Moin,
ich bin selbst ITler und normalerweise darf ich mich freuen, wenn unsere Kunden einen der bekannten Cryptotrojaner eingefangen haben und teilweise das Thema Datensicherung vernachlässigt haben. Nun bin ich jedoch selbst zum Opfer geworden, jedoch ist es bei uns etwas seltsam!

Durch Zufall habe ich heute Abend bemerkt, dass ein Bild (jpg) von einem Netzlaufwerk nicht korrekt in unsere Rechnungsmaske geladen wurde. Als ich nachschaute, bekam ich einen große Schrecken und dachte nur "SCHEI*****!!!!!" Cryptowall oder Locky eingefangen.

Alle bekannten Dateien (doc, pdf, exe, jpg,...) wurden als URSTPRUNGSDATEI.ENDING.fileiscryptedhard verschlüsselt.
Und in jedem Verzeichnis befindet sich eine Textdatei (READ TO DECRYPTIONS_.txt) mit folgenden Inhalt:

Zitat:

All your data files are crypted.
To decrypt files and gain access to them,
please send 0.5 Bitcoin to adress
194DQmxsSsM4Xp2CozvxatH2WkxA7AnV1f

and email to fn1573917917ja@163.com proof
(screen or TransID) of your payment.

After receiving the money, I will send you
your password and decrypt instruction via email.

You can also send a single crypted file and I
will send you the decryption for your peace of mind.

Wenn ich hiernach Google, finde ich nichts.
Das seltsame ist: Es sind nur die Netzlaufwerke auf einem Win2k8R2 (Domaincoltroller) und von einem Synology NAS verschlüsselt.
Da die Shares nur von Domänenbenutzer Berechtigungen haben, muss also die Schadsoftware auf einem Domänencomputer kommen. Seltsamerweise ist kein PC in der Domäne lokal betroffen.

Die Tools von Kaspersky und ESET helfen leider nicht.

Von den Dateien auf dem Server habe ich Backups und auch bereits wiederhergestellt. Vom NAS, wo u.a. viele gesammelte Images liegen, war die ordentliche Datensicherung noch nicht fertig im Einsatz :/

Jemand eine Schlaue Idee oder kennt jemanden diesen netten, scheinbar neuen Verschlüssler?

Ich wüsste nämlich gerne von wo er verschlüsselt und ob ich die verschlüsselten Dateien evtl. entschlüsseln kann...


1.000 Dank im Voraus!

moin

Evtl kannst du damit den ransom identifizieren => https://id-ransomware.malwarehunterteam.com/

Hi,
danke für den nützlichen Link. Leider wird er damit auch nicht erkannt.

Dann habt ihr das ne coole brandneue Version ist doch toll das neuste zu haben oder?

Also ich hab fast den Eindruck das ist was neues, weil die Teslacrypt-"Maintainer", Entwickler oder wie auch immer du die nennen willst - aufgegeben haben siehe Erpressungs-Trojaner TeslaCrypt gibt auf: Master-Schlüssel veröffentlicht | heise Security

gibt es hier auch ein Desktopbild zu der Meldung, oder nur rein als Text?

Es muss einer der Client PCs sein. Hier bräuchte man Logs und am Besten den Dropper. Dann kann man schauen.

Nur die Textdateien.
Ich habe mal eine Anfrage an die eMailadresse geschickt, wo ich die Zahlungsbestätigung hinsenden soll.
Er hat sogar geantwortet und netterweise als Beweis die verschlüsselte Datei die ich mitgeschickt habe, entschlüsselt zurück geschrieben und auf die Zahlung hingewiesen

Zitat:

fn1573917917ja@163.com:
after I recieve the money, I send you the password, decruptor and instruction how to decrypt other files

+ how to protect your server in future

machen die immer, die wollen ja das geld.....

Ahh, die geben einem auch gleich sinnigerweise Tipps, wie man sich vor ner erneuten Infektion bestmöglich schützt, das ist aber wirklich sehr ehrenhaft.

Voll die netten Erpresser, das hatten wir hier doch schon mal. Da kriegt man vielleicht (und selbst wenn es "wahrscheinlich" ist...) seine Daten wieder, aber man hat die ganze Masche damit auch noch unterstützt.

Überlege dir doch mal über welche Geräte/Accounts und zu welchem Zeitpunkt die Verschlüsselung durchgeführt wurde. Und dann würde ich alle betroffenen Geräte neu installieren.
Die genannte E-Mail-Adresse ist zudem per Google auffindbar. Ich würde das ganze professioneller aufziehen und für jedes Opfer automatisierte Accounts bei unterschiedlichen Hostern verwenden oder über Webformulare auf gehackten Webservern verschleiern.

Keine Ahnung aber vielleicht hilft es zudem der unter

http://www.whois.com/whois/163.com

angegebenen Abuse-E-Mail-Adresse mal zu schreiben. Vielleicht wird der genannte E-Mail-Account dann ja gesperrt.

Sieht nach Xorist aus. Decrypter gibts hier:

https://decrypter.emsisoft.com/xorist