Crypto-Trojaner

Fatale Bewerbung: Trojaner GandCrab V4 getarnt in Bewerbermails mit Anhang

Wiederherstellen verschlüsselte Daten nach Ransomware Attacke mit GandCrap

Seit wenigen Tagen kursieren zahlreiche Spam-Emails von einer vermeintlichen Bewerberin inklusive Foto und ZIP Datei im Anhang in den Postfächern vieler Internetnutzer. Im Betreff der E-Mail steht „Bewerbung von Hannah Sommer“. Die Namen variieren und auch die dazugehörigen Fotos der Bewerber. Es handelt sich jedoch keinesfalls um eine Bewerbung, sondern um einen gefährlichen Crypto-Trojaner. Gefährdet sind hier vor allem Windows Nutzer, da sich im Anhang ein VBS Downloader bedindet, der die Ransomware GandCrab Version 4.x auf dem PC installiert. Nach der Installation werden sämtliche, zugängliche Daten durch die Ransomware verschlüsselt. Die Dateien erhalten danach die Endung „.krab“.
Wie auch bei anderen Verschlüsselungstrojanern ist es besonders kritisch, wenn Speicherorte im Netzwerk erreichbar sind. Dann nämlich werden auch diese Daten durch den Schädling verschlüsselt und zunächst unbrauchbar gemacht.

Was tun, bei einem Ransomwarebefall durch GandCrab?

  • Sofort Externe Festplatten entfernen
  • Netzwerkzugänge deaktivieren (Netzwerkkabel abziehen)
  • IT Verantwortlichen sofort benachrichtigen, damit dieser Maßnahmen ergreifen kann
  • Andere Mitarbeiter vor der Gefahr warnen
  • Datenspezialist kontaktieren und Datenzustand professionell prüfen lassen.

Ist eine Entschlüsselung der Daten durch DATARECOVERY möglich?

Dies können wir leider nicht pauschal sagen. Die AES 256 Bit Verschlüsselungen sind nicht ohne weiteres zu entschlüsseln, sofern man den notwendigen Schlüssel nicht besitzt. Dies ist auch der Hintergrund der Erpressung. Allerdings haben wir in sehr vielen Fällen Lösungen zur Entschlüsselung entwickeln können.

Bei Fragen kontaktieren Sie uns am besten mit genauen Angaben zur Verschlüsselung.

Datenrettung & Entschlüsselung von Daten nach Befall von CrySIS Ransomware

wiederherstellung-datenrettung-entschluesselung-daten-ransomware-crysis-datarecovery

Nach dem Motto „Doppelt hält besser“ musste ein bekannter deutscher Sportverband den Befall von mehreren so genannten Filecodern vom Typ CrySIS erfahren. Zwei Versionen der Ransomware wurden später im Zuge der Datenrettung festgestellt.

Betroffenes System: RAID5 auf Fileserver mit 12 Terrabyte Daten

Der Windows Server verfügte über ein separates RAID5 Array, auf dem sämtliche Daten des Verbandes im Netzwerk gespeichert und archiviert wurden. Dabei sorgten vier Seagate Festplatten vom Typ ST4000VN000 für insgesamt 12 Terrabyte verfügbaren Datenspeicher. Über Nacht waren plötzlich sämtliche Daten der Netzwerk-Shares verschlüsselt worden und somit nicht mehr verwendbar. Ein nachträglich durchgeführter Antivirentest durch „Malwarebytes Anti-Malware“ konnte keinen Befall von Schadsoftware feststellen. Nach der Feststellung des katastrophalen Zustandes des Dateiservers wandte sich die IT-Abteilung des Sportverbandes an DATARECOVERY®.

Express Diagnose: starke Verschlüsselung und Logische Beschädigungen

Per Direktkurier wurden noch am selben Tag sämtliche Serverfestplatten in das Zentrallabor nach Leipzig gebracht. Dort erfolgte die Datenträgeranalyse in Quarantäne. Es wurden schwerwiegende Schäden am Dateisystem festgestellt sowie die komplexe Verschlüsselung durch die Ransomware CrySIS. Nachdem die Diagnose des schadhaften verschlüsselten Systems abgeschlossen war, wurde unmittelbar mit der Datenwiederherstellung und Entschlüsselung der Daten begonnen.

Erfolgreiche Datenrettung: Entschlüsselung zweier Trojaner + Logische Rekonstruktion im Dateisystem

Die Kryptografie Spezialisten bei DATARECOVERY® übernahmen die Entschlüsselung der Dateien. Bei der aufwändigen Ermittlung des zugrundeliegenden Schlüssels wurde festgestellt, dass es sich nicht nur um eine Verschlüsselung handelte, sondern gleich zwei Trojaner desselben Typs zugeschlagen hatten. Es galt somit zwei Schlüssel herauszufinden. Dazu kamen die bereits in der Diagnose festgestellten logischen Beschädigungen. Diese waren in der Folge des gleichzeitigen Zugriffs verschiedener Ransomware (beide vom Typ CrySIS) entstanden. Ettliche Dateien wurden teilweise überschrieben oder verfügten über Schäden in den Metainformationen. Die Datenwiedeherstellung erfolgte somit in drei Schritten.

  • Entschlüsselung der Daten durch den ersten Trojaner
  • Entschlüsselung mit zweitem Schlüssel durch Ransomware 2 verschlüsselter Daten
  • Rekonstruktion und Reparatur von beschädigten Daten die durch den zeitgleichen Zugriff zweier Ransomware entstanden waren

Fazit: Es konnten alle Daten erfolgreich und vollständig lesbar wiederhergestellt werden. Der Geschäftsbetrieb konnte unmittelbar danach wieder aufgenommen werden.

Locky-Trojaner

datarecovery-mdr-locky-virus-datenwiederherstellung1

News bei mdr Aktuell, DATARECOVERY im Interview ®

Zur Zeit überschlagen sich die Meldungen über Neuinfizierungen durch den Verschlüsselungs-Trojaner „Locky“. Neben Privaten Haushalten sind vor allem auch Unternehmen mit teils massiven Schäden betroffen.

Wie kommt es zur Infizierung?

Locky (und auch andere Crypto-Viren) gelangen meist über SPAM E-Mail Anhänge auf einen Computer. Von da werden mittlerweile erreichbare Netzwerkstrukturen durchforstet um sämtliche Datenbestände zu verschlüsseln. Die verschlüsselten Daten sind dann nicht mehr für den Anwender lesbar.

Erpressung durch Zahlung mittels anonymer Bitcoin Währung

Hat Locky zugeschlagen, werden durch die gut organisierten Erpresser Zahlungsinformationen bereitgestellt, so dass die geforderte Summe von ca. 1-2 Bitcoin (aktuell ca. 350€) schnell gezahlt werden kann. Es ist unbedingt davon abzuraten, Zahlungen zu leisten. Nach erfolgter Überweisung der Summe besteht nämlich keine Garantie, dass die verschlüsselten Daten jemals wieder entschlüsselt werden.

Datenrettung nach Locky Verschlüsselung?

Aktuell erreichen uns häufig Anfragen zur Entschlüsselung von Daten, die zuvor durch einen Erpressungs-Trojaner (Locky, Tesla-Crypt, etc.) unlesbar gemacht wurden. Eine generelle Aussage, ob Daten wiederherstellbar sind, können wir leider nicht pauschal treffen. Der Aufwand zur Entschlüsselung durch unsere Kryptografie-Spezialisten ist jedoch sehr hoch. Der benötigte Zeitraum zu einer möglichen Datenwiederherstellung liegt hier deutlich höher als bei herkömmlichen Datenrettungen. Betroffene sollten mit Zeiten von mindestens 2-4 Wochen kalkulieren. Die Kosten gestalten sich aufwandsbezogen und sind mit mehreren Tausend Euro anzusetzen.

Ke-Ranger jetzt auch für Apple Anwender gefährlich

Galt vor allem die Gefahr innerhalb von Windows Netzwerken, besteht mittlerweile auch das Risiko für MAC Nutzer. Hier sind erste Fälle der Verschlüsselung durch den Crypto-Trojaner „Ke-Ranger“ bekannt geworden. Das Prinzip ist analog zu den bereits bekannten Windows Schädlingen und verschlüsselt Dateien innerhalb der jeweiligen Apple Netzwerke.

Logos unserer Partner
Ausgezeichnet.org