Zurück   Trojaner-Board > Malware entfernen > Diskussionsforum

Diskussionsforum: Problem mit Ransomware "Ouroboros.GG!MTB"

Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben.

Antwort
Alt 17.06.2023, 01:08   #1
Cosimo
 
Problem mit Ransomware "Ouroboros.GG!MTB" - Standard

Problem mit Ransomware "Ouroboros.GG!MTB"



Moin!

Wir haben hier ein Problem mit Ransomware, die von Windows als "Ouroboros.GG!MTB" identifiziert wurde und fast alle Dateien umbenannt und verschlüsselt hat.

Beispiel Name sieht so aus...
"abcDEFghijdHJhkjhDKDHKH-Mail[xxxxxxxx@xxxx.com]ID-[01234567890123].ABCDE"

Folgende Fragen hätte ich dazu...

- Was sagt diese Version aus?
- Ist es eine alt oder neu Variante
- Gibt es Entschlüsselung Programme/Tools dafür?
- Gibt es Firmen, die das entschlüsseln können, speziell diese Version?

Muss dazu sagen, dass wir keinen Hinweis über eine Forderung gefunden oder gesehen haben.

Wir haben darauf die Mail-Adresse kontaktiert, die in den Dateinamen steckt, und darauf hat sich auch einer gemeldet, der BTC fordert. (haben kein BTC)
Er ist auch in der Lage, die Dateien, zumindest Testdateien dir wir geschickt haben, zu entschlüsseln.

Nach meiner Recherche, konnte ich zu der Ransomware "Ouroboros.GG!MTB" keine Software oder Anbieter finden, der in der Lage ist die Dateien wieder herzustellen.

Es stellt sich somit die nächste Frage, wie stehen die Chancen, dass die am Ende Key & Software herausgeben, wenn man bezahlt hat? (Wobei das BTC die nächste Hürde darstellt, da ich fast NULL Ahnung davon habe bzw. damit nichts mache)
Auch, wie lange bleibt die Mail-Adresse erreichbar?

Würde mich freuen, wenn jemand was dazu schreiben kann oder sich jemand meldet, der damit Erfahrung hat.

Gruß Cosimo

Alt 17.06.2023, 07:55   #2
schlawack
 
Problem mit Ransomware "Ouroboros.GG!MTB" - Standard

Problem mit Ransomware "Ouroboros.GG!MTB"



Du kannst eine oder mehrere Verschlüsselte Dateien hier: https://id-ransomware.malwarehunterteam.com/index.php?lang=de_DE hochladen und dort prüfen lassen, ob es für die Ransomvariante schon ein Entschlüsselungstool gibt oder nicht. Ansonsten: die verschlüsselten Dateien extern auf zum Beispiel einer USB Festplatte sichern und diese aufbewahren in der Hoffnung das es mal ein Entschlüsselungstool gibt und dann eben eine eine Windows Neuinstallation machen, dem PC in der jetzigen Verfassung nicht mehr trauen und halt alles neu machen.
__________________

__________________

Alt 17.06.2023, 09:15   #3
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Problem mit Ransomware "Ouroboros.GG!MTB" - Frage

Problem mit Ransomware "Ouroboros.GG!MTB"



Zitat:
Zitat von Cosimo Beitrag anzeigen
Wir haben hier ein Problem mit Ransomware,
Warum ist das ein Problem?
Wo ist eure Datensicherung?
__________________
__________________

Alt 17.06.2023, 10:18   #4
schlawack
 
Problem mit Ransomware "Ouroboros.GG!MTB" - Standard

Problem mit Ransomware "Ouroboros.GG!MTB"



Zitat:
Wo ist eure Datensicherung?
Ich schäze mal: es gibt keine Datensicherung.
Nicht uninteressant wäre auch, was für ein Windows wird genutzt? Windows 10 oder Windows 11 und welche Version? ist es also 22H2 oder eine ältere Version? oder ist da sogar noch Windows 7 drauf was ja ein NoGo wäre weil das schon lange keine Windows Updates mehr bekommt.
Wenn er will, könnte er auch mal schreiben ob noch eine HDD Festplatte verbaut ist, oder ob schon eine SSD genutzt wird und mit CrystalDiskinfo prüfen wie der Zustand der Festplatte ist: http://anleitung.trojaner-board.de/zustand-der-festplatte-herausfinden-gehts_61
__________________
Windows 10 64 Pro 22H2

Alt 17.06.2023, 10:18   #5
Cosimo
 
Problem mit Ransomware "Ouroboros.GG!MTB" - Standard

Problem mit Ransomware "Ouroboros.GG!MTB"



@schlawack
Die Seite haben wir schon probiert, ohne Erfolg.
Die anderen Punkte habe ich schon im Hinterkopf.

@cosinus
Das Backup ist ärgerlicherweise mit verschlüsselt.


Alt 17.06.2023, 10:26   #6
schlawack
 
Problem mit Ransomware "Ouroboros.GG!MTB" - Standard

Problem mit Ransomware "Ouroboros.GG!MTB"



Zitat:
@schlawack
Die Seite haben wir schon probiert, ohne Erfolg.
Die anderen Punkte habe ich schon im Hinterkopf.
Dann würde ich die verschlüsselten Dateien auf einer Festplatte im Schrank zum Beispiel weglagern und du kannst nur hoffen das es irgendwann dafür ein Entschlüsselungstool gibt.
Zitat:
Das Backup ist ärgerlicherweise mit verschlüsselt.
Das ist ärgerlich, aber grundsätzlich gehören jegliche Backups auf eine externe USB Festplatte oder NAS, dass nur am PC angeschlossen wird, wenn Backup Aufgaben gemacht werden. Danach gehört das Backup Medium wieder vom PC getrennt damit es offline ist.
__________________
--> Problem mit Ransomware "Ouroboros.GG!MTB"

Alt 17.06.2023, 10:48   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Problem mit Ransomware "Ouroboros.GG!MTB" - Standard

Problem mit Ransomware "Ouroboros.GG!MTB"



Zitat:
Zitat von Cosimo Beitrag anzeigen
@cosinus
Das Backup ist ärgerlicherweise mit verschlüsselt.
Das ist ein Fehler, der euch hoffentlich nicht nochmal passieren wird. Backups müssen anders gelagert werden, am besten offsite. Falls mal ein Feuerchen ausbricht oder so...

Jetzt könnt ihr nur abwarten und hoffen, dass die Erpresser irgendwann den Masterkey herausgeben. Oder Sicherheitsfirmen dieses irgendwie errechnen, was aber sehr unwahrscheinlich ist, wenn die Erpresser keine Fehler in der Umsetzung hatten.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 17.06.2023, 15:41   #8
Cosimo
 
Problem mit Ransomware "Ouroboros.GG!MTB" - Standard

Problem mit Ransomware "Ouroboros.GG!MTB"



Zitat:
Zitat von schlawack Beitrag anzeigen
Ich schäze mal: es gibt keine Datensicherung.
Nicht uninteressant wäre auch, was für ein Windows wird genutzt? Windows 10 oder Windows 11 und welche Version? ist es also 22H2 oder eine ältere Version? oder ist da sogar noch Windows 7 drauf was ja ein NoGo wäre weil das schon lange keine Windows Updates mehr bekommt.
Wenn er will, könnte er auch mal schreiben ob noch eine HDD Festplatte verbaut ist, oder ob schon eine SSD genutzt wird und mit CrystalDiskinfo prüfen wie der Zustand der Festplatte ist: hxxp://anleitung.trojaner-board.de/zustand-der-festplatte-herausfinden-gehts_61
Es ist Windows 10 mit 2 SSD (Boot HD0 & Daten HD1) und 4 HDs (Daten HD2, Backup HD für HD1 & HD2, große 2TB HD & dafür Backup eine HD)

Es hätte am Ende nie dazu kommen, dass Virensoftware überhaupt auf dem Rechner sich ausführen lässt. Es muss ein unglücklicher Zufall gewesen. Wir hatten für paar "Spielereien" ein RDP Port offen, wo er dann wahrscheinlich darüber hereingekommen sein muss.

Insgesamt geht es um ca. 100 GB, die sehr ärgerlich sind, alles andere (ca. 1,5-1,7TB) ist rekonstruierbar.

es geht mir primär aber auch um Ransomware und Informationen dazu.
Ich möchte einschätzen, wie die Wahrscheinlichkeit ist, dass ich ohne den "Erpresser" an die Daten komme (mit Wartezeit und Profis wie Ontrack & Co.) und wie hoch die Wahrscheinlichkeit ist, dass der "Erpresser" mit spielt und die Daten entschlüsselt bzw. die Software dafür zur Verfügung stellt.

Da sowenig offensichtlich über die Variante der Ransomware (in meinem Fall) bekannt ist, rechne ich damit, dass Profis nur über Schattenkopie, gelöschte Dateien ect irgendwie versuchen an Daten zukommen.
Kosten mehrere tausende Euros, Ergebnis relativ ungewiss (nach dem, was ich bisher aus den Telefonaten erfahren habe).

Der Erpresser kostet auch Geld, aber erheblich weniger und mit erheblich besseren Erfolgschancen.
Mehrere Testdateien, die von uns vorgeben wurden, sind entschlüsselt zurückgesendet worden.
Er kann, wenn er will, das Problem bis zu einem bestimmten Grad lösen.

Die Frage ist da, wie geht man bei Verhandlungen zB. strategisch vor.

Dass es keine 100*% Garantie gibt, ist mir VOLL bewusst.
Dennoch kann ich bei beiden Optionen Geld verlieren und das ohne positives Ergebnis.

Dritte Option "Warten" ist nur eine bedingte Option, da es Dateien gibt, wo ich Zugriff drauf bräuchte.
Darunter ist zB. eine SQL Datenbank ca. 6GB groß.

Frage dazu, lässt sich sowas fehlerlos entschlüsseln, wenn die mal verschlüsselt wurde?

Gibt es sowas wie "Vermittler", die mit solchen Personen verhandeln können bzw. "treuhänderische" agieren?

Alt 17.06.2023, 20:02   #9
_698
 
Problem mit Ransomware "Ouroboros.GG!MTB" - Standard

Problem mit Ransomware "Ouroboros.GG!MTB"



Hallo,
wie ist die Mail-Adresse?

Das Schema hier
https://forum.kasperskyclub.ru/topic/423984-how-to-unlock-my-pictures/
https://www.bleepingcomputer.com/forums/t/786439/got-hit-by-this-ransomeware-please-help-decrypt-this-file/
sieht sehr ähnlich aus.

Schon möglich, dass das alter Wein in neuen Schläuchen ist.
Wir haben hier
https://www.virustotal.com/gui/file/c91968b4a1eb04ac79c8d735b99c84d8ea87c4485c939be6a68af3b9055f397d/detection
auch die Erkennung als Limbozar, was wiederum ein Alias für Ouroboros ist.

Alt 17.06.2023, 21:06   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Problem mit Ransomware "Ouroboros.GG!MTB" - Standard

Problem mit Ransomware "Ouroboros.GG!MTB"



Zitat:
Zitat von _698 Beitrag anzeigen
Schon möglich, dass das alter Wein in neuen Schläuchen ist.
Die Hoffnung stirbt zuletzt.
Ich hab unser Backup noch weiter gehärtet. Seit ca. 10 Jahren machen wir die Backups mit Veeam auf ein NAS. Um potentielle Angriffe abzuwehren, dürfen selbst aus dem internen Bereich nur noch ganz bestimmte IP-Adressen auf Port 443 und 445 auf das NAS drauf, iptables sei Dank.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 17.06.2023, 21:45   #11
_698
 
Problem mit Ransomware "Ouroboros.GG!MTB" - Standard

Problem mit Ransomware "Ouroboros.GG!MTB"



Zitat:
Zitat von cosinus Beitrag anzeigen
Die Hoffnung stirbt zuletzt.
Aber auch die stirbt.
Neuere Ouroboros-Varianten konnten schon 2019 nicht entschlüsselt werden.

Alt 17.06.2023, 22:04   #12
Cosimo
 
Problem mit Ransomware "Ouroboros.GG!MTB" - Standard

Problem mit Ransomware "Ouroboros.GG!MTB"



Zitat:
Zitat von _698 Beitrag anzeigen
Hallo,
wie ist die Mail-Adresse?

Das Schema hier
https://forum.kasperskyclub.ru/topic/423984-how-to-unlock-my-pictures/
https://www.bleepingcomputer.com/forums/t/786439/got-hit-by-this-ransomeware-please-help-decrypt-this-file/
sieht sehr ähnlich aus.

Schon möglich, dass das alter Wein in neuen Schläuchen ist.
Wir haben hier
https://www.virustotal.com/gui/file/c91968b4a1eb04ac79c8d735b99c84d8ea87c4485c939be6a68af3b9055f397d/detection
auch die Erkennung als Limbozar, was wiederum ein Alias für Ouroboros ist.
Ja, der Aufbau der Dateinamen ist gleich, bis auf die Mail-Adresse und die ID

Die Mail-Adresse möchte ich nicht öffentlich machen, da dies mein einziger Weg ist, mit der Person zu kommunizieren.

Alt 17.06.2023, 22:20   #13
_698
 
Problem mit Ransomware "Ouroboros.GG!MTB" - Standard

Problem mit Ransomware "Ouroboros.GG!MTB"



Bitte die Schadsoftware hier
https://www.virustotal.com/gui/home/upload
hochladen und die Auswertung verlinken.

Alt 17.06.2023, 23:09   #14
Cosimo
 
Problem mit Ransomware "Ouroboros.GG!MTB" - Standard

Problem mit Ransomware "Ouroboros.GG!MTB"



Zitat:
Zitat von _698 Beitrag anzeigen
Bitte die Schadsoftware hier
https://www.virustotal.com/gui/home/upload
hochladen und die Auswertung verlinken.
Sieht aktuell schlecht aus, da Windows Defender die Daten unter Quarantäne gestellt hat und diese jetzt nicht mehr wiederherstellbar sind.

Alt 17.06.2023, 23:30   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Problem mit Ransomware "Ouroboros.GG!MTB" - Icon22

Problem mit Ransomware "Ouroboros.GG!MTB"



Zitat:
Zitat von Cosimo Beitrag anzeigen
Sieht aktuell schlecht aus, da Windows Defender die Daten unter Quarantäne gestellt hat und diese jetzt nicht mehr wiederherstellbar sind.
Wenn das daran schon scheitert wirst du ganz sicher Hilfe von einem Systemhaus bekommen müssen. Oder ist das alles reines Privatvergnügen?
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu Problem mit Ransomware "Ouroboros.GG!MTB"
ahnung, anbieter, bieter, chancen, dateien, dateiname, dateinamen, entschlüsseln, erfahrung, erreichbar, frage, fragen, hinweis, ide, konnte, kontaktiert, lange, neu, nichts, problem, schlüsseln, software, speziell, version, windows



Ähnliche Themen: Problem mit Ransomware "Ouroboros.GG!MTB"


  1. Cybercrime: Polizei zerschlägt Ransomware-Gruppe "Hive"
    Nachrichten - 26.01.2023 (0)
  2. Neue Ransomware " Fora " Virustotal findet nichts
    Überwachung, Datenschutz und Spam - 19.11.2022 (11)
  3. Erpressergruppe Conti nutzt Sicherheitslücke "Log4Shell" für ihre Ransomware
    Nachrichten - 19.12.2021 (0)
  4. Ransomware: "Ragnarok"-Erpresser bieten Opfern Entschlüsselungsmöglichkeit an
    Nachrichten - 30.08.2021 (0)
  5. Cybercrime: Angriff auf irisches Gesundheitssystem mit "Conti"-Ransomware
    Nachrichten - 18.05.2021 (0)
  6. Exchange Server: Angreifer nutzen Schwachstellen für Ransomware "DearCry"
    Nachrichten - 13.03.2021 (0)
  7. Sicherheitsvorfall beim Sicherheitsdienst: Ransomware "Ryuk" befällt Prosegur
    Nachrichten - 28.11.2019 (0)
  8. l+f: "Hier ist die Hitler-Ransomware, Ihre Dateien sind verschlüsselt!"
    Nachrichten - 16.08.2016 (0)
  9. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  10. Herzlichen Dank "Schrauber" - "Problem mit der Gruppenrichtlinie" blockiert" gelöst
    Lob, Kritik und Wünsche - 11.12.2014 (0)
  11. Drathlosnetzwerkadapter seit letzter Zeit "im Arsch". Problembehandlung "behebt" Problem dann immer?
    Netzwerk und Hardware - 18.09.2014 (4)
  12. Entfernung von Ransomware: Avira zeigt "TR/Crypt.ZPACK.96184" an
    Plagegeister aller Art und deren Bekämpfung - 08.09.2014 (5)
  13. "monstermarketplace.com" Infektion und ihre Folgen; "Anti-Virus-Blocker"," unsichtbare Toolbars" + "Browser-Hijacker" von selbst installiert
    Log-Analyse und Auswertung - 16.11.2013 (21)
  14. "rundll-Problem" und "USB-Gerät wird nicht erkannt....." - bin am verzweifeln!
    Plagegeister aller Art und deren Bekämpfung - 04.10.2012 (48)
  15. Win XP Start " Net Reactor 10 Fenster"danach "Firefox Problem 2 Fenster" danach "Blue Screen"
    Log-Analyse und Auswertung - 09.07.2011 (3)
  16. Rogue-Malware "EASY SCAN" alias "HDD Low" Problem beseitigt?
    Plagegeister aller Art und deren Bekämpfung - 30.12.2010 (9)
  17. "Adware.Virtumonde"/"Downloader.MisleadApp"/"TR/VB.agt.4"/"NewDotNet.A.1350"/"Fakerec
    Plagegeister aller Art und deren Bekämpfung - 22.08.2008 (6)

Zum Thema Problem mit Ransomware "Ouroboros.GG!MTB" - Moin! Wir haben hier ein Problem mit Ransomware, die von Windows als "Ouroboros.GG!MTB" identifiziert wurde und fast alle Dateien umbenannt und verschlüsselt hat. Beispiel Name sieht so aus... "abcDEFghijdHJhkjhDKDHKH-Mail[xxxxxxxx@xxxx.com]ID-[01234567890123].ABCDE" Folgende - Problem mit Ransomware "Ouroboros.GG!MTB"...
Archiv
Du betrachtest: Problem mit Ransomware "Ouroboros.GG!MTB" auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.