003er (noch) |
11.11.2015, 11:56 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Crytowall 3.0 | Teslacrypt Version 7 Das mit Windows 2003 war nur nebenbei, allein ein aktueller Windows-Server hilft auch nicht gegen die Verschlüsselungsmalware.
__________________ --> Crytowall 3.0 | Teslacrypt Version 7 |
11.11.2015, 11:58 | #7 |
| Crytowall 3.0 | Teslacrypt Version 7 System (Fileserver) ist noch in Quarantäne daher offline bzw. keine Freigaben. Verschlüsselte Dateien mit der Endung *.ccc haben den Besitzer "SYSTEM" |
11.11.2015, 11:59 | #8 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Crytowall 3.0 | Teslacrypt Version 7 Wieso ist der Server in Quarantäne? Die Verschlüsselungsmalware wurde von dem doch garnicht ausgeführt, sondern von einem Client.
__________________ Logfiles bitte immer in CODE-Tags posten |
11.11.2015, 12:05 | #9 |
| Crytowall 3.0 | Teslacrypt Version 7 Stimmt aber da der Verursacher ein Terminaluser mit Thin-Client ist mussten wir die Ressourcen offline nehmen, da die Die Verschlüsselungsmalware auch Ressourcen verschlüsselt hatte wo der Verursacher keine Rechte drauf hatte, ab da wird's dann undurchsichtig.... |
11.11.2015, 12:18 | #10 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Crytowall 3.0 | Teslacrypt Version 7 Diese Info hast du vorher aber nicht gepostet Als remotedesktop user sieht das nämlich schon anders aus. Und da ist die Frage wie viele Rechte dieser User denn am Terminalserver hat. Ich kenn das aus alten Windows-200x-Server-Tagen, dass man den Leuten schnell mal volle Rechte gegeben hat, weil da irgendeine depperte billig-ERP-oder-sonstwas-Software sonst nicht laufen wollte oder abstürzte. Hatte der User nur normale Rechte, also ein ganz normaler Remotedesktop-User, stellt sich die Frage, wie ein limitierter Benutzer Änderungen an Systemdateien vornehmen kann. Keine Ahnung ob aktuellere Varianten der Verschlüsselungszecken jetzt schon Lücken im OS ausnutzen für Privilege Escalation, eigentlich ist der Aufwand zu hoch und rechtfertigt den Nutzen nicht, denn die Erpresser erreichen ihr Ziel ja schon wenn sie nur die Nutzerdaten verschlüsseln. Dafür braucht es keine Adminrechte auf der Maschine. Welche Verzeichnisse wurden denn verschlüsselt, obwohl der User, der den ransom doppelklickt, keine Rechte darauf hatte? Und sicher, dass er der User war? Sicher, dass nicht irgendwie ein dicker Rechtedschungel, den Überblick auf den IST-Zustand der Berechtigungen verfälscht?
__________________ Logfiles bitte immer in CODE-Tags posten |
11.11.2015, 12:36 | #11 |
| Crytowall 3.0 | Teslacrypt Version 7 Also lokale Systemdateien wurde nicht angefasst nur SMB Freigaben wo aber vermeintliche Anwender aber auch keine Rechte hat. Was hier jedoch übereinstimmt ist "SYSTEM", viel weiter bin ich auch noch nicht gekommen. Wie siehts mit "meiner" Neustart-Theorie aus? Stoppt das die Verbreitung... |
11.11.2015, 12:42 | #12 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Crytowall 3.0 | Teslacrypt Version 7 Schaden kann ein reboot nicht. Und automatisch starten kann der Schädling sich auch nicht wieder, da der Benutzer, der ihn ausführte, ja keine Adminrechte hat (hatte). Das wäre ja erst dann wieder der möglich, wenn du dich mit dem Konto anmeldest.
__________________ Logfiles bitte immer in CODE-Tags posten |
11.11.2015, 12:57 | #13 |
| Crytowall 3.0 | Teslacrypt Version 7 Also 30 mal reboot ;-) Meld mich, Danke soweit. MfG |
11.11.2015, 12:59 | #14 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Crytowall 3.0 | Teslacrypt Version 7 Wieso denn jetzt die Clients? Ich dachte du sprichst vom Server Wie kann denn da der Server überhaupt nopch von den Clients betroffen sein, da sagtest doch er sei offline?? Irgendwie reden wir gerade aneinander vorbei?!
__________________ Logfiles bitte immer in CODE-Tags posten |
11.11.2015, 13:09 | #15 |
| Crytowall 3.0 | Teslacrypt Version 7 Besser die komplette Windows Server Farm (ja 30)..., da der User auch auf unterschiedlichen Systemen (per RDP/Citirx) gearbeitet hat. Und wir bisher keine Erklärung haben, wieso die Verschlüsselungsmalware nach 48 Stunden wieder aktiv geworden ist, obwohl der vermeidliche Verursacher (USER) in der Zeit nicht angemeldet war (Profil gelöscht/User gesperrt). |
Themen zu Crytowall 3.0 | Teslacrypt Version 7 |
arbeitet, blieb, crytowall, dateien, daten, freigabe, futsch, gefunde, geschlossen, help, lokale, lokalen, neuste, nicht mehr, rechner, rückblick, sicherung, stunde, stunden, teslacryt, trendmicro, umbenannt, verschlüsselt, verschlüsselte, version, verursacher, verzeichnisse |