Dringend Betroffene gesucht! Trojaner / PHOBOS Ransomware

robra

Newbie
Registriert
Jan. 2019
Beiträge
6
Hallo Leute,
ich bin neu hier im Forum, habe die Suche auch bereits bemüht und bin leider zu keinem Ergebnis gekommen - sonst hätte ich den Post wohl auch nicht erstellt :-).
Wäre es nicht so dringend hätte ich mich wohlmöglich auch kurz vorgestellt, nun komme ich aber direkt zum Problem.

Ich bin dringend auf der Suche nach geplagten des Trojaners "Phobos". Handelt sich dabei um eine scheinbar neue Ransomware die unseren Firmenserver getroffen hat (unmittelbar zu dem Zeitpunkt als das tägliche Backup erstellt wurde).
Eine Lösung hat bis dato niemand, so dass uns von allen Seiten geraten wurde das Lösegeld (4.000$ in BTC) zu bezahlen. Ist dann auch über einen IT-Dienstleister erfolgt, unseren Entkryptungsschlüssel haben wir jedoch nicht erhalten da wir laut Hackeransicht "zu spät" bezahlt haben (Etwa 36 Stunden nach Lösegeldforderung, 48 Stunden waren die vorgegebene Deadline). Wie dem auch sei suchen wir nach mindestens zwei weiteren betroffenen die innerhalb der letzten Tage von Phobos getroffen worden sind und das Problem noch nicht behoben haben, zwecks "Verhandlungsstrategie" mit den Hackern.
Genaueres würde ich in einem Telefonat erörtern und bei Gelingen der Strategie natürlich hier weitergeben damit auch zukünftigen Betroffenen geholfen werden kann.

Wir stehen in engem Kontakt mit der Entwicklungsabteilung von Kaspersky, dem BSI und einigen weiteren IT-Sicherheitsunternehmen - eine Lösung des Problems (Bis auf die Bezahlung der Lösegeldforderung) hat bis Dato definitiv niemand.

Sollte ein Betroffener unter euch sein dann meldet euch gerne.

Liebe Grüße aus Hannover
Robert
 
https://winfuture.de/news,107030.html

Zitat: "Um sich vor dem Problem zu schützen, ist die Absicherung der RDP-Schnittstellen sicherlich die wichtigste Maßnahme. Und wo Phobos wirklich zu nennenswerten Datenverlusten führt, stimmt auch etwas mit der Organisation der IT-Abteilung nicht. Denn betroffen sind hier eben meist Firmen - und diese sollten deutlich klarere Backup-Strategien haben als ein Privatnutzer. Entsprechend sollte es eigentlich immer möglich sein, befallene Systeme aus der Sicherung wiederherzustellen, ohne auf die Forderungen eingehen zu müssen."
 
  • Gefällt mir
Reaktionen: Dr. McCoy, BalthasarBux, hroessler und 2 andere
Guten Morgen Robert,

schade, dass Ihr das Geld bezahlt hat. Die Erfahrung zeigt leider, dass keiner der Hacker den Key rausgerückt hat. Verstehe auch nicht, dass Euch dazu geraten wurde. Zum Thema Backup.... Habt Ihr allen ernstes nur ein Backup ? Vernünftigerweise wird eine Grandfather, Father, Son Strategie gefahren, so dass man max einen Tag verlieren würde. Vielleicht sollte man da mal ein anderes Sicherungskonzept überlegen.

Eine Lösung zur Verschlüsselung kann ich Dir leider nicht bieten, sorry

Greets

Nexarius
 
Als Geschäftsleitung würde die die IT-Abteilung dringend überarbeiten. Wieso finden keine Backups Statt (inkrementell, monatlich Vollbackups die aufgehoben werden)? Welcher Idiot kommt auf die Idee zu bezahlen?

Bleiben nur 2 Möglichkeiten:
Entweder unfähiges Personal austauschen oder den ITlern mehr Geld/Möglichkeiten geben je nachdem wo die Ursache dafür lag. Wer das nicht hinbekommt sollte keine Firma mit IT-Bedarf betreiben.

"Lösung" des Problemes:
verschlüsselte HDDs / betroffene Rechner Backupen und auf ein Entschlüsslungstool warten und solange ohne / mit altem Datenstand arbeiten.
 
Zuletzt bearbeitet:
@Luzifer
Wenn das Kind in den Brunnen gefallen ist, schaust du dann auch nur zu und kommentierst, es hätte besser aufpassen sollen.
Leider habe ich keine Lösung für das Problem.
Aber solche Antworten helfen ebenso wenig, und ich glaube dafür steht das Forum nicht ein
 
Servus,

kannst du mir erörtern wie du dir die Malware eingefangen hast ?
Anscheinend passiert das nur wenn RDP ins Internet offen ist.

LG
 
Wir hatten das mal in einem alten Unternehmen, das waren die Anfangszeiten von den Crypto Lockern. Damals waren es noch 250 USD in BTC. Der zugeschickte Entschlüssler durch den Hacker funktionierte. Seitdem wurde dann auch viel gemacht in der IT. Die Schuld lag bei einem Mitarbeiter, der die Datei ausführte. Backup ist das einfachste, wenn man nicht Zahlen will (Dort ist halt immer 50/50 Chance :D).
 
visioo schrieb:
Servus,

kannst du mir erörtern wie du dir die Malware eingefangen hast ?
Anscheinend passiert das nur wenn RDP ins Internet offen ist.

LG

Vermutlich per Mailanhang (gefälschter Lieferschein eines Lieferanten).
 
Alles klar. Danke.

Also wie jeder "Standard" Trojaner.

Leider kann ich dir bei der Datenbeschaffung nicht helfen.

Ich rate dir aber zukünftig alle eingehenden Officedokumente aus den Anhängen zu sperren und evtl. einen Mailscanner wie hornetsecurity etc.. zu nutzen.
 
chr1zZo schrieb:
Wir hatten das mal in einem alten Unternehmen, das waren die Anfangszeiten von den Crypto Lockern. Damals waren es noch 250 USD in BTC. Der zugeschickte Entschlüssler durch den Hacker funktionierte. Seitdem wurde dann auch viel gemacht in der IT. Die Schuld lag bei einem Mitarbeiter, der die Datei ausführte. Backup ist das einfachste, wenn man nicht Zahlen will (Dort ist halt immer 50/50 Chance :D).

Sieht bei uns genau so aus, nur das es eben eine deutlich höhere Forderung ohne entsprechende Entschlüsselungsdatei ist.
Bei rund 570 Mitarbeitern und einigen dutzend die Zugriff auf den Rechner haben ist es schwer zu sagen wer da nun genau Schuld ist.
Der Fehler liegt definitiv nicht an der IT Abteilung da der Server an einem anderen Standort steht als unsere Verwaltung und es eigentlich geregelte Backup-Prozesse gibt. Naja, wie dem auch sei - ich suche nach Betroffenen zwecks Verhandlungsstrategie und nachhaltiger Problemlösung.

LG
 
visioo schrieb:
Alles klar. Danke.

Also wie jeder "Standard" Trojaner.

Leider kann ich dir bei der Datenbeschaffung nicht helfen.

Ich rate dir aber zukünftig alle eingehenden Officedokumente aus den Anhängen zu sperren und evtl. einen Mailscanner wie hornetsecurity etc.. zu nutzen.

Besitzen wir alles - da wir die letzten Monate immer mal wieder kleinere Ransomware-Trojaner Befälle hatten, es muss scheinbar jemand mutwillig entsprechende Daten öffnen.
Officedokumente sperren können wir leider nicht, da aus dieser Niederlassung heraus einige weitere Niederlassungen verwaltet werden. Ist also ein sehr komplexes Thema, die Strukturen bedürfen sicherlich einer Überarbeitung - nun geht es aber darum ersteinmal wieder an unsere Daten zu kommen.

Ich danke dir dennoch für deinen Tipp :)
 
Nexarius schrieb:
schade, dass Ihr das Geld bezahlt hat. Die Erfahrung zeigt leider, dass keiner der Hacker den Key rausgerückt hat. Verstehe auch nicht, dass Euch dazu geraten wurde.

Wenn man an die Daten ranmuss und keine andere Möglichkeit hat, wird dir jeder raten das "Geld" zu bezahlen da entgegen deiner Aussage die "Hacker" sehr wohl die Schlüssel rausgerückt haben in der Vergangenheit. Das ist deren Geschäftsmodell, wenn sich rumsprechen würde, dass der Key nicht kommt trotz Bezahlung, würde ja niemand mehr bezahlen und die würden leer ausgehen.

Also jeder halbwegs informierte IT Security Specialist, das BSI, das Cyberallianz Zentrum, ZITIS, Berater oder sonst wer, wird dir raten zu bezahlen - sofern es keine andere Möglichkeit gibt (d.h. bekannte Entschlüsselung Tools, oder Backup)
 
  • Gefällt mir
Reaktionen: robra
Ich würde ja das alte backup wiederherstellen oder wird jeden tag beim backup das alte überschrieben und somit die verschlüsselten daten gesichert?
 
robra schrieb:
Besitzen wir alles - da wir die letzten Monate immer mal wieder kleinere Ransomware-Trojaner Befälle hatten, es muss scheinbar jemand mutwillig entsprechende Daten öffnen.
Und doch habt ihr nichts unternommen? Mailgateway strikter konfiguriert, USB Kontrolle oder eine bessere Backupstrategie entwickelt? Also ich würde bei so einem Verdacht alle Hebel in Bewegung setzen um den Verursacher zu finden. Dass einige Dutzend Mitarbeiter Zugriff auf einen Rechner haben der offensichtlich offen im Internet hängt spricht auch nicht gerade für eure IT-Abteilung.
 
Falc410 schrieb:
Wenn man an die Daten ranmuss und keine andere Möglichkeit hat, wird dir jeder raten das "Geld" zu bezahlen da entgegen deiner Aussage die "Hacker" sehr wohl die Schlüssel rausgerückt haben in der Vergangenheit. Das ist deren Geschäftsmodell, wenn sich rumsprechen würde, dass der Key nicht kommt trotz Bezahlung, würde ja niemand mehr bezahlen und die würden leer ausgehen.

Also jeder halbwegs informierte IT Security Specialist, das BSI, das Cyberallianz Zentrum, ZITIS, Berater oder sonst wer, wird dir raten zu bezahlen - sofern es keine andere Möglichkeit gibt (d.h. bekannte Entschlüsselung Tools, oder Backup)

Selten so einen Blödsinn gelesen! Informiere Dich mal bitte, keiner wird Dir je raten, zu bezahlen! Siehe z.B. Dettelbach in Bayern.

Hauptsache erstmal Blödsinn schreiben und mit nicht belegaren Aussagen untermauern. Google mal, nach Trojaner bezahlen oder nicht. Du wirst überweigend Ratschläge lesen, nicht zu zahlen. Die eher seltenen Fälle sind "ehrliche" Hacker, die den Schlüssel rausrücken
 
  • Gefällt mir
Reaktionen: Dr. McCoy und areiland
micv schrieb:
Ich würde ja das alte backup wiederherstellen oder wird jeden tag beim backup das alte überschrieben und somit die verschlüsselten daten gesichert?

Das Backup wird überspielt, wir sichern die Daten lokal und extern - das Backup wurde zeitgleich erstellt und in eben diesem Moment ist die Ransomware aktiv geworden.
 
Mal unabhängig von der Sinnhaftigkeit. Es gibt durchaus Fälle wo man mit bezahlen die Daten wieder bekommen hat.
 
  • Gefällt mir
Reaktionen: robra
Nexarius schrieb:
Selten so einen Blödsinn gelesen! Informiere Dich mal bitte, keiner wird Dir je raten, zu bezahlen! Siehe z.B. Dettelbach in Bayern.

Hauptsache erstmal Blödsinn schreiben und mit nicht belegaren Aussagen untermauern. Google mal, nach Trojaner bezahlen oder nicht. Du wirst überweigend Ratschläge lesen, nicht zu zahlen. Die eher seltenen Fälle sind "ehrliche" Hacker, die den Schlüssel rausrücken

Es wird sehr wohl von vielen Seiten dazu geraten die Forderung zu zahlen, zwar unter vorgehaltener Hand (Vorallem beim BSI) - jedoch auch offenkundig von diversen weiteren Stellen, u.a. dem FBI und namhaften IT-Sicherheitsunternehmen.

Sin_VII schrieb:
Und doch habt ihr nichts unternommen? Mailgateway strikter konfiguriert, USB Kontrolle oder eine bessere Backupstrategie entwickelt? Also ich würde bei so einem Verdacht alle Hebel in Bewegung setzen um den Verursacher zu finden. Dass einige Dutzend Mitarbeiter Zugriff auf einen Rechner haben der offensichtlich offen im Internet hängt spricht auch nicht gerade für eure IT-Abteilung.

Es wurden einige Dinge umstrukturiert, jedoch hat sich der Verdacht nun erst erhärtet - bei den vorherigen Fällen war alles innerhalb weniger Minuten erledigt, anhand von entsprechenden Backups.
Nun wird jedoch definitiv die gesamte Struktur in Richtung Sicherheit & Backups überarbeitet..

visioo schrieb:
Mal unabhängig von der Sinnhaftigkeit. Es gibt durchaus Fälle wo man mit bezahlen die Daten wieder bekommen hat.

Eben darauf beziehen sich auch entsprechende Aussagen des BSI, großen Virensoftwareherstellern (Wir stehen in engem Kontakt zu einem Hersteller), BKA, IT-Sicherheitsberatern und co..
In 80% der Fälle klappt es, da es scheinbar noch so etwas wie eine "Hacker-Ehre" gibt.
 
Zurück
Oben