Ransomware DMALocker 3.0 in Netzwerkumgebung - Nicht alle Clients und Server sind betroffen - Jemand Erfahrung damit
 

Hallo zusammen.
Wir haben uns leider den DMA Locker 3.0 eingefangen welcher fleißig Dateien verschlüsselt hat.

Glücklicher Weise konnten wir diesen eindämmen. Also Netzwerkkabel trennen und die Malware- Dateien und die Registryaufrufe dann zumindest auf den System, auf denen wir den DMA Locker gefunden haben, entfernen. Das hat verhindert, dass nicht alle Dateien betroffen sind. Auch nicht alle Clients und Server sind betroffen. Dennoch hat sich, denke ich, der DMA Locker durch die Shares gut verteilt. Ich konnte noch nicht alle Clients prüfen.

Betroffen sind die Betriebssysteme ab Server 2003, allerdings vorrangig die neueren also 2008 bis 2013 bei den Servern sowie Windows 8 Clients. Was mich auch wundert ist, dass der DMA Locker auf Clients gelangt ist mit verminderten Rechten.
Zum Beispiel die Terminalserver sind von der Infektion nicht betroffen.

Meine Frage nun ob hier jemand schon Erfahrung mit dieser Ransomware hat. Noch mehr wie finde ich die Quelle der Infektion und zu guter Letzt gibts eine Möglichkeit die Dateien zu decrypten?

Was braucht ihr noch an Informationen. Danke

Hi,

also obs bereits möglichkeiten gibt das zu decrypten kannst du hier nachschauen: https://id-ransomware.malwarehunterteam.com/

Und ich geb mal bescheid, dass man dich in den öffentlichen Bereich verschiebt, dort kann dann jeder posten :)

also angeblich soll es mit dem emisoft decrypter funktionieren http://emsi.at/DecryptDMALocker

emisoft? Erinnert mich an Radamant Nicht Böse gemeint. Ich habe auf der Decrypter Seite von Emsisoft keinen DMA Locker3 gefunden nur DMA Locker und DMA Locker2 gefunden. Trotzdem gutes Glück.