Dann sind die Daten wohl verloren.
Backup-Systeme dürfen niemals lange am laufenden System hängen, schon gar nicht, wenn da was gemacht wird.

Das Sicherheitskonzept sollte hier grundlegend überdacht werden... nicht nur was Backups angeht.
Mich würde ja interssieren, wie die Ransomware auf das System kam... E-Mail, illegale Software, etc.
Hoffentlich wird daraus gelernt.

Diese Variante von "N3ww4v3" scheint in der Tat sehr neu zu sein:
BleepingComputer - N3ww4v3/Mimic Ransomware (.n3ww4v3) Support Topic

Wir können bei einem Supergau auch nicht helfen.

Da es hier nichts zu bereinigen gibt, verschiebe ich das Thema.

Zitat:

Zitat von M-K-D-B

Diese Variante von "N3ww4v3" scheint in der Tat sehr neu zu sein:

https://www.bleepingcomputer.com/for...3#entry5425921

Zitat:

Posted 29 October 2022 - 02:18 PM

This is N3ww4v3 Ransomware (Aliases: Mimic, Everything)
Your case for x64 systems.

The first activity was observed at the very end of July - at the very beginning of August. Pretty active now. Attack in different languages. We saw ransom notes in English and Russian.

Zitat:

Zitat von M-K-D-B

Mich würde ja interssieren, wie die Ransomware auf das System kam... E-Mail, illegale Software, etc.

Infos dazu sieht und liest man sehr selten. Fast immer wird in den Boards nur darüber berichtet, dass das Kind den Brunnen gefallen ist, aber nicht wie es zum Brunnen gekommen ist.

Zitat:

Zitat von M-K-D-B

Dann sind die Daten wohl verloren.
Backup-Systeme dürfen niemals lange am laufenden System hängen, schon gar nicht, wenn da was gemacht wird.

Ein NAS ist doch direkt im Netzwerk drin
Man darf halt nicht dauerhaft das Netzlaufwerk mit Schreibzugriff gemappt haben wenn es um eine Freigabe gibt, die ausschließlich Backups dient. Und für den Fall das das NAS kaputtgeht oder gar mal ein Feuerchen ausbricht, empfiehlt es sich noch regelmäßig Backups auf externen Festplatten durchzuführen. Das kann man dann sicher an einem anderen Ort verwahren.

Was mich interessiert: gehen die Kryptotrojaner nur auf gemappte Laufwerke los, oder versuchen die auch aufs Netzwerk zu gehen über UNC-Freigaben? Also was wie \\meinNAS oder \\192.168.2.123, weiß da jemand was?

Hallo. Also:

" Dann sind die Daten wohl verloren. " Das ist wohl erst mal so. Werde sie aber Sichern, man weiß ja nie.

" Backup-Systeme dürfen niemals lange am laufenden System hängen, schon gar nicht, wenn da was gemacht wird. "
Ich weiß das, keine Frage. Aber erst aus Fehlern lernt man. Leider.

" Das Sicherheitskonzept sollte hier grundlegend überdacht werden... nicht nur was Backups angeht. "
Das wird auch so nicht mehr passieren, da Ich jetzt auch Stundenlang damit Beschäftigt bin.

" Mich würde ja interssieren, wie die Ransomware auf das System kam... E-Mail, illegale Software, etc. "
Nun ja, ich weiß es mittlerweile, darf das aber so nicht sagen. Noch nicht. Auf jeden Fall keine Illegale Software oder so.

" Hoffentlich wird daraus gelernt. " Auf jeden Fall ! Denn der Ärger bleibt an mir hängen ....

" Wir können bei einem Supergau auch nicht helfen. " Klar, kein Problem. Werde die nächsten Tage noch ein bisschen suchen. Und wie gesagt, die Daten sind bei mir erst mal gesichert. Das verwüstete W10 Laufwerk hängt jetzt bei mir an einem " unwichtigen " älteren W10 Rechner ohne Netztwerk und Malwarebytes sucht gerade. Der Programmierer von diesem Dreck war auch noch so unfähig, das ganze W10 zu zerstören, so das ein Zahlungswilliges Opfer nicht mal mehr Kontakt mit Ihm aufnehem könnte, selbst wenn er wollte ( Wir nicht )

Ich selbst verwende Windows nur selten, mache das normale " Alltagsgeschäft " mit Debian Linux. Schon seit 15 Jahren.

Wenn Malwarebytes was findet, poste ich den Log hier mal. Zur Information und Abschreckung .

Gruß metzi95

Zitat:

Das wird auch so nicht mehr passieren, da Ich jetzt auch Stundenlang damit Beschäftigt bin.

Zitat:

Auf jeden Fall ! Denn der Ärger bleibt an mir hängen ....

Bei diese Aussagen frage ich mich: waum fühlst du dich dafür verantwortlich? Schliesslich ist es ja nicht dir passiert sondern deinem Vermieter:

Zitat:

Der W10 Rechner meines Vermieters ( Landwirt, Kleinbetrieb ) wurde von oben genannter Ransomware verschlüsselt.

Zitat:

Zitat von metzi95

" Dann sind die Daten wohl verloren. " Das ist wohl erst mal so. Werde sie aber Sichern, man weiß ja nie.

Zitat:

Zitat von metzi95

" Backup-Systeme dürfen niemals lange am laufenden System hängen, schon gar nicht, wenn da was gemacht wird. "
Ich weiß das, keine Frage. Aber erst aus Fehlern lernt man. Leider.

" Das Sicherheitskonzept sollte hier grundlegend überdacht werden... nicht nur was Backups angeht. "
Das wird auch so nicht mehr passieren, da Ich jetzt auch Stundenlang damit Beschäftigt bin.

Und wieso hängst du dich so für den Vermieter rein? Gibts da eine spezielle Beziehung? Ich finde es sehr löblich.

Zitat:

Zitat von metzi95

" Mich würde ja interssieren, wie die Ransomware auf das System kam... E-Mail, illegale Software, etc. "
Nun ja, ich weiß es mittlerweile, darf das aber so nicht sagen. Noch nicht. Auf jeden Fall keine Illegale Software oder so.

Dann bleibt ja nur noch Drive-by, E-Mail, Links via SocialMedia,etc oder externes Medium.

Zitat:

Zitat von metzi95

" Wir können bei einem Supergau auch nicht helfen. " Klar, kein Problem. Werde die nächsten Tage noch ein bisschen suchen. Und wie gesagt, die Daten sind bei mir erst mal gesichert. Das verwüstete W10 Laufwerk hängt jetzt bei mir an einem " unwichtigen " älteren W10 Rechner ohne Netztwerk und Malwarebytes sucht gerade. Der Programmierer von diesem Dreck war auch noch so unfähig, das ganze W10 zu zerstören, so das ein Zahlungswilliges Opfer nicht mal mehr Kontakt mit Ihm aufnehem könnte, selbst wenn er wollte ( Wir nicht )

Wenn dir "langweilig ist", kannst ja noch mit anderen Scannern drübergehen.

Zitat:

Zitat von metzi95

Ich selbst verwende Windows nur selten, mache das normale " Alltagsgeschäft " mit Debian Linux. Schon seit 15 Jahren.

Damit bist du cosinus automatisch schon sehr sympathisch.

Zitat:

Zitat von metzi95

Wenn Malwarebytes was findet, poste ich den Log hier mal. Zur Information und Abschreckung .

Jederzeit gerne.

Hallo.

Das ist hier wie gesagt ein kleiner Bauernhof und als ich damals vor 14 Jahren wegen neuem Job ne Wohnung gesucht habe, bekam ich hier eine. So supergünstig das ich mich schämen würde, den Preis zu nennen. Ungefähr so viel wie heutzutage eine Miet - Garage kostet ;-) ;-) Wir sind hier eine große Familie. Und auf einem Bauernhof gibt es immer zu Essen. Viel Essen ...... Und wenn ich Hilfe brauche, wird mir auch geholfen. So ist das. Als Elektroniker und Hobbybastler kümmere ich da dann auch um die kleinen und größeren Probleme ( chen ) elektrischer Natur. Mal auch ein bisschen Mechanik. Also im Grunde schönes Leben hier. Da kann ich auch mal was machen. Und ich lerne immer wieder mal was dazu ( auch wie man es nicht machen sollte .. )

Und Malwarebytes rödelt immer noch......

gruß metzi95

Er hat fertig .....

Nicht gerade aufschlussreich. Siehe log.
Muss ich noch ein bisschen suchen.

Gruß metzi95

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes
www.malwarebytes.com

-Protokolldetails-
Scan-Datum: 18.11.22
Scan-Zeit: 14:41
Protokolldatei: bd503a84-6746-11ed-8828-00a0d1a8c1e2.json

-Softwaredaten-
Version: 4.5.17.221
Komponentenversion: 1.0.1806
Version des Aktualisierungspakets: 1.0.62458
Lizenz: Testversion

-Systemdaten-
Betriebssystem: Windows 10 (Build 19045.2251)
CPU: x64
Dateisystem: NTFS
Benutzer: ACER-ASPIRE-LASER\metzi95

-Scan-Übersicht-
Scan-Typ: Benutzerdefinierter Scan
Scan gestartet von: Manuell
Ergebnis: Abgeschlossen
Gescannte Objekte: 599017
Erkannte Bedrohungen: 1
In die Quarantäne verschobene Bedrohungen: 0
Abgelaufene Zeit: 2 Std., 45 Min., 1 Sek.

-Scan-Optionen-
Speicher: Deaktiviert
Start: Deaktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung

-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)

Modul: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)

Registrierungswert: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Daten-Stream: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Datei: 1
Ransom.FileCryptor, G:\USERS\GEORG\APPDATA\LOCAL\{EB271512-4284-9E29-086E-E36BEE73662A}\SYSTEM.EXE, Keine Aktion durch Benutzer, 3683, 1091246, 1.0.62458, 43BA444E418E471576840065, dds, 02041278, F36864346C1882EDD2AF63F5043ACB4D, 78E55B108993267F71AD4F92317EDA5F26BA6A13B177912ABAA468A5962154F8

Physischer Sektor: 0
(keine bösartigen Elemente erkannt)

WMI: 0
(keine bösartigen Elemente erkannt)


(end)