Hallo liebes Trojaner-Board-Team,
seit einem Backup von letzter Nacht wurden alle VMs auf einem Hyper-V-Cluster verschlüsselt.
Die einzige Meldung die kommt befindet sich im Anhang.
Reparatur der einzelnen VMs über das Windows ist nicht möglich, er sperrt den Zugriff auf die vhd's.
Meine Frage wäre: Kennt ihr diesen Trojaner bereits?
Wenn ja, wie sollten wir im Besten Fall vorgehen.

Leider wurden auch die Backups kompromittiert. Wir versuchen aber geraden noch die Backupdateien zu sichern, da diese sich auf einem Linuxsystem befinden.


https://picload.org/view/dclwlaop/mbr.jpg.html

Grüße Turbomaik

Zitat:

Leider wurden auch die Backups kompromittiert.

Was soll das heißen, sind die verschlüsselt? Falls ja, ist das was anderes als "kompromittiert".

Ihr habt da massive Mängel im Backupkonzept, denn es muss muss so konstruiert werden, dass es weder durch Befall, noch durch Katastrophen wie Feuer oder Hochwasser zerstört und/oder verändert werden kann. Falls doch bringt der ganze Sch.... doch nichts!

Zitat:

Wir versuchen aber geraden noch die Backupdateien zu sichern, da diese sich auf einem Linuxsystem befinden.

Ob die sich auf einem Linux oder Windows befinden ist völlig wumpe, verschlüsselt ist verschlüsselt. Eigentlich dürfte ein Windows-Gerät da keinen schreibenden Zugriff drauf haben.


Viel Hoffnung die verschlüsselten Dateien wiederherzustellen gibt es nicht, aber probier aus --> https://id-ransomware.malwarehuntert...php?lang=de_DE

Manchmal gibt es Entschlüsselungstools, die aber von einer Datei eine Original- und eine verschlüsselte Version benötigen, um die Entschlüsselungsmethode herleiten zu können, vgl. https://www.bleepingcomputer.com/new...ions-and-more/

Zitat:

Was soll das heißen, sind die verschlüsselt?

Ja sie sind verschlüsselt und im RAW-Format.

Zitat:

Ihr habt da massive Mängel im Backupkonzept, denn es muss muss so konstruiert werden, dass es weder durch Befall, noch durch Katastrophen wie Feuer oder Hochwasser zerstört und/oder verändert werden kann. Falls doch bringt der ganze Sch.... doch nichts!

Ja das kann man jetzt so sagen.

Dort habe ich nichts gefunden, konnte aber bei reddit auch schon ähnliche Threads finden. Die helfen mir natürlich auch nicht weiter.
https://www.reddit.com/r/sysadmin/comments/a4ukng/work_systems_encrypted_anyone_know_a_fix/

Wir werden nun eine Datenrettungsfirma ins Boot zu holen, die sich das mal anschauen und im Besten Fall die Daten zurücksichern können.

Zitat:

Die helfen mir natürlich auch nicht weiter.

Wie auch, wenn es keine Entschlüsselungstools für die Variante gibt, die bei euch zugeschlagen hat. Gearde deswegen macht man ja das Backup und deswegen muss man auch zusehen, dass das backup dann offsite gelagert wird, so dass keine Kryptomalware oder ein Feuer für Datenverlust sorgen kann.