Cerber Ransomware
 

Hallo Community,

eine Mitarbeiterin aus unserer Firma erhielt eine E-Mail mit einem Bewerbungsschreiben.
In dieser E-Mail war eine zip Datei eingefügt. Diese hat sie entpackt und die Dateien ausgeführt. Es handelte sich dabei um JS (Javascript) Dateien, getarnt als doc.
Nun hat cerber ihre Dokumente auf dem PC verschlüsselt (Endung cerber angehängt) und teilweise ausgeblendet.
Es wurden HTML und txt Dokumente hinzugefügt, wo wir aufgefordert werden, Lösegeld zu bezahlen, um wieder an die Daten zu gelangen.
Ist Euch eine Möglichkeit bekannt, die Daten wiederherzustellen?

Vielen Dank vorab.

Logs
 

Ausführen von exe Dateien ist leider auch nicht mehr möglich

Identifizierung der ransoms gibt es da => https://id-ransomware.malwarehunterteam.com/

und falls Entschlüsselung möglich, sollten da auch entsprechende Hinweise stehen. Wenn nicht hast du leider Pech gehabt und musst

a) das jüngste Backup der verschlüsselten Dateien zurückspielen
b) warten warten warten (bis dieser ransom geknackt und Entschlüsselung möglich ist)
c) nur im absoluten Notfall: Lösegeld an Erpresser zahlen und hoffen, dass du von denen den Key zur Entschlüsselung bekommst

Wenn du kein Backup hast, muss man dem Admin und/oder der Mitarbeiterin mal auf die Finger :kloppen:

Danke für die Antwort.

Zu a) es gibt kein BAckup, da Dateien loakl auf dem Rechner gespeichert wurden
zu b) warten ist eigentlich nicht die Lösung, aid eich mir erhofft habe :nono::rofl:
zu c) Lösegeld zahlen ist auch keine Alternative.

Und ich sollte der Mitarbeiterin auf die Finger hauen, bin selbst der Admin :pfeiff:

a) Warum werden in Firmenumgebungen WICHTIGE Dateien lokal gespeichert?? :wtf: sowas macht man/frau nicht, die Dateien müssen auf Netzlaufwerke, am besten solche die von einem Windows-Server bereitgestellt werden, damit diese über Schattenkopien abgesichert werden und täglich zentral auf ein separates Medium gesichert werden können (zB ganz klassisch auf LTO-Band oder so)

b) ähm ja, dann kannst du ja selbst tätig werden und bruteforcen wenn dir das besser gefällt :D

c) ist auch nur für den Notfall gedacht weil man die Erpresser damit unterstützt/anspornt

Fazit: du willst die Daten also nicht zurück haben :rofl: und an der Bereinigung des Rechners bist du anscheinend auch nicht interessiert.

Bevor es an Try&Error mit Recovery-Tools geht: hatte die Mitarbeiterin zum Zeitpunkt der Ausführung des ransoms Adminrechte an ihrem lokalen Rechner?

a) Darauf habe ich sie angesprochen, NBetzlaufwerke stellen wir ja bereit.
Ist sie offnebar nicht zu gekommen. :kaffee: :confused:
b) Du hast natürlich recht, so lang es noch keine Möglichkeit zu encrypten gibt, müsste man warten. Meine Hoffnung war, dass es hier vielleicht mehr Informationen dazu gibt.
c)Ich möchte die Daten sehr gerne zurückhaben :singsing:

Interessiert an einer Lösung bin ich selbstverständlich auch:knuddel:
Bereinigung klar, werde ich durchführen, also als letztes Mittel die Neuinstallation.

Adminrechte benötigt sie, um spezielle Software nutzen zu können.

Ganz großes Tennis :headbang:
Dann greifen die Schattenkopien auf ihrer lokalen Kiste auch nicht mehr, denn mit Adminrechten gestartet löschen ALLE halbwegs aktuellen ransoms auch alle Schattenkopien.

Also hier wurde so ziemlich alles falsch gemacht was man auch nur falsch machen kann :( :balla:

Dir ist schon klar, dass eine Bereinigung die Daten auch nicht wiederbringt?

Klar, Daten sind dann weg

Aber eine andere Möglichkeit scheint es momentan nicht zu geben.

Die letzten Möglichkeiten, die du noch hast an die Daten heranzukommen. Kann klappen, muss aber nicht.

http://i.imgur.com/y3MMIrs.png Vorgängerversionen

• Rechtsklicke eine verschlüsselte Datei und klicke auf Einstellungen
• Klicke Vorgängerversionen.
• Dieser Tab listet alle Kopien der gewählten Datei und wann sie gesichert wurde.
• Um eine bestimmte Version der Datei wiederherzustellen, klick Kopiere und wähle einen Ordner, in dem die Datei gespeichert werden soll.
• Falls Du die existierende Datei mit der Version ersetzen willst, klicke Wiederherstellen
• Falls Du den Inhalt der Datei vorher prüfen möchtest, klicke Öffnen

http://i.imgur.com/MzmiIl9.gif ShadowExplorer

• Bitte lade die Datei ShadowExplorer runter und speichere sie auf Deinem Desktop.
• Rechtsklicke ShadowExplorer-0.9-portable.zip und klicke Alle Extrahieren. Wähle den Desktop und klicke Extrahieren
• Rechtsklicke ShadowExplorer.exe und wähle http://i.imgur.com/AVOiBNU.jpg Als Administrator ausführen.
• Du wirst ein Drop-Down-Menü sehen, das Dir die Schattenkopien aller Partitionen und Laufwerke zeigt.
• Klicke C:\ im Menü.
• Wähle rechts ein Datum vor der Infektion aus.
• Um einen ganzen Ordner wiederherzustellen, klicke mit der rechten Maustaste auf den Ordner und klicke Export. Du wirst dann danach gefragt, wohin die wiederhergestellten Dateien gespeichert werden sollen.
  

http://i.imgur.com/J8xQM97.pngDatenwiederherstellungssoftware
Datenwiederherstellungssoftware kann in der Lage sein die Originaldateien wiederherzustellen, welche von der Ransomware gelöscht wurden. Ich empfehle eines der folgenden Programme zu verwenden.

• http://i.imgur.com/fSA1TL4.png R-Studio
• http://i.imgur.com/C08PZmH.png Photorec
• http://i.imgur.com/uc6sByo.png Recuva

Danke für die Hilfe.
Vorgängerversion, Shadow Explorer und Recovery Tools haben leider nicht weitergeholfen.

Jap, das war zu erwarten. Jetzt kannst du entweder abwarten, die Kohle abdrücken oder die Daten ganz einfach vergessen.

Man kann nur hoffen, dass die Mitarbeiterin durch Schmerzen lernt ;) wer wichtige Daten nicht Netzlaufwerke speichert, darf sich hinterher nicht bei Datenverlust beschweren. Wir sichern auch keine einzelnen Clients (also nicht täglich als normales Backup sondern nur die Server), das wäre einfach zu aufwendig.

Das Admin-Team darf aber gerne mal über restriktivere Maßnahmen nachdenken zB

- jede Mail mit Anhang blockieren und nur auf Nachfrage hin freigeben
- auf jedem Windows-Client bessere Virenscanner einsetzen zB sowas wie Emsisoft, das auch neue Schädlinge durch die Verhaltenserkennung wegschnappt (wenn es noch gar keine Signaturen gibt)