Zitat:

Zitat von Cosimo

- Was sagt diese Version aus?

Du solltest sie als erstes mal hier identifizieren lassen:
https://id-ransomware.malwarehuntert...php?lang=de_DE

Stattdessen kommunizierst Du bevorzugt mit den Erpressern.

Zitat:

- Ist es eine alt oder neu Variante

Was in erster Linie entscheidend ist: Ist das eine Variante mit beklannter/möglicher Entschlüsselung, oder nicht. In manchen Fällen kann man Glück haben, wenn die Erpresser Fehler in ihrem Prozess hatten, oder irgendwann nach x Jahren mal die Keys veröffentlicht werden.

Zitat:

- Gibt es Entschlüsselung Programme/Tools dafür?

Meistens nicht. In Einzelfällen aber schon. Eine exakte Identifizierung der Malware ist Voraussetzung dafür.

Zitat:

- Gibt es Firmen, die das entschlüsseln können, speziell diese Version?

Du hast ja nicht mal die spezielle Version genau benannt. Abgesehen davon, können auch Datenwiederherstellungsfirmen keine Wunder bewirken, wenn eine starke Verschlüsselung gesetzt ist. Volumenschattenkopien usw. werden von solcher Malware sowieso mit gelöscht, da hat man wenig Optionen. Außer Backups.

Zitat:

Er ist auch in der Lage, die Dateien, zumindest Testdateien dir wir geschickt haben, zu entschlüsseln.

Ja, dann war die Verschlüsselung erfolgreich.

Zitat:

Nach meiner Recherche, konnte ich zu der Ransomware "Ouroboros.GG!MTB" keine Software oder Anbieter finden, der in der Lage ist die Dateien wieder herzustellen.

Das ist ja auch generische Erkennung eines Virenscanners, damit kann man nicht viel anfangen. Beschäftige Dich bitte mal mit der Aussagekraft von Virenscannern, auch hinsichtlich der Bezeichnungen von Malware.

Zitat:

Es stellt sich somit die nächste Frage, wie stehen die Chancen, dass die am Ende Key & Software herausgeben, wenn man bezahlt hat?

Bezahlen, und damit kriminelle Erpresser unterstützen, damit sie weitere Ressourcen zum Erpressen weiterer Menschen in Zukunft zur Verfügung haben? Nicht Dein Ernst.

Zitat:

Auch, wie lange bleibt die Mail-Adresse erreichbar?

Dir kann doch niemand sagen, wie lange die Mailadresse eines Kriminellen erhalten bleibt, mit dem Du auch noch obendrein zu kooperieren beabsichtigst. LOL

Zitat:

Zitat von Cosimo

Das Backup ist ärgerlicherweise mit verschlüsselt.

Dann war es aber kein Backup. Backups unterliegen per Definition(!) bestimmter Voraussetzungen/Kriterien, die sie erst zu Backups machen. Und die wurden bei Dir/Euch somit sicherlich nicht eingehalten.

Zitat:

Zitat von Cosimo

Es ist Windows 10 mit 2 SSD (Boot HD0 & Daten HD1) und 4 HDs (Daten HD2, Backup HD für HD1 & HD2, große 2TB HD & dafür Backup eine HD)

Alle Datenträger im selben Computer verbaut? Oder wie war das im Detail geregelt? Auch dazu fehlen Deinerseits genaue Angaben!

Zitat:

Es hätte am Ende nie dazu kommen, dass Virensoftware überhaupt auf dem Rechner sich ausführen lässt.

Ja, wenn das Sicherheitskonzept stimmig ist/war. Dennoch muss unabhängig dazu parallel ein schlüssiges Backup-Konzept stehen.

Zitat:

Es muss ein unglücklicher Zufall gewesen.

Nein, das sind in der Regel keine "unglücklichen Zufälle", sondern strukturelle Schwächen in Sicherheitskonzepten.

Zitat:

Wir hatten für paar "Spielereien" ein RDP Port offen,

"Spielereien", gleich welcher Art, haben auf Produktivsystemen keinerlei Platz und Berechtigung. Erst recht dann nicht, wenn auch noch wichtige Daten auf eben diesen Systemen liegen. Das meine ich mit "struktureller Schwäche".

Zitat:

Insgesamt geht es um ca. 100 GB, die sehr ärgerlich sind, alles andere (ca. 1,5-1,7TB) ist rekonstruierbar.

Zu solchen Daten benötigt es immer externe Backups auf "nicht verbundenen Speichern". Und zusätzlich auch noch räumlich ausgelagerte. Bei Euch gab es offenbar weder das Eine noch das andere.

Zitat:

es geht mir primär aber auch um Ransomware und Informationen dazu.

Die sollte man sich allerdings bereits präventiv beschaffen. Im Nachgang bringt es bezüglich bereits verschlüsselten Daten nämlich nicht mehr viel.

Zitat:

Ich möchte einschätzen, wie die Wahrscheinlichkeit ist, dass ich ohne den "Erpresser" an die Daten komme (mit Wartezeit und Profis wie Ontrack & Co.)

Ontrack und Co können bei starker, fehlerfreier Verschlüsselung nicht zaubern, die Daten würden verschlüsselt bleiben.

Zitat:

und wie hoch die Wahrscheinlichkeit ist, dass der "Erpresser" mit spielt und die Daten entschlüsselt bzw. die Software dafür zur Verfügung stellt.

Wie gesagt, eine Kooperation mit Kriminellen in dieser Form ist indiskutabel.

Zitat:

Da sowenig offensichtlich über die Variante der Ransomware (in meinem Fall) bekannt ist,

Falsch. Du hast bisher nur noch keine möglichst exakte Definition erzielt.

Zitat:

rechne ich damit, dass Profis nur über Schattenkopie, gelöschte Dateien ect irgendwie versuchen an Daten zukommen.

Nein. Ransomware sorgt nach ihrer Ausführung dafür, dass all diese Optionen im Nachgang nicht mehr in Frage kommen. Daher ist ein schlüssiges Backupkonzept heutzutage so immens wichtig. Will nur im Vorfeld immer keiner hören. Lieber im Nachhinein unendlich viel Zeit fehlinvestieren oder mit Kriminellen kooperieren. Wie widersinnig!

Zitat:

Kosten mehrere tausende Euros, Ergebnis relativ ungewiss (nach dem, was ich bisher aus den Telefonaten erfahren habe).

Ja, so ist das eben: Was man im Vorfeld technisch nicht umsetzt, entgegen aller gebetsmühlenartig immer wiederholter Backup-Empfehlungen, das zahlt man am Ende mit einem deutlich erhöhten finanziellen Aufwand, oder mit dem kompletten Verlust der Daten.

Zitat:

Der Erpresser kostet auch Geld, aber erheblich weniger und mit erheblich besseren Erfolgschancen.

Der Erpresser ist jemand, dem Du mit Deinem Geld sein auch zukünftiges Tun und somit die Schädigung weiterer Menschen finanzierst.

Zitat:

Dritte Option "Warten" ist nur eine bedingte Option, da es Dateien gibt, wo ich Zugriff drauf bräuchte.

Und warum gibt es dann keine Backups von diesen? Wenn sie so dermaßen wichtig sind?

Zitat:

Frage dazu, lässt sich sowas fehlerlos entschlüsseln, wenn die mal verschlüsselt wurde?

Mit dem entsprechenden Key schon. Aber den hast Du nicht.

Zitat:

Gibt es sowas wie "Vermittler", die mit solchen Personen verhandeln können bzw. "treuhänderische" agieren?

Vermittler mit Kriminellen? Da gibt es eher das Mittel der Strafanzeige (wenngleich die Chancen auf Ermittlung der Täter nicht gut stehen).

Zitat:

Zitat von Cosimo

Sieht aktuell schlecht aus, da Windows Defender die Daten unter Quarantäne gestellt hat und diese jetzt nicht mehr wiederherstellbar sind.

Das sind Basics der PC-Nutzung! Nur, weil Dateien in Quarantäne liegen, bedeutet das nicht, dass sie nicht mehr zugreifbar sind. Für solche Fälle hat man außerdem mindestens geeignete Live-/Bootsysteme betriebsfertig in der Schublade liegen.

Bei Euch scheint es so ziemlich an allem Wichtigen zu fehlen.

Und dies ist dann auch möglichst sofort anzuwenden, bevor aus verschiedensten Gründen irgendwelche Daten gelöscht werden.

Zitat:

Zitat von Cosimo

Was ich aktuell gerade probiere, dass ich schaue, ob man noch was Gelöschtes wiederherstellen kann, das dauert aber bis ich da was Genaueres weiß.

Was von Malware gelöscht wurde, gerade auf SSDs, zusätzlich Stichwort TRIM und Garbage Collection, ist nicht wiederherstellbar.

Zitat:

Zitat von Cosimo

Virensoftware hat auf den anderen PCs im Netzwerk keinerlei Warnung herausgegeben.
Aktuell läuft Norton 360 und auch da haben Scanns (alle 4PCs) nichts hervorgebracht.

Anti-Virensoftware. "Virensoftware" wäre die Malware selbst. Abgesehen davon, hast Du offenbar auch zu viel Gewichtung auf den vermeintlich großen Schutz solcher Virenscanner gelegt. Lies in diesem Zusammenhang bitte:
https://www.trojaner-board.de/199203...verwenden.html

Zitat:

Zitat von mmk

Du solltest sie als erstes mal hier identifizieren lassen:
https://id-ransomware.malwarehunterteam.com/index.php?lang=de_DE

Das wurde erfolglos versucht, ist aber auch nicht notwendig.
Sicher wäre es gut gewesen, wenn der Hilfesuchende Samples zur Verfügung gestellt hätte, aber wie hier
https://www.trojaner-board.de/206961-problem-ransomware-ouroboros-gg-mtb.html#post1774833
schon vermutet, ist die Ransomware alter Wein in neuen Schläuchen.
Es gibt folgenden Artikel:
https://id-ransomware.blogspot.com/2023/04/enmity-ransomware.html
Der Ursprung ist dann eben Ouroboros bzw. Limbozar/Void.
Und wie meistens gilt auch hier:

Zitat:

К сожалению, расшифровки этого типа вымогателя нет.

https://forum.kasperskyclub.ru/topic/421954-zashifrovany-vse-fajly/?do=findComment&comment=2106318

Zitat:

Zitat von _698

ist aber auch nicht notwendig.

Natürlich ist es notwendig zu wissen, mit welcher Variante man es genau zu tun hat. Es kam in der Vergangenheit bereits vor, dass Subvarianten im Gegensatz zu anderen Fehler in der Verschlüsselung bzw. Implementierung enthielten, sodass infolgedessen nur bei diesen eine Entschlüsselung möglich war.

https://www.heise.de/news/Ransomware...e-6222348.html

Sowas wie Norton ist völlig überflüssig und auch viel zu oft kontraproduktiv.
Dir ist bekannt, dass schon lange in Windows ein Virenscanner eingebaut ist?

Zitat:

Zitat von cosinus

Sowas wie Norton ist völlig überflüssig und auch viel zu oft kontraproduktiv.
Dir ist bekannt, dass schon lange in Windows ein Virenscanner eingebaut ist?

Wie geschrieben, ist auf dem einen PC zu Testzwecken, der Virenschutz "vernachlässigt" worden.
Das ist in meinen Augen der entscheidende Fehler gewesen (für den Befall).
Hinzu kommt dann "schlechtes" Backup "Management".

Willst du sagen, dass "Windows Defender vollkommen ausreicht?

Zitat:

Zitat von Cosimo

Das ist in meinen Augen der entscheidende Fehler gewesen (für den Befall).

Nein, das war nicht der Fehler. Ich hab hier leider schwer den Eindruck, dass du den Virenscanner für das Allerwichtigste hält. Das ist er aber bei Weitem nicht. Das Wichtigste überhaupt ist: Angriffsfläche reduzieren und Sicherheitslücken schließen zB durch zeitnahes Installieren von Sicherheitsupdates. Natürlich sind auch gut durchdachte Backkonzepte essentiell.

Zitat:

Zitat von Cosimo

Willst du sagen, dass "Windows Defender vollkommen ausreicht?

Warum stellen so viele den Windows Defender in Frage?
Und warum kommt immer diese Fokussierung auf den Virenscanner? Du hast doch am eigenen Leib erlebt, dass der Virenscanner den Schaden nicht verhindern konnte.

Zitat:

Zitat von cosinus

Nein, das war nicht der Fehler. Ich hab hier leider schwer den Eindruck, dass du den Virenscanner für das Allerwichtigste hält. Das ist er aber bei Weitem nicht. Das Wichtigste überhaupt ist: Angriffsfläche reduzieren und Sicherheitslücken schließen zB durch zeitnahes Installieren von Sicherheitsupdates. Natürlich sind auch gut durchdachte Backkonzepte essentiell.


Warum stellen so viele den Windows Defender in Frage?
Und warum kommt immer diese Fokussierung auf den Virenscanner? Du hast doch am eigenen Leib erlebt, dass der Virenscanner den Schaden nicht verhindern konnte.

Windows Defender wurde auf dem einen PC deaktiviert, da wir Probleme hatten von außen auf den PC zukommen und dann vergessen zeitnah wieder einzuschalten.
Wie man sieht, kann dieses kleine Zeitfenster langen, um Probleme ohne Ende zu bekommen, wie halt immer im Leben, es sind oftmals nur wenige Sekunden.

Letztendlich ist es, in meinen Augen, ein Zusammenspiel von (Fehl-)Verhalten und Software.

Norton habe ich nachträglich installiert um zuschauen ob der noch was anderes findet.
Primär lief der Windows Defender.
Vor paar Jahren hieß es immer, die "anderen" sind besser, daher wahrschlich diese "abwertende" Einschätzung/Erwartung.

Zitat:

Windows Defender wurde auf dem einen PC deaktiviert, da wir Probleme hatten von außen auf den PC zukommen und dann vergessen zeitnah wieder einzuschalten.
Wie man sieht, kann dieses kleine Zeitfenster langen, um Probleme ohne Ende zu bekommen, wie halt immer im Leben, es sind oftmals nur wenige Sekunden.

Selbst wenn der Defender aktiviert gewesen wäre, wäre das noch keine Garantie dafür gewesen das er die Ransomware erkannt und unschädlich gemacht und das verschlüsseln der Dateien verhindert hätte. Wie cosinus schon sagte: viele User verlassen sich zu sehr auf ihren Virenschutz und auch auf deren Schutzfuktionen vor Ransomware, egal ob das der Defender ist oder ein Drittanbieter Virenschutz.

Dazu müsste man den genauen Befall kennen, schwierig zu beantworten.

100 % lässt sich das niemals verhindern.

Wichtig ist halt das Backup. Wichtiger als alle Updates und Virenscanner.

Zitat:

Zitat von stefanbecker

Dazu müsste man den genauen Befall kennen, schwierig zu beantworten.

100 % lässt sich das niemals verhindern.

Wichtig ist halt das Backup. Wichtiger als alle Updates und Virenscanner.

Stand jetzt, gehe ich von einem offene RDP Port aus.
Mails werden auf dem Gerät nicht gelesen und auch öffnen wir keine Anhänge unbedacht.

Das mit dem Backup haben wir schon geändert.

Zitat:

Dazu müsste man wissen, wie das System infiziert wurde.

Wenn du Mail ausschließen kannst, bleibt (von der Wahrscheinlichkeit her) meiner Meinung fast nur noch Drive-By oder illegale Software.

Und wenn jemand via RDP auf dem System gewesen sein sollte, dann fehlts hier sehr weit. Vor allem stellt sich dann die Frage, von welchem anderen Gerät eine Verbindung aufgebaut wurde... und dann stellt sich gleich wieder die Frage, wie kam die Malware auf den anderen Rechner...

Ist mittlerweile auch egal, euer Sicherheitskonzept hat Lücken.


Sofern du alle Daten extern gesichert hast, kannst du eine saubere Neuinstallation in Angriff nehmen. Dein Sicherheitskonzept solltest du auch gleich überprüfen.

Alles andere kann man guten Gewissens nicht empfehlen.


Die größte Schwachstelle sitzt vor dem Gerät.

Ich gehe von einem RDP Port als Einfalltor aus, wo der Angreifer darüber Software heruntergeladen und diese dann ausgeführt hat.
Es ist auf dem Desktop ein Ordner erstellt worden, mit den Namen "svchost" darin sind diverse Programme (s.exe) und Bat Dateien (closeapps.bat, vss.bat) sowie "Regestrier Änderung Datei" gewesen. Sowie 2-3 Datein die von Windows Defener entfernt worden sind.

Das es Lücken hat, habe ich gemerkt.

"Die größte Schwachstelle sitzt vor dem Gerät." mein reden... ;-)

Zitat:

Hauptsache, man lernt daraus.

Im Übrigen:
Geld an die Erpresser zu zahlen, ist das Dümmste, was man machen kann.

Habe ich schon.

Ob es dumm ist, würde ich nicht sagen.
Es ist die einzige Hoffnung/Chance, die ich habe, kurzfristig an Daten zu kommen.
Die Personen machen so oder weiter und der Fehler ist mir unterlaufen.
Security Firmen haben mir wenig Aussichten auf Erfolg gegeben und auch da kann es sehr sehr teuer werden.

Meine Hoffnung ist gewesen, dass es dafür schon einen Weg zu m entschlüsseln gibt, so wie es aktuell aussieht, gibt es keinen.
Also bleibt nur die Chance/Hoffnung, dass der "Erpresser" etwas Anstand besitzt und nach Zahlung die Daten freigibt. Mir ist bewusst, dass ich das Geld nicht wiedersehe, aber das habe ich bei beiden Szenarien (Dattenretter oder Erpresser).

Klingt nach Vollzugriff auf dein System.

Die Neuinstallation wartet auf dich.

Alles Gute!

Zitat:

Zitat von M-K-D-B

Klingt nach Vollzugriff auf dein System.

Die Neuinstallation wartet auf dich.

Alles Gute!

Schon erfolgt und ist mit das kleinste Übel.

Zitat:

Zitat von Cosimo

RDP

war schon 2019 ein Verbreitungsweg von Ouroboros.

Du solltest dir bei Verhandlungen auf jeden Fall ein Limit setzen.
Es ist nicht unüblich, dass immer wieder höhere Summen verlangt werden.

Und wenn du ein decryption tool bekommst, besteht das Risiko, dass Dateien trotzdem nicht entschlüsselt werden können.

Es kann sich auch um einen Fake bzw. weitere Schadsoftware handeln.
Nicht vergessen: Das sind Kriminelle.

Viel Glück!

Zitat:

Zitat von Cosimo

Schon erfolgt und ist mit das kleinste Übel.

Bitte daran denken: mach auch von deiner Systempartition C mit Windows drauf ein Image/Backup auf eine externe Festplatte in gewissen Zeitabständen die du festlegst denn Windows neu installieren und alles wieder einrichten, dauert erheblich länger als wenn man ein Image/Backup vom Windows hat das man mit dem Boot Medium des Backup Programms einspielen kann.

Zitat:

Wenn das Tool nichts entschlüsselt, ist am Ende das gleiche Risiko, was wir von Anfang an eingehen. Er hat uns aber paar Dateien (die wir willkürlich ausgewählt haben) entschlüsselt und mir zugeschickt und die sind so weit ok gewesen. Virensoftware hat ebenfalls nichts gemeldet.

Wenn ihr Pech habt, schickt er aber ein Tool nachdem ihr teuer bezahlt habt, das dann doch nicht die Dateien entschlüsseln kann, oder nur eine bestimmte Anzahl der Dateien können damit entschlüsselt werden. Egal wie man es dreht: er erpresst Euch und nur darauf ist er aus um feste Kohle zu scheffeln.

Ich kann dich da schon nachvollziehen. Aber du musst auch mal überlegen welche Außenwirkung das haben könnte was du da alles schreibst.

Wie sieht denn nun dein neues Konzept der Datensicherung aus? Das wäre hier die Quintessenz und Vorbeugung für alle Leser hier oder meinst du nicht?