netzwerkhelfer

Server wurde verschlüsselt

Recommended Posts

Hi,

 

ich bin gerade in einer Arztpraxis, die komplett verschlüsselt worden ist. Die Datensicherung wurde mit verschlüsselt und ein Wiederherstellen ist nicht möglich. Der Typ, der das hier eingerichtet hat, ohne großartige Sicherheitsvorkehrungen ist natürlich nicht mehr erreichbar. Kennt jemand die Ransomware, die Dateien mit __AiraCropEncrypted! verschlüsselt? Erkennt Emisoft die Schadsoftware die dahinter steckt, um so etwas in Zukunft zu verhindern? Könne die Dateien ohne Zahlung entschlüsselt werden?

Vielen Dank für Ihre Hilfe.

  • Upvote 1

Share this post


Link to post
Share on other sites

Das Problem ist, dass keine Schutzsoftware Dir helfen kann. Wenn der Server aufgemacht wird, was bei TeamXRat, die Malware die dahinter steckt, der Fall ist, kann der Angreifer die Software einfach beenden oder die Malware erlauben. Ich hab die Malware kurz ueberflogen und sie sieht entschluesselbar aus. Falls das Loesegeld also noch nicht bezahlt wurde, dann kann ich mal schauen was ich tun kann.

  • Upvote 2

Share this post


Link to post
Share on other sites

Vielen Dank für die Antwort. Ein Lösegeld ist geflossen, aber die Entschlüsselung funktioniert nicht sauber. Am Ende der meisten Dateien bleiben Codereste übrig, die natürlich die Funktion des Systemes stark einschränken und die ganze Aktion ist für die Katz. Ich kann die Dateien teilweise per Hand bereinigen, aber das ist keine Lösung. Sollte eine saubere Entschlüsselung möglich sein, wäre ich sehr dankbar, da sonst alle Patientendaten einfach mal weg sind. Das wäre ein Totalschaden. Im Moment setze ich das System neu auf und versuche die Oracledatenbank wiederherzustellen und brauchbar zu machen. Wenn es von Interesse ist, kann ich die Entschlüsselungsdatei zur Verfügung stellen. Aber bei diesem Trojaner ist eine Zahlung sinnlos.

  • Upvote 2

Share this post


Link to post
Share on other sites

Leider habe ich noch keine Hilfe gefunden. Wie gesagt läuft die Entschlüsselung bei vielen Dateien nicht sauber ab. Selbst wenn du einen Universalschlüssel hast, können die Daten beschädigt sein. Manuell konnte ich viel reparieren, aber es ist verdammt viel Arbeit.

Share this post


Link to post
Share on other sites

Hallo,

ich habe gerade die Version 1.0.0.10 zur Entschlüsselung unserer Verschlüsselten Dateien versucht. Diese haben auch die Endung "__AiraCropEncrypted!".
Leider ohne Erfolg. Ich könnte sowohl die .exe Datei, die die Daten verschlüsselt hat als auch Ver- und Entschlüsstelte (Wiederhergestellte) Daten zur Analyse zur Verfügung stellen. Falls dies gewünscht ist.

Zuerst möchte ich mich aber bei den Erstellern der Entschlüsselungstools  und allen beteiligten für die Unterstützung bedanken.

Gruß C_D

Share this post


Link to post
Share on other sites

Ich habe mir das Verschlüsselungstool, welches bei uns wütete mal abgesehen und habe darin eine Nachricht an @Fabian Wosar gefunden. 

"Hi debugger dude, asm is very cool to understand is not it ?

I used to crack lots of softwares with Ollydbg but lately I don't have time to do it. Good disassembling man or woman lol.

Fwosar you are the man, I am inspired by dudes who understand what they do. Your bruteforcing tool was amazing, I am really impressed :). I was so stupid to use SHA1, the limited set of characters for the AES password and not setting up the IV correctly... I also didn't test the Random Number Generator, that was a stuid thing to do.

Hope you can break this too, I'm not being sarcastic, you're really inspiring. Hugs, NMoreira Core Dev."

 

Vmtl. Ist das auch der Grund, warum das momentane Entschlüsselungsprogramm von Emsisoft bei uns nicht funktioniert.

 

@netzwerkhelfer

Ist die Malware bei euch noch vorhanden, sodass man mal gucken könnte, ob sich solch eine Nachricht auch bei euch findet?

 

Gruß C_D

Share this post


Link to post
Share on other sites

Es gibt mittlerweile eine neue Variante der Malware, die einige Dinge aendert, die den frueheren Decrypter ermoeglicht haben. Prinzipiell ist die neue Version ebenfalls noch unsicher, allerdings brauch ich einfach ein wenig Zeit um den Decrypter upzudaten.

Share this post


Link to post
Share on other sites

Ich fand es nur interessant, dass der Entwickler der Ransomware eine Botschaft in dem Programm an dich hinterlässt.

Hilft es dir, wenn ich unsere Version der Malware hier hochladen ?

Share this post


Link to post
Share on other sites
1 minute ago, C_D said:

Ich fand es nur interessant, dass der Entwickler der Randsomware eine Botschaft in dem Programm an dich hinterlässt.

Hilft es dir, wenn ich unsere Version der Malware hier hochladen ?

Kannst Du mir gerne per Mail schicken. Die Nachrichten gibt es haeufiger. Im Normalfall in Form wuester Beschimpfungen. Beispiele:

Kleiner Auszug aus meinem Fanclub ;)

Share this post


Link to post
Share on other sites

Hallo zusammen,

auch ich habe einen verschlüsselten Server vor mir stehen.
Wenn ich mit Samples behilfleich sein kann gerne.

Die Version 1.0.0.10  scheint auch meine Daten nicht retten zu können.

 

Eine Frage hätte ich: Warum soll der Decrypter "NMoreira"
auf dem infizierten System installiert werden und nicht zum Testen auf einem sauberen System ?

Viele Grüße

und viel Erfolg für die neue Version.

 

Share this post


Link to post
Share on other sites

Nach intensiver Arbeit ist es mir jetzt auch gelungen meine Datenbanken zu reparieren. Sollte also jemand Lösegeld bezahlen müssen und Probleme mit den entschlüsselten Dateien haben, kann man sich gerne an mich wenden.

Share this post


Link to post
Share on other sites

Hallo netzwerkhelfer,

ich würde Dein Angebiot gern annehmen, auch bei mir wurde ein 2012 Server samt angeschlossenen Backup-Alufwerke verschlüsslelt.

Wir haben noch kein Lösegeld bezahlt, da der Schaden grundsätzlich durch ältere Datensicherungen überschaubar ist.

Viele Grüße

 

Share this post


Link to post
Share on other sites

Ich hab den Decrypter heute aktualisiert um die Variante die einen Mersenne Twister und SHA-512 benutzt um die Schluessel zu generieren zu entschluesseln:

https://decrypter.emsisoft.com/nmoreira

Die Variante wurde zwischen dem 29. November und 8. Dezember verbreitet. Alle Opfer die nach dem 8. Dezember kamen, sind hoechstwahrscheinlich von einer dritten Variante heimgesucht, die die Schluessel auf eine sichere Art und Weise generieren, die den im Decrypter genutzten Angriff unmoeglich macht. Sofern der Malware Autor also nicht seine privaten Schluessel leaked oder die Server von den Behoerden beschlagnahmt werden, werden weder ich noch sonst wer in der Lage sein diese dritte Variante zu entschluesseln.

Bevor der Benutzung muss in den Optionen die korrekte Variante ausgewaehlt werden. Falls nicht bekannt ist, welche Variante die Dateien verschluesselt hat, kann man einfach an ein paar Bildern oder so testen.

Share this post


Link to post
Share on other sites

Guten Abend Fabian, Guten Abend allesamt,

der gerade hochgeladene Decrypter funktioniert bei den gerade von mir getesteten .docx und .pdf Dateien super.

Wir haben also "nur" Variante zwei. :)

Leider kann ich damit keine .zip, .dag, .frm, .idb Daten entschlüsseln, da das Datenformat unbekannt ist. Gibt es die Möglichkeit die Entschlüsselung mit dem zuvor ermittelten Schlüssel auch auf unbekannte Datenformate zu erzwingen ?

Frohe (Rest) Weihnachten und einen guten Rutsch ins neue Jahr!

 

Gruß C_D

Share this post


Link to post
Share on other sites

Das ist letztlich nicht so einfach. Jede Datei hat einen anderen Schluessel. Welcher Schluessel passt laesst sich nur ermitteln, indem ich mir das Resultat des Entschluesselungsprozesses fuer die Millionen an moeglichen Schluesseln anschaue um zu sehen ob das Ergebnis "Sinn" ergibt. Die Art und Weise wie das geschieht ist, dass ich die ersten 16 Bytes entschluessele und nach Formatspezifischen Magic Bytes suche. Der Decrypter erkennt letztlich ueber 4000 Dateiformate, aber das ist letztlich verglichen zu allen moeglichen Dateiformaten zu wenig. Dazu kommt, dass viele Formate gar keine Magic Bytes besitzen (Text Formate z.B.) oder aber die Magic Bytes schlicht zu wenige sind (Ist der Marker PK wie bei ZIP in den ersten 2 Bytes, hab ich eine 1:65536 Chance das da bei einem Key zufaellig PK raus kommt in den ersten 2 Bytes; bei einer Millionen Versuchen hab ich das nahezu garantiert einmal, was einem Fehlalarm entspricht und ich mit dem falschen Key decrypte). Theoretisch waere es ebenfalls moeglich die Keys basierend auf der Dateireihenfolge zu bestimmen. Allerdings ist das extrem riskant. Sollte irgendwo eine Datei fehlen, was dank dem "Optimierungswahn" von Leuten, die meinen CCleaner jeden Tag auszufuehren und der Tatsache, dass auch Temporaere Dateien verschluesselt werden koennen, durchaus der Fall ist, werden ab dem Punkt alle Dateien mit den falschen Schluesseln entschluesselt.

 

Im Zweifelsfall kannst Du mir die Dateiformatspezifikationen der Dateiformate raussuchen, die dringend Notwendig sind. Dann kann ich dem Decrypter evtl. die Formate beibringen. Sollte dies allerdings nicht der Fall sein, kann ich leider nicht wirklich viel fuer Dich tun.

Share this post


Link to post
Share on other sites

hallo Fabian,

ich habe eine Datei  960d361b41b5a24fe2f04cf907047d2f05d2d8b53c685414bfc11809caef10e3.exe in einem Ordern c:\Date gefunden, das scheint der Virus zu sein, da Eset ihn als solches erkennt.

Würde diese Datei weiterhelfen, im die Dokumente zu entschlüsseln?


Vielen Dank und viele Grüße


Thomas 

 

 

 

eset.docx

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.