Mamba-Ransomware

[Physikbuddha]

Hallo zusammen,

vielleicht gibt es eine Lösung hierfür.

Wir haben zuhause einen Server mit Win Server 2012 R2 stehen.
Vor etwa einer Stunde wurde dieser sehr langsam und fuhr dann herunter.

Nach dem Neustart stellte ich fest, dass die gesamte Festplatte D: mit Bitlocker verschlüsselt wurde.
D: ist nicht die Systempartition, sondern die Datenpartion. Es handelt sich um ein RAID 5, was auf einem Adaptec-RAID-Controller läuft.

Auf dem Desktop befindet sich eine Datei !!!IMPORTANT_FOR_DECRYPT.txt
Der Inhalt lautet:

Spoiler

What is this ?

This is a ransomware.

What happend to my disks ?

Your disks is encrypted with bitlocker or diskcryptor with a strong password protected.

Why you guys do this ?

We demand bitcoin.

How many bitcoin you guyz ask to decrypt our servers ?

It depends how big is your network and how important is your files is.its range is 0.5 btc to 50 btc.

I can not find my backups what happend to them ?

Your backups probably deleted or encrypted or copyed to nas encrypted folder.it depends how you take backups.

How can i buy bitcoin ?

You can use localbitcoins.com to buy bitcoin.

Now what must i do ?

You need to contact us to learn the price for your network

How do you know who i am ?

You need to provide your domain name and computer name for us so we can know who you are and whats your price.

How can i contact you ?

Contact us to the email neversleep99@protonmail.com

Es handelt sich scheinbar um die Mamba-Ransomware. Laut Internetberichten war die aber schon 2016 aktiv und hat den ganzen Rechner befallen.
Die Daten auf meinem Desktop wurde von einem Account angelegt, den unser Raspberry im Wohnzimmer mit OSMC nutzt, um Filme abzurufen. Der Angriff erfolgte wohl über den Raspberry durch eine Lücke auf dem Server.

Es ist zum Glück ein Backup von gestern Abend 22 Uhr vorhanden. Die Backupplatte wird durch eine Zeitschaltuhr physisch vom Rechner getrennt. Es befindet sich außerdem ein Offsite-Backup an einem anderen Ort.

Trotzdem sind im Backup nicht tagesaktuell alle Videos und Filme aus der Privatmediathek gespeichert.

Gibt es daher trotzdem eine Lösung, wie ich an das Passwort zur Entschlüsselung kommen kann?
Kann ich mehr Informationen liefern?

Gruß vom Physikbuddha

 

[Sithys]

test

 

[benneq]

Gibt es daher trotzdem eine Lösung, wie ich an das Passwort zur Entschlüsselung kommen kann?

Die Informationen dazu stehen doch ausführlich in der txt Datei.

Ansonsten findet sich bei Google sicherlich was unter "mamba ransomware decryptor" oder "mamba ransomware remover".
Allerdings solltest du vorher ein 1:1 Backup deiner Verschlüsselten Platte machen, für den Fall, dass die Entschlüsselung fehlschlägt und die Daten endgültig schreddert.

 

[SaxnPaule]

Schau mal hier: https://www.security-insider.de/mamba-ransomware-verschluesselt-ganze-festplatte-a-552784/
Da steht im Text:

Nach dem Neustart installiert sich DiskCryptor im Hintergrund, zu finden im Verzeichnis C unter dem Namen C:\DC22. Der nächste Reboot des Computers erfolgt nicht automatisch, so dass alle Dateien noch verfügbar sind, das DiskCryptor Protokoll enthält sogar das Passwort im Klartext.

Normalerweise ist Skepsis angesagt bei Software, die vertrauliche Daten wie Passwörter in Klartext-Log-Dateien ablegt. In diesem Fall kann es die Rettung sein: Verbraucher können die Option Decrypt im DCRYPT Dienstprogramm nutzen, um die Verschlüsselung mit Hilfe des Passworts rückgängig zu machen. Dies natürlich nur, wenn die Hintergrundverschlüsselung überhaupt bemerkt wurde. Wenn nicht, kommt die böse Überraschung samt Zahlungsaufforderung nach dem nächsten Reboot.

 

[Rickmer]

Allerdings solltest du vorher ein 1:1 Backup deiner Verschlüsselten Platte machen, für den Fall, dass die Entschlüsselung fehlschlägt und die Daten endgültig schreddert.

Wozu? Vom Backup einspielen kann er ja immernoch...

Außerdem hat er vermutlich nicht noch 'ne große Platte rumliegen, und ein 'known good' Backup mit schlechten Daten überschreiben...

 

[Physikbuddha]

Wahrscheinlich ist es nicht Mamba, weil es kommt nicht DiskCryptor zum Einsatz.
Über irgendeine Lücke hat ein Angreifer mit Bitlocker direkt Laufwerk D: verschlüsselt und dann den Server neu gestartet. Irgendwelche auffallenden EXE sehe ich auch nirgendwo.

Im Ereignislog steht auch nichts groß auffälliges. Wenn ichs nicht besser wüsste, würde ich sagen, dass sich jemand an den Rechner gesetzt und das per Hand manipuliert hat. Von Hand eingetragenes Bitlocker-PW krieg ich ja nicht raus.

Platte klonen wird auch eher weniger was, das RAID ist 9 TB groß. Und bis eine Platte geliefert wird, dauert es bestimmt mindestens bis Samstag.

Ich werd wohl die mäßig bittere Pille schlucken, und auf die weniger wichtigen Daten verzichten.

 

[Physikbuddha]

Kurze Ergänzung: Für 9 TB war Bitlocker mit 5 Minuten sehr schnell, also hab ich vermutet, dass nur die Dateitabelle verschlüsselt wurde.

Und tatsächlich findet Photorec noch ne Menge Dateien, teilweise gigabytegroße Filme. Also wahrscheinlich alles, was nicht fragmentiert herumliegt.
Leider muss ich mit Photorec direkt alles in ein Ziel sichern.

Gibt es eine gute Datenrettungssoftware, die mir vor dem Wiederherstellen erstmal eine Liste anzeigt, was sie gefunden hat?

 

[snaxilian]

easeUS aber da bekommst in der freien Variante nur angezeigt was er findet. Für einen Restore brauchst die Bezahlvariante. Ansonsten mal Testdisk ausprobieren.

Wenn du einzelne Daten/Ordner aus dem Backup aktiv ausgeschlossen hast, scheinen diese nicht wichtig genug zu sein. Wozu also dann der Heckmeck mit der Wiederherstellung? Dann solltest du dringend deine Backupstrategie überdenken zukünftig und dich mal rudimentär mit dem Thema Sicherheit/Absicherung beschäftigen. Wozu braucht ein Account auf nem Raspi Schreibzugriffe auf dem kompletten Share/Laufwerk bzw. wieso kann sich dieser User am Server anmelden?

Der Angreifer hat nicht irgendeine Lücke ausgenutzt sondern einsicher konfigurierte Systeme. Ist 2012 R2 nicht sogar auch schon im extended Supportzeitraum?