Dateien per Verschlüsselungs-Trojaner CryptoLocker/Cyrypt0L0cker verschlüsselt

[JackOh]

Auch ich habe nun mit dem CryptoLocker/Cyrypt0L0cker Trojaner zu tun. Jemand hat den Button in einer angeblichen o2-Mail mit einem angeblich offenen Betrag angeklickt und der Horror ging los. Es wurden sämtliche Dateien auf dem PC verschlüsselt (Hinter den Dateiendungen werden noch so was wie .abcdefg... hinzugefügt und die Dateien lassen sich nicht mehr öffnen. Der Erpresser fordert Geld für die Entschlüsselung.
Hinzu kommt, dass der Trojaner sich über die gleichen Rechte wie der aktuell eingeloggte User einfach Zugang zu den Netzlaufwerken auf der Diskstation verschafft und die Dateien dort auch infiziert hat. Meine Hoffnung war, das Backup zurückzuholen. Leider funktioniert das nicht, da Hyper Backup nichts zum Wiederherstellen findet, obwohl laut Status eine Sicherung am Vortag der Katastrophe existiert.



Die Planung für die Sicherung habe ich abgeschaltet, damit die Daten nicht überschrieben werden. Der Support hat keine Lösung. Ich würde gerne eine Datenrettung der gesamten Synologie Daten durchführen. Womit kann man das am besten machen?

 

[dil88]

Du könntest die externe Platte an einen Rechner hängen und die Wiederherstellung per Hyper Backup Explorer versuchen.

 

[blinddark]

Ich würde das NaS einmal komplett platt machen und dann die Datensicherung wieder einspielen.

 

[JackOh]

@dil88: Stimmt, so kann ich es ja machen. Woher bekomme ich Hyper Backup Explorer? Könnte ich die Platte auch mit R-Studio scannen? Oder ist sie nicht mit dem Windows-Filesystem formatiert?

@blinddark: Sowohl die Daten auf der Diskstation als auch auf der USB Platte sind verschlüsselt/infiziert.

 

[tuep]

Wenn das Backup auch verschlüsselt ist, kann Hyper Backup das natürlich auch nicht finden.
Ein anderes Backup gibt es nicht?

 

[independence2206]

Klugscheißen im Nachgang ist natürlich einfach aber wieso hat der User der die Schad-Email ausgeführt hat Benutzerrechte für den gemeinsamen Ordner auf dem das Backup liegt?

Den Hyper Backup Explorer kannst du auf der Synology Webseite downloaden und installieren

 

[Perry2000]

Scheisse.....
Ihr hattet die USB Platte immer angesteckt? Das ist dann natürlich nicht wirklich ein Backup :-(
So wirds wohl sehr schwierig. Vielleicht kann dir hier jemand helfen: http://www.trojaner-board.de Aber vermutlich ist es dazu zu spät.
Eigentlich dachte ich, dass ein Verschlüsselungs-Trojaner ein Hyper Backup nicht verschlüsseln kann. Aber es bewahrheitet sich mal wieder: mann lernt nie aus.

EDIT: Teste mal eine verschlüsselte Datei hier: https://id-ransomware.malwarehunterteam.com/index.php?lang=de_DE

 

[JackOh]

Klugscheißen im Nachgang ist natürlich einfach aber wieso hat der User der die Schad-Email ausgeführt hat Benutzerrechte für den gemeinsamen Ordner auf dem das Backup liegt?

Den Hyper Backup Explorer kannst du auf der Synology Webseite downloaden und installieren

Also das ist mir ebenfalls schleierhaft, wie der Trojaner an die USB Platte drankam. Sie ist gar nicht freigegeben. Aber die Daten darauf sind auch verschlüsselt. Und die Sicherung lief am Abend am Vortag. Der Befall ereignete sich dann am nächsten Mittag. Also kann die Sicherung nicht die Daten von der Diskstation per Sicherung auf die USB HDD übertragen haben.

 

[Hispeed]

Ein sehr interessanter Fall. Mit welchen Berechtigungen sind die User ausgerüstet und mit welchem User machst du das Hyper Backup und was für Rechte hat der?

 

[TeXniXo]

AVAST hat für Windows ein Ransom-Entschlüsselungstool veröffentlicht:
https://www.avast.com/ransomware-decryption-tools

Ob das in deinem Fall - wenn du die Backups auf Windows ziehst - hilft, lässt sich schwer einschätzen.

 

[Perry2000]

Versuchs auch einmal mit https://decrypter.emsisoft.com/
Emsisoft wird auch von Trojaner Board empfohlen.......

Sorry für die Werbung. Ich arbeite nicht da, aber wenn es hilft ;-)

 

[JackOh]

AVAST hat für Windows ein Ransom-Entschlüsselungstool veröffentlicht:
https://www.avast.com/ransomware-decryption-tools

Ob das in deinem Fall - wenn du die Backups auf Windows ziehst - hilft, lässt sich schwer einschätzen.

So eine Liste hat Kaspersky auch, aber natürlich, wie sollte auch anders sein, ist der CryptoLocker nicht dabei :-(

 

[JackOh]

Versuchs auch einmal mit https://decrypter.emsisoft.com/
Emsisoft wird auch von Trojaner Board empfohlen.......

Sorry für die Werbung. Ich arbeite nicht da, aber wenn es hilft ;-)

Auch diese Seite kenne ich. Aber ich werde es dennoch damit mal probieren.

 

[JackOh]

Ein sehr interessanter Fall. Mit welchen Berechtigungen sind die User ausgerüstet und mit welchem User machst du das Hyper Backup und was für Rechte hat der?

Es ist ein User mit Admin-Rechten, aber kein "admin" als Username für Hyper Backup. Die anderen User haben nur Zugriff auf manche Gemeinsamen Ordner mit Lese/Schreibrechten.

Dieses fiese Ding hat sogar die Papierkörbe der gemeinsamen Ordner befallen!!!

 

[JackOh]

Ich scanne gerade die USB Platte mit R-Studio und werde von dem Ergebnis berichten.

 

[TeXniXo]

Ja, bitte darum. Deine Erkenntnisse sind sicher relevant für uns und andere User, die hiervon betroffen sein könnten!

 

[handango]

Mit Spannung und wachsendem Unwohlsein habe ich diesen Thread gelesen - für cloudstation backup und Sync hat mein user auch admin rechte - - das ändere ich gerade!


Kann eine ext. HDD die als Shared Folder usbshare1 mit der Option:" verbergen sie diesen gemeinsamen Ordner unter Netzwerkumgebung" konfiguriert wurde immer noch angegriffen werden?
Theoretisch wäre es immer noch ein freigegebenes VErzeichnis...
Wenn ich dann für die normalen WindowsLaufwerksfreigaben einen User verwende der keine Rechte(und auch keine admin rechte hat) auf den ext. Hdd backup Ordner hat sollte der hier geschilderte Angriff fehlschlagen.
Oder gibt auch das noch keine Sicherheit?

 

[JackOh]

Mit Spannung und wachsendem Unwohlsein habe ich diesen Thread gelesen - für cloudstation backup und Sync hat mein user auch admin rechte - - das ändere ich gerade!


Kann eine ext. HDD die als Shared Folder usbshare1 mit der Option:" verbergen sie diesen gemeinsamen Ordner unter Netzwerkumgebung" konfiguriert wurde immer noch angegriffen werden?
Theoretisch wäre es immer noch ein freigegebenes VErzeichnis...
Wenn ich dann für die normalen WindowsLaufwerksfreigaben einen User verwende der keine Rechte(und auch keine admin rechte hat) auf den ext. Hdd backup Ordner hat sollte der hier geschilderte Angriff fehlschlagen.
Oder gibt auch das noch keine Sicherheit?

Wirklich gute Frage. Ich habe keine Ahnung. Ich denke, der Normal-User sollte auf keinen Fall Zugriffsrechte auf die USB Platte haben. Der Trojaner geht den einfach gleichen Weg, den der eingeloggte User gehen kann. Wo er drankommt wird verschlüsselt.

R-Studio findet jedenfalls KEINE einzige gelöschte Datei auf der USB HDD Das war meine letzte Hoffnung. Wie kann das sein? Die Software findet nur die verschlüsselten Dateien, mehr nicht. Und die Software hat mir in Vergangenheit einige gelöschte Dateien gefunden und gerettet.

 

[tschortsch]

HyperBackup sichert (ohne bseondere einstellungen) auch in einer versionierte Datenbank (kein reines duplizieren von DS auf USB)- da kommst du von haus aus nur mit einer DS oder dem HyperBackupExplorer unter windows ran.
Wenn aber diese Dateien von eine Cryptolocker verschlüsselt wurden und es kein Tool zum entschlüsseln gibt siehts wohl schlecht aus für dich.
Da hilft auch kein R-Studio oder andere Datenrettungssoftware da deine Datei nicht als Datei auf der Festplatte liegt sondern praktisch 2x verschlüsselt ist (1x Datenbank, 1x Cryptolocker).

Ohne richtiges (extern, abgesteckt, offline) Backup sehe ich da schwarz

PS für die Zukunft:
1. Jeder User der in der Admin Gruppe ist hat überall Adminrechte auch wenn er in einer anderen Gruppe ausgeschlossen ist... Sonst hätte ein Admin ja quasi nirgends rechte...
2. Auch werden USB Platte automatisch von der DS unter USBShareX eingebunden. Admin User haben da immer Zugriff ohne besondere einstellungen.

 

[JackOh]

Hmm, aber: Wenn die Dateien in irgendeiner Art und Weise verändert werden, sollte die Versionierung greifen und die noch unverschlüsselte Version bieten. Hyper Backup hat ja 12 Stunden vorher gesichert und zeigt die letzte Sicherung zumindest als Datum an. Aber sonst sieht man das Backup nirgends im HB Fenster. Und soviel ich verstanden habe, geht der Trojaner hin und kopiert die Datei vor dem Verschlüsseln und löscht dann das Original. Aber bin mir da nicht sicher.

Derjenige, der Admin-Rechte hat, ist ja ein User, der die DSM bedient. Die Win-User haben keine Admin-Rechte, dass die einfach auf die USB Platte können.