Revision history for erdaxoITransomLog
Additions:
Wir haben in diesem Fall mit etwas Glück - insbesondere aber mit Hartnäckigkeit und Erfahrung mit unterschiedlichsten Szenarien in der Informationstechnik sowie mit einer innovativen Werkstatt - dem Kunden umfassend helfen können. Dennoch ist hier ein Schaden eingetreten, der gerichtlich geltend gemacht werden musste. Für alle Beteiligten unbefriedigend. Dabei war der Zwischenfall absolut vermeidbar - Kunden, die unseren Schutz genießen, müssen derartige Fälle nicht beklagen.
Bemerkenswert ist auch, dass es uns nicht gelungen ist, nach dem Zwischenfall eine Zusammenarbeit mit Polizeibehörden oder Unternehmerorganisationen aufzubauen. Das für andere nützliche Know-How, das wir teilweise kostenlos zur Verfügung stellen, bleibt damit leider nur uns vorbehalten. Dabei könnten wir mit unserer Forensik-Werkstatt den Ermittlern für genauere Eingrenzung der Straftaten sorgen, Beweise gerichtsfest sichern und den Betroffenen bei Beseitigung der Folgen derartiger Zwischenfälle effektiv helfen. Für entsprechende Zusammenarbeit stehen wir jedenfalls zur Verfügung! [[http://net4lawyer.com/erdaxo_message.php Fragen Sie uns, wenn Sie interessiert sind!]]
Bemerkenswert ist auch, dass es uns nicht gelungen ist, nach dem Zwischenfall eine Zusammenarbeit mit Polizeibehörden oder Unternehmerorganisationen aufzubauen. Das für andere nützliche Know-How, das wir teilweise kostenlos zur Verfügung stellen, bleibt damit leider nur uns vorbehalten. Dabei könnten wir mit unserer Forensik-Werkstatt den Ermittlern für genauere Eingrenzung der Straftaten sorgen, Beweise gerichtsfest sichern und den Betroffenen bei Beseitigung der Folgen derartiger Zwischenfälle effektiv helfen. Für entsprechende Zusammenarbeit stehen wir jedenfalls zur Verfügung! [[http://net4lawyer.com/erdaxo_message.php Fragen Sie uns, wenn Sie interessiert sind!]]
Deletions:
Additions:
===== Logbuch eines Ransomware-Angriffs =====
Deletions:
Additions:
== unsere Erfahrungen bei Unterstützung eines Kunden ==
Nachstehend finden Sie eine detaillierte Darstellung eines IT-Zwischenfalls, zu dem wir - leider - erst nach Eintritt des //worst case// hinzugezogen wurden. Wir haben dem Kunden glücklicherweise recht gut helfen können. Wir müssen allerdings zugeben, dass wir (mit Blick auf die Folgen für den Kunden) viel lieber vorbeugend tätig geworden wären... Deshalb betrachten wir die folgende Darstellung als eine Gelegenheit für unsere künftigen Kunden, über die Sicherheit ihrer Systeme rechtzeitig nachzudenken. [[http://net4lawyer.com/erdaxo_message.php Bei Bedarf helfen wir gern]]!
Server geht wieder nicht! Anruf bei C: MA kommt gleich vorbei. An den Server werden Monitor und Tastatur angeschlossen. Dateien mit neuen Endungen versehen (##.Lazarus+##) und verschlüsselt. Kein Betrieb möglich. Internet-Recherche: offensichtlich ein Ransomware-Angriff! Es existiert eine interne Datensicherungsfestplatte.
Telefonat mit der Polizei. Zuständiger Kommissar (K) nimmt den Sachverhalt zur Kenntnis. Bittet um Bildschirmfotos und Anzeige per Email. Empfiehlt die Webseite //nomoreransomware.com//.
Erneutes Telefonat mit der Polizei, K. Schlechte Aussichten, die Daten zurückzuerhalten. Es seien Fälle bekannt, in denen nur die Zahlung des Lösegeldes geholfen hat. Notfalls müsse der Kunde dies für sich auch ins Auge fassen.
Nachtrag:
Wir haben in diesem Fall mit etwas Glück - insbesondere aber mit Hartnäckigkeit und unserer Erfahrung mit unterschiedlichsten Szenarien in der Informationstechnik sowie mit einer innovativen Werkstatt - dem Kunden umfassend helfen können. Dennoch ist hier ein Schaden eingetreten, der gerichtlich geltend gemacht werden musste. Für alle Beteiligten unbefriedigend.
Nachstehend finden Sie eine detaillierte Darstellung eines IT-Zwischenfalls, zu dem wir - leider - erst nach Eintritt des //worst case// hinzugezogen wurden. Wir haben dem Kunden glücklicherweise recht gut helfen können. Wir müssen allerdings zugeben, dass wir (mit Blick auf die Folgen für den Kunden) viel lieber vorbeugend tätig geworden wären... Deshalb betrachten wir die folgende Darstellung als eine Gelegenheit für unsere künftigen Kunden, über die Sicherheit ihrer Systeme rechtzeitig nachzudenken. [[http://net4lawyer.com/erdaxo_message.php Bei Bedarf helfen wir gern]]!
Server geht wieder nicht! Anruf bei C: MA kommt gleich vorbei. An den Server werden Monitor und Tastatur angeschlossen. Dateien mit neuen Endungen versehen (##.Lazarus+##) und verschlüsselt. Kein Betrieb möglich. Internet-Recherche: offensichtlich ein Ransomware-Angriff! Es existiert eine interne Datensicherungsfestplatte.
Telefonat mit der Polizei. Zuständiger Kommissar (K) nimmt den Sachverhalt zur Kenntnis. Bittet um Bildschirmfotos und Anzeige per Email. Empfiehlt die Webseite //nomoreransomware.com//.
Erneutes Telefonat mit der Polizei, K. Schlechte Aussichten, die Daten zurückzuerhalten. Es seien Fälle bekannt, in denen nur die Zahlung des Lösegeldes geholfen hat. Notfalls müsse der Kunde dies für sich auch ins Auge fassen.
Nachtrag:
Wir haben in diesem Fall mit etwas Glück - insbesondere aber mit Hartnäckigkeit und unserer Erfahrung mit unterschiedlichsten Szenarien in der Informationstechnik sowie mit einer innovativen Werkstatt - dem Kunden umfassend helfen können. Dennoch ist hier ein Schaden eingetreten, der gerichtlich geltend gemacht werden musste. Für alle Beteiligten unbefriedigend.
Deletions:
Nachstehend finden Sie eine detaillierte Darstellung eines IT-Zwischenfalls, zu dem wir - leider - erst nach Eintritt des //worst case// hinzugezogen wurden. Wir haben dem Kunden glücklicherweise recht gut helfen können. Wir müssen allerdings zugeben, dass wir (mit Blick auf die Folgen für den Kunden) viel lieber vorbeugend tätig gewesen wären... Deshalb betrachten wir die folgende Darstellung als eine Mahnung und Gelegenheit für unsere künftigen Kunden, über die Sicherheit ihrer Systeme rechtzeitig nachzudenken. [[http://net4lawyer.com/erdaxo_message.php Bei Bedarf helfen wir gern]]!
Server funktioniert wieder nicht! Anruf bei C: MA kommt gleich vorbei. An den Server werden Monitor und Tastatur angeschlossen. Dateien mit neuen Endungen versehen (##.Lazarus+##) und verschlüsselt. Überall Textdateien mit Nachricht, wie im Bild zu lesen:
{{image url="http://net4lawyer.com/imageshare/encrypt_message.jpeg" title="Nachricht der Erpresser" alt="Bild der Nachricht der Erpresser"}}
Kein Betrieb möglich. Internet-Recherche: offensichtlich ein Ransomware-Angriff! Es existiert eine interne Datensicherungsfestplatte.
Telefonat mit der Polizei. Zuständiger Kommissar (K) nimmt den Sachverhalt zur Kenntnis. Bittet um Bildschirmfotos und Anzeige per Email. Empfiehlt die Webseite //Nomoreransomware.com//.
Erneutes Telefonat mit der Polizei (K). Schlechte Aussichten, die Daten zurückzuerhalten. Es seien Fälle bekannt, in denen nur die Zahlung des Lösegeldes geholfen hat. Notfalls müsse der Kunde dies für sich auch ins Auge fassen.
Additions:
Nachstehend finden Sie eine detaillierte Darstellung eines IT-Zwischenfalls, zu dem wir - leider - erst nach Eintritt des //worst case// hinzugezogen wurden. Wir haben dem Kunden glücklicherweise recht gut helfen können. Wir müssen allerdings zugeben, dass wir (mit Blick auf die Folgen für den Kunden) viel lieber vorbeugend tätig gewesen wären... Deshalb betrachten wir die folgende Darstellung als eine Mahnung und Gelegenheit für unsere künftigen Kunden, über die Sicherheit ihrer Systeme rechtzeitig nachzudenken. [[http://net4lawyer.com/erdaxo_message.php Bei Bedarf helfen wir gern]]!
Deletions:
Additions:
Nachstehend finden Sie eine detaillierte Darstellung eines IT-Zwischenfalls, zu dem wir - leider - erst nach Eintritt des //worst case// hinzugezogen wurden. Wir haben dem Kunden glücklicherweise recht gut helfen können. Wir müssen allerdings zugeben, dass wir (mit Blick auf die Folgen für den Kunden) viel lieber vorbeugend tätig gewesen wären... Deshalb betrachten wir die folgende Darstellung als eine Gelegenheit für unsere künftigen Kunden, über die Sicherheit ihrer Systeme rechtzeitig nachzudenken. [[http://net4lawyer.com/erdaxo_message.php Bei Bedarf helfen wir gern]]!
Deletions:
Additions:
== unsere Erfahrungen aus einem Kundenauftrag ==
Erneutes Telefonat mit der Polizei (K). Schlechte Aussichten, die Daten zurückzuerhalten. Es seien Fälle bekannt, in denen nur die Zahlung des Lösegeldes geholfen hat. Notfalls müsse der Kunde dies für sich auch ins Auge fassen.
Erneutes Telefonat mit der Polizei (K). Schlechte Aussichten, die Daten zurückzuerhalten. Es seien Fälle bekannt, in denen nur die Zahlung des Lösegeldes geholfen hat. Notfalls müsse der Kunde dies für sich auch ins Auge fassen.
Deletions:
Erneutes Telefonat mit der Polizei, K. Schlechte Aussichten, die Daten zurückzuerhalten. Es seien Fälle bekannt, in denen nur die Zahlung des Lösegeldes geholfen hat. Notfalls müsse der Kunde dies für sich auch ins Auge fassen.
Additions:
Server funktioniert wieder nicht! Anruf bei C: MA kommt gleich vorbei. An den Server werden Monitor und Tastatur angeschlossen. Dateien mit neuen Endungen versehen (##.Lazarus+##) und verschlüsselt. Überall Textdateien mit Nachricht, wie im Bild zu lesen:
Kein Betrieb möglich. Internet-Recherche: offensichtlich ein Ransomware-Angriff! Es existiert eine interne Datensicherungsfestplatte.
Kein Betrieb möglich. Internet-Recherche: offensichtlich ein Ransomware-Angriff! Es existiert eine interne Datensicherungsfestplatte.
Deletions:
Additions:
{{image url="http://net4lawyer.com/imageshare/encrypt_message.jpeg" title="Nachricht der Erpresser" alt="Bild der Nachricht der Erpresser"}}
Deletions:
Additions:
{{files}}
No Differences
Additions:
Ein normaler Betrieb ist an beiden Standorten wieder möglich.
Deletions:
Additions:
##irgendwann im Oktober##
Ein normaler Betrieb ist an beiden Standorten ist wieder möglich.
E liefert ein neues Serversystem auf Basis von FreeBSD und ZFS. Snapshots, Replikation der Daten auf andere Maschinen sowie sichere Konfiguration des Routers ermöglichen sicheren und unterbrechungsfreien Betrieb bis heute... E übernimmt Wartung, Verträge mit C werden aufgelöst.
Ein normaler Betrieb ist an beiden Standorten ist wieder möglich.
E liefert ein neues Serversystem auf Basis von FreeBSD und ZFS. Snapshots, Replikation der Daten auf andere Maschinen sowie sichere Konfiguration des Routers ermöglichen sicheren und unterbrechungsfreien Betrieb bis heute... E übernimmt Wartung, Verträge mit C werden aufgelöst.
Deletions:
Additions:
##16.57 Uhr##
##15. 12.##
E liefert ein neues Serversystem auf Basis von FreeBSD und ZFS. Snapshots, Replikation der Daten auf andere Maschinen sowie sichere Konfiguration des Routers ermöglichen sicheren und unterbrechungsfreien Betrieb bis heute...
CategoryErdaxoIT
##15. 12.##
E liefert ein neues Serversystem auf Basis von FreeBSD und ZFS. Snapshots, Replikation der Daten auf andere Maschinen sowie sichere Konfiguration des Routers ermöglichen sicheren und unterbrechungsfreien Betrieb bis heute...
CategoryErdaxoIT
Deletions:
Additions:
Unser Kunde, dessen Unternehmen betroffen war, ist ein Freiberufler mit einigen Mitarbeitern und insgesamt ca. 10 Computerarbeitsplätzen. Er arbeitet mit Branchensoftware, die von einem zentralen Rechner (Server) im lokalen Netzwerk zur Verfügung gestellt wird. Zum damaligen Zeitpunkt arbeitete der Kunde mit zwei Standorten, die mit einer VPN-Leitung verbunden waren, so dass insgesamt ca. 15 Arbeitsplätze mit dem Server verbunden waren. Dann geschah Folgendes:
Deletions:
verbunden waren. An dieser Stelle setzen wir an...
Der Tag, an dem alles begann:
Additions:
Nachstehend finden Sie eine detaillierte Darstellung eines IT-Zwischenfalls, zu dem wir - leider - erst nach Eintritt des //worst case// hinzugezogen wurden. Wir haben dem Kunden glücklicherweise recht gut helfen können. Wir müssen allerdings zugeben, dass wir (mit Blick auf die Folgen für den Kunden) viel lieber vorbeugend tätig geworden wären... Deshalb betrachten wir die folgende Darstellung als eine Gelegenheit für unsere künftigen Kunden, über die Sicherheit ihrer Systeme rechtzeitig nachzudenken. [[http://net4lawyer.com/erdaxo_message.php Bei Bedarf helfen wir gern]]!
Deletions:
Additions:
Nachstehend finden Sie eine detaillierte Darstellung eines IT-Zwischenfalls, zu dem wir - leider - erst nach Eintritt des //worst case// hinzugezogen wurden. Wir haben dem Kunden glücklicherweise recht gut helfen können. Wir müssen allerdings zugeben, dass wir (mit Blick auf die Folgen für den Kunden) viel lieber vorbeugend tätig geworden wären... Deshalb betrachten wir die folgende Darstellung als eine Gelegenheit für unsere künftigen Kunden, über die Sicherheit ihrer Systeme rechtzeitig nachzudenken. Bei Bedarf helfen wir gern!
Deletions:
Additions:
Die Kontaktaufnahme ist - unter Einhaltung jeglicher Vorsichtsmaßnahmen - erfolgreich, der Programmierer ist in der Lage, Dateibeispiele zu entschlüsseln. Er übersendet ein Entschlüsselungsprogramm und Codes für dessen Bedienung.
##26. 9.##
##Daten##
E stellt ein Inselsystem zur Wiederherstellung der Daten auf. Damit und mit den vom kontaktierten Programmierer zur Verfügung gestellten Werkzeugen gelingt die Entschlüsselung der kompletten Daten!
##Unternehmen##
Eingeschränkter Betrieb am Standort 1, Teil der Funktionen der Branchensoftware noch nicht ganz lauffähig. Auch Einbindung der Peripheriegeräte scheitert teilweise noch. Teilweise erfolg dank Unterstützung des Herstellers der Branchensoftware.
Standort 2 nach wie vor geschlossen. Verbindung mit Standort 1 gelingt diesmal aber.
##27. 9.##
##Standort 1##
Noch eingeschränkter Betrieb hier, nicht alle Funktionen vorhanden, auch wenn einzelne wieder eingeschaltet werden.
##Standort 2##
Eingeschränkter Betrieb.
##Daten##
E ist in der Lage, wiederhergestellte Daten mit dem aktuellen Bestand zu vereinigen.
##29. 9.##
E spielt die vereinigten Daten auf den Server am Standort 1 auf.
##26. 9.##
##Daten##
E stellt ein Inselsystem zur Wiederherstellung der Daten auf. Damit und mit den vom kontaktierten Programmierer zur Verfügung gestellten Werkzeugen gelingt die Entschlüsselung der kompletten Daten!
##Unternehmen##
Eingeschränkter Betrieb am Standort 1, Teil der Funktionen der Branchensoftware noch nicht ganz lauffähig. Auch Einbindung der Peripheriegeräte scheitert teilweise noch. Teilweise erfolg dank Unterstützung des Herstellers der Branchensoftware.
Standort 2 nach wie vor geschlossen. Verbindung mit Standort 1 gelingt diesmal aber.
##27. 9.##
##Standort 1##
Noch eingeschränkter Betrieb hier, nicht alle Funktionen vorhanden, auch wenn einzelne wieder eingeschaltet werden.
##Standort 2##
Eingeschränkter Betrieb.
##Daten##
E ist in der Lage, wiederhergestellte Daten mit dem aktuellen Bestand zu vereinigen.
##29. 9.##
E spielt die vereinigten Daten auf den Server am Standort 1 auf.
Deletions:
Additions:
Erneutes Telefonat mit der Polizei, K. Schlechte Aussichten, die Daten zurückzuerhalten. Es seien Fälle bekannt, in denen nur die Zahlung des Lösegeldes geholfen hat. Notfalls müsse der Kunde dies für sich auch ins Auge fassen.
Im Hinblick auf die verschlüsselten Daten empfiehlt E vorerst keine Kontaktaufnahme mit den Erpressern. Dies müsste vorsichtig erfolgen und erst dann, wenn klar ist, dass
a) es nicht anders möglich ist, an die Daten heranzukommen, und
b) die Daten noch wertvoll genug sind, d. h. wir sie noch wirklich benötigen und nicht durch etwas anderes ersetzen können.
##25. 9.##
##verschlüsselte Daten##
E sucht nach einer Lösung für die verschlüsselten Daten. Kontaktaufnahme mit Erpressern erfolgt nicht.
Über https://www.nomoreransom.org wird die Art des Angriffs spezifiziert. Dies ermöglicht eine genauere Suche der Ursachen und Umstände des Zwischenfalls. Dadurch wird auch die Diskussion im Forum auf https://bleepingcomputer.com gefunden, die sich auf genau diese Art von Angriff bezieht.
Die genaue Analyse der Diskussion und der Aussagen ermöglicht E schließlich, einen Programmierer zu kontaktieren, der in der Lage wäre, die Daten (kostenlos!) zu entschlüsseln.
Die Kontaktaufnahme ist erfolgreich, der Programmierer ist in der Lage, Dateibeispiele zu entschlüsseln. Er übersendet ein Entschlüsselungsprogramm und Codes für dessen Bedienung.
##am Standort 1##
Eingeschränkter Betrieb ist möglich. C ist vorerst nicht in der Lage, Standort 2 mit Standort 1 zu verbinden.
Im Hinblick auf die verschlüsselten Daten empfiehlt E vorerst keine Kontaktaufnahme mit den Erpressern. Dies müsste vorsichtig erfolgen und erst dann, wenn klar ist, dass
a) es nicht anders möglich ist, an die Daten heranzukommen, und
b) die Daten noch wertvoll genug sind, d. h. wir sie noch wirklich benötigen und nicht durch etwas anderes ersetzen können.
##25. 9.##
##verschlüsselte Daten##
E sucht nach einer Lösung für die verschlüsselten Daten. Kontaktaufnahme mit Erpressern erfolgt nicht.
Über https://www.nomoreransom.org wird die Art des Angriffs spezifiziert. Dies ermöglicht eine genauere Suche der Ursachen und Umstände des Zwischenfalls. Dadurch wird auch die Diskussion im Forum auf https://bleepingcomputer.com gefunden, die sich auf genau diese Art von Angriff bezieht.
Die genaue Analyse der Diskussion und der Aussagen ermöglicht E schließlich, einen Programmierer zu kontaktieren, der in der Lage wäre, die Daten (kostenlos!) zu entschlüsseln.
Die Kontaktaufnahme ist erfolgreich, der Programmierer ist in der Lage, Dateibeispiele zu entschlüsseln. Er übersendet ein Entschlüsselungsprogramm und Codes für dessen Bedienung.
##am Standort 1##
Eingeschränkter Betrieb ist möglich. C ist vorerst nicht in der Lage, Standort 2 mit Standort 1 zu verbinden.
Deletions:
Additions:
##21. 9.##
Vorbereitung des Linux-Servers durch E.
##22. 9.##
Montage und Inbetriebnahme des Linux-Servers am Standort 1 durch E.
##23. 9.##
Wiederherstellung des Backups aus Altdaten (5. 7.) und Übernahme im neuen System. Unternehmensbetrieb ruht weiterhin.
##24. 9.##
Stark eingeschränkter Betrieb am Standort 1, zahlreiche Geräte funktionieren noch nicht wie gewohnt, u. a. Drucker, Scanner. Terminkalender ist leer durch Altdatenbestand. Branchensoftware wird mit Hilfe des Anbieters langsam in die Infrastruktur eingebunden. Standort 2 bleibt geschlossen.
Vorbereitung des Linux-Servers durch E.
##22. 9.##
Montage und Inbetriebnahme des Linux-Servers am Standort 1 durch E.
##23. 9.##
Wiederherstellung des Backups aus Altdaten (5. 7.) und Übernahme im neuen System. Unternehmensbetrieb ruht weiterhin.
##24. 9.##
Stark eingeschränkter Betrieb am Standort 1, zahlreiche Geräte funktionieren noch nicht wie gewohnt, u. a. Drucker, Scanner. Terminkalender ist leer durch Altdatenbestand. Branchensoftware wird mit Hilfe des Anbieters langsam in die Infrastruktur eingebunden. Standort 2 bleibt geschlossen.
Additions:
----
==== das Protokoll ====
==== das Protokoll ====
