|
Neuer Cryptotrojaner "fileiscryptedhard" nur auf Netzlaufwerken Moin, ich bin selbst ITler und normalerweise darf ich mich freuen, wenn unsere Kunden einen der bekannten Cryptotrojaner eingefangen haben und teilweise das Thema Datensicherung vernachlässigt haben. Nun bin ich jedoch selbst zum Opfer geworden, jedoch ist es bei uns etwas seltsam! Durch Zufall habe ich heute Abend bemerkt, dass ein Bild (jpg) von einem Netzlaufwerk nicht korrekt in unsere Rechnungsmaske geladen wurde. Als ich nachschaute, bekam ich einen große Schrecken und dachte nur "SCHEI*****!!!!!" Cryptowall oder Locky eingefangen. Alle bekannten Dateien (doc, pdf, exe, jpg,...) wurden als URSTPRUNGSDATEI.ENDING.fileiscryptedhard verschlüsselt. Und in jedem Verzeichnis befindet sich eine Textdatei (READ TO DECRYPTIONS_.txt) mit folgenden Inhalt: Zitat:
Das seltsame ist: Es sind nur die Netzlaufwerke auf einem Win2k8R2 (Domaincoltroller) und von einem Synology NAS verschlüsselt. Da die Shares nur von Domänenbenutzer Berechtigungen haben, muss also die Schadsoftware auf einem Domänencomputer kommen. Seltsamerweise ist kein PC in der Domäne lokal betroffen. Die Tools von Kaspersky und ESET helfen leider nicht. Von den Dateien auf dem Server habe ich Backups und auch bereits wiederhergestellt. Vom NAS, wo u.a. viele gesammelte Images liegen, war die ordentliche Datensicherung noch nicht fertig im Einsatz :/ Jemand eine Schlaue Idee oder kennt jemanden diesen netten, scheinbar neuen Verschlüssler? Ich wüsste nämlich gerne von wo er verschlüsselt und ob ich die verschlüsselten Dateien evtl. entschlüsseln kann... 1.000 Dank im Voraus! |
moin :kaffee: Evtl kannst du damit den ransom identifizieren => https://id-ransomware.malwarehunterteam.com/ |
Hi, danke für den nützlichen Link. Leider wird er damit auch nicht erkannt. :heulen: |
Dann habt ihr das ne coole brandneue Version :cool: ist doch toll das neuste zu haben oder? :p :blabla: Also ich hab fast den Eindruck das ist was neues, weil die Teslacrypt-"Maintainer", Entwickler oder wie auch immer du die nennen willst - aufgegeben haben siehe Erpressungs-Trojaner TeslaCrypt gibt auf: Master-Schlüssel veröffentlicht | heise Security |
gibt es hier auch ein Desktopbild zu der Meldung, oder nur rein als Text? Es muss einer der Client PCs sein. Hier bräuchte man Logs und am Besten den Dropper. Dann kann man schauen. |
Nur die Textdateien. Ich habe mal eine Anfrage an die eMailadresse geschickt, wo ich die Zahlungsbestätigung hinsenden soll. Er hat sogar geantwortet und netterweise als Beweis die verschlüsselte Datei die ich mitgeschickt habe, entschlüsselt zurück geschrieben und auf die Zahlung hingewiesen :daumenrunter: Zitat:
|
machen die immer, die wollen ja das geld..... |
Ahh, die geben einem auch gleich sinnigerweise Tipps, wie man sich vor ner erneuten Infektion bestmöglich schützt, das ist aber wirklich sehr ehrenhaft. :D |
Voll die netten Erpresser, das hatten wir hier doch schon mal. Da kriegt man vielleicht (und selbst wenn es "wahrscheinlich" ist...) seine Daten wieder, aber man hat die ganze Masche damit auch noch unterstützt. |
Überlege dir doch mal über welche Geräte/Accounts und zu welchem Zeitpunkt die Verschlüsselung durchgeführt wurde. Und dann würde ich alle betroffenen Geräte neu installieren. Die genannte E-Mail-Adresse ist zudem per Google auffindbar. Ich würde das ganze professioneller aufziehen und für jedes Opfer automatisierte Accounts bei unterschiedlichen Hostern verwenden oder über Webformulare auf gehackten Webservern verschleiern. Keine Ahnung aber vielleicht hilft es zudem der unter http://www.whois.com/whois/163.com angegebenen Abuse-E-Mail-Adresse mal zu schreiben. Vielleicht wird der genannte E-Mail-Account dann ja gesperrt. |
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:57 Uhr. |
Copyright ©2000-2025, Trojaner-Board