Hallo Board,
Eine unserer VM ist ebenfalls von .locky befallen. Wurde gestern ca. 15:50 festgestellt was sich auch mit den Zeitstempeln der verschlüsselten Dateien deckt.
Interessanter weiße, bisher nur Word und Excel Datei, und diese tatsächlich nur auf einer VM und bisher auf keinem Client Rechner. Es wurden auch nicht alle Word und Excel Dateien Verschlüsse.
Diverse Scanns mit Trend Micro auf allen Clients sowie auf der VM hat nichts gebracht.
So blöd sich das anhört, es sieht so aus als ob die Verschlüsselung nur für einen gewissen Zeitraum stattfand. Nach ca. 16:00 Uhr wurden keine weiteren Daten verschlüsselt.

Moin

und was sollen wir jetzt tun? Die verschlüsselten Dateien können wir auch nicht entschlüsseln.

��Schon klar, evtl. hilft es euch ja weiter wenn mehr Infos zum Befallen bekannt werden.

Arg viel lässt sich momentan im Internet nicht dazu finden. Vorallem finde ich derzeit keine Möglichkeit den Schädling aufzufinden.
Vorher kann ich kein Backup einspielen.
An der VM (Fileserver) hängen 25 Arbeitsplätze welche auf die Dateien angewiesen sind.

Du kannst die VM plattmachen und aus dem letzten Backup wiederherstellen

Zitat:

Zitat von cosinus

Du kannst die VM plattmachen und aus dem letzten Backup wiederherstellen

Ah ja, wenn ich wüste wo der Trojaner, Virus Dingsbums sitzt - ja.
Unser Backup ist auf einer externen NAS. Solange ich nicht weiß
wie sich das entwickelt, bzw. wo er sich eingenistet hat, wird ich die NAS nicht wieder
ins Netzwerk hängen.

Viel hilfreiche wäre zu wissen um was es sich handeln könnte.
Momentan tippe ich auf TeslaCrypt 3.0 allerdings ist bei der Variante 3.0 die
Dateiendung .locky bisher nicht bekannt.

Das Teil verschlüsselt bei Ausführung.

Glaubst du das Ding richtet sich als Service irgendwo ein und monitored all deine shares auf unverschlüsselte Files?

Aber ja, wer solche Paranoia hat kann ja gerne auch alle Clients neu installieren

Zitat:

Zitat von cosinus

Das Teil verschlüsselt bei Ausführung.

Glaubst du das Ding richtet sich als Service irgendwo ein und monitored all deine shares auf unverschlüsselte Files?

Aber ja, wer solche Paranoia hat kann ja gerne auch alle Clients neu installieren

Na ja mit Paranoia hat das nicht zu tun.
Bis vor 10 Minuten war eben noch nicht klar wo er ist, bzw. warum er nur
auf unseren Fileserver zugegriffen hat.
Offensichtlich wäre er in diesem Fall eben nicht über einen Client rein gekommen.
Bzw. auf diesem Ausgeführt worden.

Wie gesagt, bis vor 10 Minuten.
Soeben hat eine Mitarbeiterin verschlüsselte Dateien auf ihrem lokalen Laufwerk gefunden.
Gestern Abend, hat auf eben diesem PC der Virenscanner nichts gefunden.

Ganz alter Hut, sollte man als Windows-Admin wissen: schauen, wer der Besitzer einer (verschlüsselten) Datei ist. Meistens gibt das Aufschluss darüber und dann lässt sich auch meistens darauf ableiten, von welchem Client das ausging.

Wenn nur der Fileserver betroffen ist, also der ransom auf einem SMB share losing, dann werden hoffentlich die Schattenkopien helfen. Voraussetzung ist natürlich ein Windows-Fileserver und min. Windows Server 2008. Und natürlich muss man die Schattenkopien auch aktiviert haben.

Wir, eine 120 Kollegen Bude, machen NIX ohne Schattenkopien und täglich Backups aller VMs auf den ESXi Hosts via Veeam.

Natürlich haben wir die Besitzer der verschlüsselten Dateien überprüft,
natürlich ohne Erfolg. Da jeder User auf dem Fileserver die selben schreib/ lese Berechtigungen hat ist das wenig zielführend.

Ebenso haben wir die Client nach verschlüsselten Dateien auf ihren lokalen
Laufwerken überprüft. Und genau da war der Fehler.
Ausgerechnet diese Mitarbeiterin hat absolut keine Excel oder Word Datei
auf ihrem Rechner gespeichert.
Somit konnte der Trojaner dort auch nichts ausrichten.
Erst heute Vormittag hat sie, um überhaupt einen Betrieb aufrecht zu erhalten,
lokal gespeichert.

Zitat:

Zitat von Rainer205

Da jeder User auf dem Fileserver die selben schreib/ lese Berechtigungen hat ist das wenig zielführend.

Kommt natürlich drauf an, welchen Fileserver man hat. Ich müsste auch mal wissen wie genau wer mit welchem Login auf die SMB-Shares geht. Wenn man mit einem Windows-Server einen Share einrichtet und die Kollegen mit ihrem AD-User da raufgehen, dann sieht man das schon.

Zitat:

Zitat von Rainer205

Ebenso haben wir die Client nach verschlüsselten Dateien auf ihren lokalen
Laufwerken überprüft. Und genau da war der Fehler.
Ausgerechnet diese Mitarbeiterin hat absolut keine Excel oder Word Datei
auf ihrem Rechner gespeichert.

Das versteh ich nicht. Nur weil die keine Officedatei gespeichert hat, heißt das nicht automatisch, dass sie den Schädling nicht ausgeführt hat. Wenn man den Anhang direkt aus der Mail öffnet, landet die erstmal in %tmp% und wird vllt, vllt auch nicht, nach dem Schließen des Programms, das diese öffnet, auch wieder gelöscht. Wenn sie gelöscht wurde und sonst keine Officedateien drauf hatte wirst du jetzt natülich denken, sie hat keine solchen Dokumente, aber dabei meine erwähnte Möglichkeit vergessen. Und natürlich kann der Schädling auch in einer ZIP gekommen sein, die widerum den Müll in irgendeiner direkt ausführbaren Datei transportierte.

Das ist eigentlich nicht schwierig zu verstehen.
Wenn der VS mangels aktueller Signaturen nichts findet,
und keine Dateien verschlüsselt sind, woher soll ich dann
wissen das der Client die Quelle ist?

Und noch zu den Schattenkopien, nach momentanem Stand der Erkenntniss,
löscht der Schädlng die Schattenkopien.

Wir sichern wöchentlich komplett, und nächtlich incrementel.
Von daher fehlt mit der Montag. Wäre zu verschmerzen.

Nur solange ich den Schädling nicht eingegerenzt und entfent habe,
ich evtl noch davon ausgehen muss, dass er irgendwo im Netzwerk noch vorhanden
ist, werde ich mit Sicherheit nicht auf das NAS Backup zurückgreifen.

Die Aussage dass es Quatsch wäre, dass der Schädling sich auf die NAS ausbreitet
kann nur jemand treffen der den Schädling analysiert oder ihn geschrieben hat.
Alles andere ist mutmaßen, und im Zusammenhang mit der aktualität des Befalls
absolut nicht angebracht.

Im übrigen sehe ich meinen Post nicht als Hilferuf, sondern als Info für den ein oder
anderen der auch nach Anhaltspunkten sucht.

So, ich muss gestehen, dass ich beim heutigen Posting um 15:09 den heise Artikel noch nicht kannte => Erpressungs-Trojaner Locky schlägt offenbar koordiniert zu | heise online

Zitat:

Zitat von Rainer205

Wenn der VS mangels aktueller Signaturen nichts findet,
und keine Dateien verschlüsselt sind, woher soll ich dann
wissen das der Client die Quelle ist?

Das stimmt, das geht dann nicht. Höchtens mit so etwas wie proaktiver Erkennung, Überwachung von Clients, dass sich was Neues was in bestimmte Bereiche (services, scheduledtasks etc.pp.) geschrieben hat.

Zitat:

Zitat von Rainer205

Und noch zu den Schattenkopien, nach momentanem Stand der Erkenntniss,
löscht der Schädlng die Schattenkopien.

Ja, das haben auch schon Verschlüsselungsviecher letztes Jahr gemacht. Aber das geht ja nur auf der lokalen Kiste wenn man als lokaler Admin das Vieh gestartet hat. Natürlich kann das Vieh auch Dateien in Netzlaufwerken zerstören, aber da löscht es keine Schattenkopien. Dazu muss man schon Adminrechte auf dem Server haben.

Zitat:

Zitat von Rainer205

Die Aussage dass es Quatsch wäre, dass der Schädling sich auf die NAS ausbreitet
kann nur jemand treffen der den Schädling analysiert oder ihn geschrieben hat.

Was verstehst du unter ausbreiten? Dass der Schädling dort liegende Dateien in einem SMB-Share verschlüsseln kann ist unstrittig. Hab ich auch schon mal live gesehen, da hat ein anderes Vieh eine Freigabe eines Windows-Servers verschlüsselt. Dort waren die Schattenkopien natürlich NICHT betroffen. Der Schädling klinkt sich nicht ins OS des NAS ein, damit das NAS dann den Schadcode ausführt.

@rainer205:

welche vm? hyper-v? oder esxi?

das windows-daddelding wird keinen vmware esxi host verschlüsseln können...

wie kommt das? aus hyper-v sollte ja nix auf einer solchen kiste (m.E.) laufen

gruss sepp

Zitat:

Zitat von mairhubr

@rainer205:

welche vm? hyper-v? oder esxi?

das windows-daddelding wird keinen vmware esxi host verschlüsseln können...

wie kommt das? aus hyper-v sollte ja nix auf einer solchen kiste (m.E.) laufen

gruss sepp

vSphere.
Falsch ausgedrückt, natürlich die auf der VM hinterlegten Daten.
Das ist aber meine kleinstes Problem.

Was genau ist denn jetzt dein Problem?