Hallo,

ich habe mehrere Rechner bzw. Freigaben im Netz die verschlüsselt sind.
Kurzer Rückblick;
Es lagen u.a "HELP_DECRYPT.HTML" in den betroffenen Verzeichnissen. Die verschlüsselten Dateien wurde nicht umbenannt, und auch die Dateiendung blieb umgeändert.
Nachdem wir das Einfallstor (USER) geschlossen hatten war Ruhe (keine weiteren Dateien gefunden).
Malwarebytes und Trendmicro haben keine Auffälligkeiten mehr gefunden.
48 Stunden später wurden wieder verschlüsselte Dateien gefunden, diesmal lagen keine Hinweis-Dateien mehr in den betreffenden Verzeichnisses. Jedoch wurde die Dateiendungen auf "*.ccc" geändert.
Die Daten sind futsch, kann ich aber aus der Sicherung wiederherstellen. Wie kann ich sicher gehen denn Verursacher auch zu finden ? Soweit ich das verstanden habe arbeitet z.b. die neuste Version von Teslacryt (7?) nicht mehr mit lokalen Dateien, also ist auch nicht s mehr zu finden ??!!
Ideen ?

Danke

Zitat:

Zitat von hauptplatine

Wie kann ich sicher gehen denn Verursacher auch zu finden ?

Schauen wer der Besitzer der Datei ist. Das könnte ein Anhaltpunkt ein. Und schauen was der Server an Protokollierfunktionen mitbringt. Was für ein Server das ist, der die Freigaben bereitstellt, hast du ja leider nicht nicht geschrieben.

Windows 2003 Server mit SP2
Der Schadcode müsste nach meinem Verständnis im Arbeitsspeicher gehalten und ausgeführt werden, ein Neustart des betreffenden Systems sollte dem Spuk ein Ende machen (Teslacrpyt neuste Version) oder ?!

Computerverwaltung => System => Freigegebene Ordner => Geöffnete Dateien

Da siehst du welcher User wo genau seine Griffel drauf hat.

Und mal so nebenbei, Windows Server 2003 ist mega-alt, wird seit vier Monaten nicht mehr supportet von MS. Einen Server so produktiv noch einzusetzen halte ich für grobfahrlässig.

Gute werde ich mal schauen, zum alter des Systems, stimmt. Windows 2012 wird derzeit ausgerollt bei uns, hat uns halt vorher erwischt :-/
P.S.: Terminalserver sind 2008R2 "nur" der Fileserver ist noch ein 2003er (noch)

Das mit Windows 2003 war nur nebenbei, allein ein aktueller Windows-Server hilft auch nicht gegen die Verschlüsselungsmalware.

System (Fileserver) ist noch in Quarantäne daher offline bzw. keine Freigaben.
Verschlüsselte Dateien mit der Endung *.ccc haben den Besitzer "SYSTEM"

Wieso ist der Server in Quarantäne? Die Verschlüsselungsmalware wurde von dem doch garnicht ausgeführt, sondern von einem Client.

Stimmt aber da der Verursacher ein Terminaluser mit Thin-Client ist mussten wir die Ressourcen offline nehmen, da die Die Verschlüsselungsmalware auch Ressourcen verschlüsselt hatte wo der Verursacher keine Rechte drauf hatte, ab da wird's dann undurchsichtig....

Diese Info hast du vorher aber nicht gepostet

Als remotedesktop user sieht das nämlich schon anders aus. Und da ist die Frage wie viele Rechte dieser User denn am Terminalserver hat. Ich kenn das aus alten Windows-200x-Server-Tagen, dass man den Leuten schnell mal volle Rechte gegeben hat, weil da irgendeine depperte billig-ERP-oder-sonstwas-Software sonst nicht laufen wollte oder abstürzte.

Hatte der User nur normale Rechte, also ein ganz normaler Remotedesktop-User, stellt sich die Frage, wie ein limitierter Benutzer Änderungen an Systemdateien vornehmen kann. Keine Ahnung ob aktuellere Varianten der Verschlüsselungszecken jetzt schon Lücken im OS ausnutzen für Privilege Escalation, eigentlich ist der Aufwand zu hoch und rechtfertigt den Nutzen nicht, denn die Erpresser erreichen ihr Ziel ja schon wenn sie nur die Nutzerdaten verschlüsseln. Dafür braucht es keine Adminrechte auf der Maschine.

Welche Verzeichnisse wurden denn verschlüsselt, obwohl der User, der den ransom doppelklickt, keine Rechte darauf hatte?
Und sicher, dass er der User war?
Sicher, dass nicht irgendwie ein dicker Rechtedschungel, den Überblick auf den IST-Zustand der Berechtigungen verfälscht?

Also lokale Systemdateien wurde nicht angefasst nur SMB Freigaben wo aber vermeintliche Anwender aber auch keine Rechte hat. Was hier jedoch übereinstimmt ist "SYSTEM", viel weiter bin ich auch noch nicht gekommen.

Wie siehts mit "meiner" Neustart-Theorie aus? Stoppt das die Verbreitung...

Schaden kann ein reboot nicht. Und automatisch starten kann der Schädling sich auch nicht wieder, da der Benutzer, der ihn ausführte, ja keine Adminrechte hat (hatte). Das wäre ja erst dann wieder der möglich, wenn du dich mit dem Konto anmeldest.

Also 30 mal reboot ;-) Meld mich, Danke soweit.

MfG

Wieso denn jetzt die Clients? Ich dachte du sprichst vom Server
Wie kann denn da der Server überhaupt nopch von den Clients betroffen sein, da sagtest doch er sei offline??

Irgendwie reden wir gerade aneinander vorbei?!

Besser die komplette Windows Server Farm (ja 30)..., da der User auch auf unterschiedlichen Systemen (per RDP/Citirx) gearbeitet hat. Und wir bisher keine Erklärung haben, wieso die Verschlüsselungsmalware nach 48 Stunden wieder aktiv geworden ist, obwohl der vermeidliche Verursacher (USER) in der Zeit nicht angemeldet war (Profil gelöscht/User gesperrt).