Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Diskussionsforum (https://www.trojaner-board.de/diskussionsforum/)
-   -   Windows Server 2016: MBR verschlüsselt (https://www.trojaner-board.de/194091-windows-server-2016-mbr-verschluesselt.html)

Turbomaik 13.12.2018 09:48
Windows Server 2016: MBR verschlüsselt
 
Hallo liebes Trojaner-Board-Team,
seit einem Backup von letzter Nacht wurden alle VMs auf einem Hyper-V-Cluster verschlüsselt.
Die einzige Meldung die kommt befindet sich im Anhang.
Reparatur der einzelnen VMs über das Windows ist nicht möglich, er sperrt den Zugriff auf die vhd's.
Meine Frage wäre: Kennt ihr diesen Trojaner bereits?
Wenn ja, wie sollten wir im Besten Fall vorgehen.

Leider wurden auch die Backups kompromittiert. Wir versuchen aber geraden noch die Backupdateien zu sichern, da diese sich auf einem Linuxsystem befinden.

https://picload.org/view/dclwlaop/mbr.jpg.html
https://picload.org/view/dclwlaop/mbr.jpg.html

Grüße Turbomaik

cosinus 13.12.2018 11:01
Zitat:
Leider wurden auch die Backups kompromittiert.
Was soll das heißen, sind die verschlüsselt? Falls ja, ist das was anderes als "kompromittiert".

Ihr habt da massive Mängel im Backupkonzept, denn es muss muss so konstruiert werden, dass es weder durch Befall, noch durch Katastrophen wie Feuer oder Hochwasser zerstört und/oder verändert werden kann. Falls doch bringt der ganze Sch.... doch nichts!

Zitat:
Wir versuchen aber geraden noch die Backupdateien zu sichern, da diese sich auf einem Linuxsystem befinden.
Ob die sich auf einem Linux oder Windows befinden ist völlig wumpe, verschlüsselt ist verschlüsselt. Eigentlich dürfte ein Windows-Gerät da keinen schreibenden Zugriff drauf haben.


Viel Hoffnung die verschlüsselten Dateien wiederherzustellen gibt es nicht, aber probier aus --> https://id-ransomware.malwarehuntert...php?lang=de_DE

Manchmal gibt es Entschlüsselungstools, die aber von einer Datei eine Original- und eine verschlüsselte Version benötigen, um die Entschlüsselungsmethode herleiten zu können, vgl. https://www.bleepingcomputer.com/new...ions-and-more/

Turbomaik 13.12.2018 11:37
Zitat:
Was soll das heißen, sind die verschlüsselt?
Ja sie sind verschlüsselt und im RAW-Format.

Zitat:
Ihr habt da massive Mängel im Backupkonzept, denn es muss muss so konstruiert werden, dass es weder durch Befall, noch durch Katastrophen wie Feuer oder Hochwasser zerstört und/oder verändert werden kann. Falls doch bringt der ganze Sch.... doch nichts!
Ja das kann man jetzt so sagen.

Dort habe ich nichts gefunden, konnte aber bei reddit auch schon ähnliche Threads finden. Die helfen mir natürlich auch nicht weiter.
https://www.reddit.com/r/sysadmin/comments/a4ukng/work_systems_encrypted_anyone_know_a_fix/

Wir werden nun eine Datenrettungsfirma ins Boot zu holen, die sich das mal anschauen und im Besten Fall die Daten zurücksichern können.

cosinus 13.12.2018 11:45
Zitat:
Die helfen mir natürlich auch nicht weiter.
Wie auch, wenn es keine Entschlüsselungstools für die Variante gibt, die bei euch zugeschlagen hat. Gearde deswegen macht man ja das Backup und deswegen muss man auch zusehen, dass das backup dann offsite gelagert wird, so dass keine Kryptomalware oder ein Feuer für Datenverlust sorgen kann.


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:46 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131