Hallo zusammen, Guten Abend.

Der W10 Rechner meines Vermieters ( Landwirt, Kleinbetrieb ) wurde von oben genannter Ransomware verschlüsselt. So gründlich, das das Windows auch nicht mehr bootet ( Kein Betriebsystem gefunden ) Schlimmer noch, auch seine gesamten Daten auf der NAS die leider angeschlossen und in Betrieb war. Die Datenträger habe ich alle hier und mit meinem Linux - Rechner mal untersucht. Daten sind da, aber alle mit .Fora als Dateiendung. Das W10 Laufwerk lässt sich nur Schreibgeschützt mounten, wegen W10 Hyperboot. Google und Virustotal geben nur wenig Info. Das Windows ist meiner Meinung nach eh zerstört, ganz klar, wird später neu aufgesetzt. Die Daten wären halt wichtig. Müsste noch wissen, welche Logdateien ich wo auf dem Laufwerk finde, wenn die nicht auch verschlüsselt sind.

Einzige Info die ich habe ist die Erpresserbotschaft. Im Wurzelordner von dem W10 gefunden.

Danke schon mal im Voraus metzi95

Code: Alles auswählenAufklappen

ATTFilter

All your valiable data has been encrypted!
-
Hello! Sorry, but we have inform you that your order has been blocked due to the issue of securities. Make sure your data is not blocked.
All your valuable files were encrypted with strong encryption algorithms AES-256 + RSA-2048 + CHACHA and renamed. You can read about these algorithms in Google.
Your unique encryption key is stored securely on our server and your data can be decrypted quickly and securely.
-
We can prove that we can decrypt all of your data. Please just send us 3 small encrypted files which are randomly stored on your server.
We will decrypt these files and send them to you as a proof. Please note that files for free test decryption should not contain valuable information.
-
As you know information is the most valuable resource in the world. That's why all of your confidential data was uploaded to our servers.
If you will not start a dialogue with us in 72 hours
we will be forced to publish your files in the Darknet. Your customers and partners will be informed about the data leak by email or phone.
This way, your reputation will be ruined. If you will not react, we will be forced to sell the most important information such as databases
to interested parties to generate some profit.
-
Please understand that we are just doing our job. We don't want to harm your company.
Think of this incident as an opportunity to improve your security. We are opened for dialogue and ready to help you. We are professionals,
please don't try to fool us.

Out contacts
If you want to resolve this situation, please write here:
1)TOX messenger (fast and anonimous)
https://tox.chat/download.html
Install qtox
press sing up
create your own name
Press plus
Put there my tox ID
95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65
And add me/write message
2)ICQ Messenger
ICQ live chat which works 24/7 - @ONIONHUNTER
Install ICQ software on your PC here https://icq.com/windows/ or on your smartphone search for "ICQ" in Appstore / Google market
Write to our ICQ @ONIONHUNTER https://icq.im/ONIONHUNTER
3)Skype 
ONIONHUNTER DECRYPTION
4)Mail (write only in critical situations bcs your email may not be delivered or get in spam)
* onionhunter@onionmail.org

In subject line please write your decryption ID: Rt2jDHN5Ol5yOoHX8gfKwrDnLiZaK3PhbAVwKD6EsW8*Fora

-
░░░░░░░░░░░░░░░░▄▄▄▄▄▄░░░░░░░░░░░░░░░░
░░░░░░░░░░▄▄██████████████▄▄░░░░░░░░░░
░░░░░░░▄████░░▀▀██████████████▄░░░░░░░
░░░░░▄█████░░░░░░▀██████████████▄░░░░░
░░░▄█████▀░░░░░░░░▀███████████████▄░░░
░░▄█████▄░▄▄█░░░░░░████████████████▄░░
░▄█████▀█████░░░░░▄█████████████████▄░
░██▀░▄░░░▀▀▀░░░░░░░██████████████████░
▄█▄▄██░█▄░░░░░░░░░░░▀█████████████████
██████░▀██░░░░░░░░░░░░░▀▀███▀▀▀▀▀█████
███████▄████▄░░░░░░░░░░░░░▀░░░░░░▀████
▀██████████████▄▄░░░░░░░░░░██▄░░░░████
░███████████████████░░░░░░▄███░░░░███░
░▀███████████████████▄░░░█████░▄▀▄██▀░
░░▀███████████████████░░▄░███░█████▀░░
░░░▀█████████████████▀▄██░████████▀░░░
░░░░░▀█████████████▀░███░███████▀░░░░░
░░░░░░░▀██████████████▀░██████▀░░░░░░░
░░░░░░░░░░▀▀██████████████▀▀░░░░░░░░░░
         

Bitte hier eine verschlüsselte Datei hochladen, dann steht dort, durch welche Schadsoftware die Datei verschlüsselt wurde und ob es Tools zum Entschlüssseln gibt. Sieht aber nach "N3ww4v3 Ransomware" aus.

Ich denke nicht, dass es ein Tool hierfür gibt (nachdem was ich so im Netz gefunden habe).

Ich hoffe, der Betroffene hat externe Backups angelegt gehabt.

Hallo,

dort habe ich es auch schon versucht. Hätte ich Erwähnen sollen. Auch nichts. Wie bei Virustotal.
Und ja, die Backups - das war ja das NAS , das ständig EIN war und da ist der Fora auch gleich drüber her. Die beiden Laufwerke habe ich ja hier liegen. Alles verschlüsselt.

Gruß metzi95

Dann sind die Daten wohl verloren.
Backup-Systeme dürfen niemals lange am laufenden System hängen, schon gar nicht, wenn da was gemacht wird.

Das Sicherheitskonzept sollte hier grundlegend überdacht werden... nicht nur was Backups angeht.
Mich würde ja interssieren, wie die Ransomware auf das System kam... E-Mail, illegale Software, etc.
Hoffentlich wird daraus gelernt.

Diese Variante von "N3ww4v3" scheint in der Tat sehr neu zu sein:
BleepingComputer - N3ww4v3/Mimic Ransomware (.n3ww4v3) Support Topic

Wir können bei einem Supergau auch nicht helfen.

Da es hier nichts zu bereinigen gibt, verschiebe ich das Thema.

Zitat:

Zitat von M-K-D-B

Diese Variante von "N3ww4v3" scheint in der Tat sehr neu zu sein:

https://www.bleepingcomputer.com/for...3#entry5425921

Zitat:

Posted 29 October 2022 - 02:18 PM

This is N3ww4v3 Ransomware (Aliases: Mimic, Everything)
Your case for x64 systems.

The first activity was observed at the very end of July - at the very beginning of August. Pretty active now. Attack in different languages. We saw ransom notes in English and Russian.

Zitat:

Zitat von M-K-D-B

Mich würde ja interssieren, wie die Ransomware auf das System kam... E-Mail, illegale Software, etc.

Infos dazu sieht und liest man sehr selten. Fast immer wird in den Boards nur darüber berichtet, dass das Kind den Brunnen gefallen ist, aber nicht wie es zum Brunnen gekommen ist.

Zitat:

Zitat von M-K-D-B

Dann sind die Daten wohl verloren.
Backup-Systeme dürfen niemals lange am laufenden System hängen, schon gar nicht, wenn da was gemacht wird.

Ein NAS ist doch direkt im Netzwerk drin
Man darf halt nicht dauerhaft das Netzlaufwerk mit Schreibzugriff gemappt haben wenn es um eine Freigabe gibt, die ausschließlich Backups dient. Und für den Fall das das NAS kaputtgeht oder gar mal ein Feuerchen ausbricht, empfiehlt es sich noch regelmäßig Backups auf externen Festplatten durchzuführen. Das kann man dann sicher an einem anderen Ort verwahren.

Was mich interessiert: gehen die Kryptotrojaner nur auf gemappte Laufwerke los, oder versuchen die auch aufs Netzwerk zu gehen über UNC-Freigaben? Also was wie \\meinNAS oder \\192.168.2.123, weiß da jemand was?

Hallo. Also:

" Dann sind die Daten wohl verloren. " Das ist wohl erst mal so. Werde sie aber Sichern, man weiß ja nie.

" Backup-Systeme dürfen niemals lange am laufenden System hängen, schon gar nicht, wenn da was gemacht wird. "
Ich weiß das, keine Frage. Aber erst aus Fehlern lernt man. Leider.

" Das Sicherheitskonzept sollte hier grundlegend überdacht werden... nicht nur was Backups angeht. "
Das wird auch so nicht mehr passieren, da Ich jetzt auch Stundenlang damit Beschäftigt bin.

" Mich würde ja interssieren, wie die Ransomware auf das System kam... E-Mail, illegale Software, etc. "
Nun ja, ich weiß es mittlerweile, darf das aber so nicht sagen. Noch nicht. Auf jeden Fall keine Illegale Software oder so.

" Hoffentlich wird daraus gelernt. " Auf jeden Fall ! Denn der Ärger bleibt an mir hängen ....

" Wir können bei einem Supergau auch nicht helfen. " Klar, kein Problem. Werde die nächsten Tage noch ein bisschen suchen. Und wie gesagt, die Daten sind bei mir erst mal gesichert. Das verwüstete W10 Laufwerk hängt jetzt bei mir an einem " unwichtigen " älteren W10 Rechner ohne Netztwerk und Malwarebytes sucht gerade. Der Programmierer von diesem Dreck war auch noch so unfähig, das ganze W10 zu zerstören, so das ein Zahlungswilliges Opfer nicht mal mehr Kontakt mit Ihm aufnehem könnte, selbst wenn er wollte ( Wir nicht )

Ich selbst verwende Windows nur selten, mache das normale " Alltagsgeschäft " mit Debian Linux. Schon seit 15 Jahren.

Wenn Malwarebytes was findet, poste ich den Log hier mal. Zur Information und Abschreckung .

Gruß metzi95

Zitat:

Das wird auch so nicht mehr passieren, da Ich jetzt auch Stundenlang damit Beschäftigt bin.

Zitat:

Auf jeden Fall ! Denn der Ärger bleibt an mir hängen ....

Bei diese Aussagen frage ich mich: waum fühlst du dich dafür verantwortlich? Schliesslich ist es ja nicht dir passiert sondern deinem Vermieter:

Zitat:

Der W10 Rechner meines Vermieters ( Landwirt, Kleinbetrieb ) wurde von oben genannter Ransomware verschlüsselt.

Zitat:

Zitat von metzi95

" Dann sind die Daten wohl verloren. " Das ist wohl erst mal so. Werde sie aber Sichern, man weiß ja nie.

Zitat:

Zitat von metzi95

" Backup-Systeme dürfen niemals lange am laufenden System hängen, schon gar nicht, wenn da was gemacht wird. "
Ich weiß das, keine Frage. Aber erst aus Fehlern lernt man. Leider.

" Das Sicherheitskonzept sollte hier grundlegend überdacht werden... nicht nur was Backups angeht. "
Das wird auch so nicht mehr passieren, da Ich jetzt auch Stundenlang damit Beschäftigt bin.

Und wieso hängst du dich so für den Vermieter rein? Gibts da eine spezielle Beziehung? Ich finde es sehr löblich.

Zitat:

Zitat von metzi95

" Mich würde ja interssieren, wie die Ransomware auf das System kam... E-Mail, illegale Software, etc. "
Nun ja, ich weiß es mittlerweile, darf das aber so nicht sagen. Noch nicht. Auf jeden Fall keine Illegale Software oder so.

Dann bleibt ja nur noch Drive-by, E-Mail, Links via SocialMedia,etc oder externes Medium.

Zitat:

Zitat von metzi95

" Wir können bei einem Supergau auch nicht helfen. " Klar, kein Problem. Werde die nächsten Tage noch ein bisschen suchen. Und wie gesagt, die Daten sind bei mir erst mal gesichert. Das verwüstete W10 Laufwerk hängt jetzt bei mir an einem " unwichtigen " älteren W10 Rechner ohne Netztwerk und Malwarebytes sucht gerade. Der Programmierer von diesem Dreck war auch noch so unfähig, das ganze W10 zu zerstören, so das ein Zahlungswilliges Opfer nicht mal mehr Kontakt mit Ihm aufnehem könnte, selbst wenn er wollte ( Wir nicht )

Wenn dir "langweilig ist", kannst ja noch mit anderen Scannern drübergehen.

Zitat:

Zitat von metzi95

Ich selbst verwende Windows nur selten, mache das normale " Alltagsgeschäft " mit Debian Linux. Schon seit 15 Jahren.

Damit bist du cosinus automatisch schon sehr sympathisch.

Zitat:

Zitat von metzi95

Wenn Malwarebytes was findet, poste ich den Log hier mal. Zur Information und Abschreckung .

Jederzeit gerne.

Hallo.

Das ist hier wie gesagt ein kleiner Bauernhof und als ich damals vor 14 Jahren wegen neuem Job ne Wohnung gesucht habe, bekam ich hier eine. So supergünstig das ich mich schämen würde, den Preis zu nennen. Ungefähr so viel wie heutzutage eine Miet - Garage kostet ;-) ;-) Wir sind hier eine große Familie. Und auf einem Bauernhof gibt es immer zu Essen. Viel Essen ...... Und wenn ich Hilfe brauche, wird mir auch geholfen. So ist das. Als Elektroniker und Hobbybastler kümmere ich da dann auch um die kleinen und größeren Probleme ( chen ) elektrischer Natur. Mal auch ein bisschen Mechanik. Also im Grunde schönes Leben hier. Da kann ich auch mal was machen. Und ich lerne immer wieder mal was dazu ( auch wie man es nicht machen sollte .. )

Und Malwarebytes rödelt immer noch......

gruß metzi95

Er hat fertig .....

Nicht gerade aufschlussreich. Siehe log.
Muss ich noch ein bisschen suchen.

Gruß metzi95

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes
www.malwarebytes.com

-Protokolldetails-
Scan-Datum: 18.11.22
Scan-Zeit: 14:41
Protokolldatei: bd503a84-6746-11ed-8828-00a0d1a8c1e2.json

-Softwaredaten-
Version: 4.5.17.221
Komponentenversion: 1.0.1806
Version des Aktualisierungspakets: 1.0.62458
Lizenz: Testversion

-Systemdaten-
Betriebssystem: Windows 10 (Build 19045.2251)
CPU: x64
Dateisystem: NTFS
Benutzer: ACER-ASPIRE-LASER\metzi95

-Scan-Übersicht-
Scan-Typ: Benutzerdefinierter Scan
Scan gestartet von: Manuell
Ergebnis: Abgeschlossen
Gescannte Objekte: 599017
Erkannte Bedrohungen: 1
In die Quarantäne verschobene Bedrohungen: 0
Abgelaufene Zeit: 2 Std., 45 Min., 1 Sek.

-Scan-Optionen-
Speicher: Deaktiviert
Start: Deaktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung

-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)

Modul: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)

Registrierungswert: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Daten-Stream: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Datei: 1
Ransom.FileCryptor, G:\USERS\GEORG\APPDATA\LOCAL\{EB271512-4284-9E29-086E-E36BEE73662A}\SYSTEM.EXE, Keine Aktion durch Benutzer, 3683, 1091246, 1.0.62458, 43BA444E418E471576840065, dds, 02041278, F36864346C1882EDD2AF63F5043ACB4D, 78E55B108993267F71AD4F92317EDA5F26BA6A13B177912ABAA468A5962154F8

Physischer Sektor: 0
(keine bösartigen Elemente erkannt)

WMI: 0
(keine bösartigen Elemente erkannt)


(end)
         

Was willst du da jetzt noch warum suchen?
Die Windows-Installation ist hinüber, die Daten sind verloren, vllt für immer. Es besteht noch ne kleine Chance, dass die Erpresserbande auch wie manch andere irgendwann einknickt und die Schlüssel herausrückt.

Hallo,

vor allem Informationen sammeln. Der ist ja auch noch ganz neu, vom 8.11, siehe Link, ganz unten, letzter Eintrag .

https://1-id--ransomware-blogspot-com.translate.goog/2022/08/n3ww4v3-ransomware.html?_x_tr_enc=1&_x_tr_sl=ru&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp

Klar, da gibt es noch keine Tools. Das weiß ich jetzt auch. Jetzt warte ich auch nur noch ab. Und warum ich das mache, habe ich ja schon erklärt.
Wenn es Neues gibt, melde ich mich wieder.

Gruß metzi95