Hallo,
eine virtuelle Maschine Windows Server2016 wurde komplett von einem Ransom Trojaner verschlüsselt. Die beiden Emailadressen, an die man sich zwecks Bitcoins überlassung melden soll sind 5btc@protonmail.com und Help_Files@aol.com.
Alle verschlüsselten Dateinen haben die Endung .combo und davor ist irgendwo "protonmail" eingebaut.
Kann jemand was dazu sagen?

Viele Grüße!

Zitat:

Zitat von ta-nordadmin

Hallo,
Kann jemand was dazu sagen?

Hoffentlich hast du ein Backup.

Da Firmeneinsatz, gehört die VM auf jeden Fall neu installiert. Bereinigung und Firmeneinsatz passen nicht zusammen.

Zitat:

Zitat von ta-nordadmin

Kann jemand was dazu sagen?

Hier kann man eine verschlüsselte Datei hochladen, dann steht dort, durch welche Schadsoftware die Datei verschlüsselt wurde und ob es Tools zum Entschlüssseln gibt.

Bei Firmenrechnern ist jedoch nur ein Neuaufsetzen zu empfehlen.

Wie cosinus schon sagte, Backups sind das A und O.

Zitat:

Zitat von cosinus

Hoffentlich hast du ein Backup.

ja klar, das läuft alles wieder! Da lache ich drüber! Ich wollte nur wissen, ob jemand Infos hat!
Ich habe den befallenen ja isoliert und untersuche ihn. Habe die vhdx ja sogar bereitgestellt und komme ungefährdet aud an alles ran. Habe sogar funktionierende Software eingeschleust.
Der Trojaner selbst scheint sich selbst vernichtet zu haben - zu finden ist nichts.
Was eben nur neugierig

Zitat:

Zitat von M-K-D-B

Hier kann man eine verschlüsselte Datei hochladen, dann steht dort, durch welche Schadsoftware die Datei verschlüsselt wurde und ob es Tools zum Entschlüssseln gibt.

Bei Firmenrechnern ist jedoch nur ein Neuaufsetzen zu empfehlen.

Wie cosinus schon sagte, Backups sind das A und O.

da wird nix neu aufgesetzt! Alle Server sind virtuell und habe ich längst ersetzt. Eine verschlüsselte Seite hatte ich da schon hochgeladen. Aber keiner kennt das Teil. Kann mir aber nicht vorstellen, dass meiner der Einzige ist. Da kommt bestimmt noch 'ne Welle.
Weder Avira, Avast und Konsorten reagieren, werden mitverschlüsselt ha ha. Ich bin zwar Profi, bin aber beeindruckt, wie "gut" das gemacht wurde. Sogar die Schattenkopien sind weg.
Kennt also noch keiner?

Bei professionellen VMs in einem Firmennetzwerk sollte es Snapshots geben. Zurücksetzen auf eine früheren Punkt und gut ist es. An eine Entschlüsselung glaube ich nicht. Auch die Zahlung von Lösegeld ist kein Thema.

Zitat:

Zitat von ta-nordadmin

ja klar, das läuft alles wieder! Da lache ich drüber! Ich wollte nur wissen, ob jemand Infos hat!
Ich habe den befallenen ja isoliert und untersuche ihn. Habe die vhdx ja sogar bereitgestellt und komme ungefährdet aud an alles ran. Habe sogar funktionierende Software eingeschleust.
Der Trojaner selbst scheint sich selbst vernichtet zu haben - zu finden ist nichts.
Was eben nur neugierig

Hast Du Langeweile. Wir helfen Usern. Gegenüber Anfragen aus dem professionellen Bereich stehen wir skeptisch gegenüber.

Zitat:

Zitat von felix1

Bei professionellen VMs in einem Firmennetzwerk sollte es Snapshots geben. Zurücksetzen auf eine früheren Punkt und gut ist es. An eine Entschlüsselung glaube ich nicht. Auch die Zahlung von Lösegeld ist kein Thema.

Ja, Felix, du hast völlig Recht! Aber Snaps macht man ja meist vor kritischen Installationen. Ich habe aber nicht erwähnt, dass es (dieser gerade nicht, nur Mitglied) eine Domäne ist, und da geht es nicht so mit Snapshots. Was meinst du wohl, wie das die Clients (ca. 60 Stück) finden, wenn ich einen DC zurücksetze? Ist nicht so trivial leider ...

Zitat:

Zitat von ta-nordadmin

Ich bin zwar Profi, bin aber beeindruckt, wie "gut" das gemacht wurde. Sogar die Schattenkopien sind weg.
Kennt also noch keiner?

Kennt jeder. Der macht genau das gleich wie Fantastillarden Verschlüssler zuvor.

Text etwas ändern, Dateiendung ändern, Verschlüsselungsverfahren auswählen, fertig ist die nächste Variante.

Zitat:

Zitat von ta-nordadmin

Ja, Felix, du hast völlig Recht! Aber Snaps macht man ja meist vor kritischen Installationen. Ich habe aber nicht erwähnt, dass es (dieser gerade nicht, nur Mitglied) eine Domäne ist, und da geht es nicht so mit Snapshots. Was meinst du wohl, wie das die Clients (ca. 60 Stück) finden, wenn ich einen DC zurücksetze? Ist nicht so trivial leider ...

Da denkst Du falsch. Snaps sollten täglich automatisch erfolgen und . Und ältere auch automatisch entfernt werden. Wenn Du Dein System richtig konfiguriert hast, sollte ein DC nicht befallen werden.