netzwerkhelfer

Server wurde verschlüsselt

Recommended Posts

Hi,

 

ich bin gerade in einer Arztpraxis, die komplett verschlüsselt worden ist. Die Datensicherung wurde mit verschlüsselt und ein Wiederherstellen ist nicht möglich. Der Typ, der das hier eingerichtet hat, ohne großartige Sicherheitsvorkehrungen ist natürlich nicht mehr erreichbar. Kennt jemand die Ransomware, die Dateien mit __AiraCropEncrypted! verschlüsselt? Erkennt Emisoft die Schadsoftware die dahinter steckt, um so etwas in Zukunft zu verhindern? Könne die Dateien ohne Zahlung entschlüsselt werden?

Vielen Dank für Ihre Hilfe.

  • Upvote 1

Share this post


Link to post
Share on other sites

Vielen Dank für die Antwort. Ein Lösegeld ist geflossen, aber die Entschlüsselung funktioniert nicht sauber. Am Ende der meisten Dateien bleiben Codereste übrig, die natürlich die Funktion des Systemes stark einschränken und die ganze Aktion ist für die Katz. Ich kann die Dateien teilweise per Hand bereinigen, aber das ist keine Lösung. Sollte eine saubere Entschlüsselung möglich sein, wäre ich sehr dankbar, da sonst alle Patientendaten einfach mal weg sind. Das wäre ein Totalschaden. Im Moment setze ich das System neu auf und versuche die Oracledatenbank wiederherzustellen und brauchbar zu machen. Wenn es von Interesse ist, kann ich die Entschlüsselungsdatei zur Verfügung stellen. Aber bei diesem Trojaner ist eine Zahlung sinnlos.

  • Upvote 2

Share this post


Link to post
Share on other sites

Leider habe ich noch keine Hilfe gefunden. Wie gesagt läuft die Entschlüsselung bei vielen Dateien nicht sauber ab. Selbst wenn du einen Universalschlüssel hast, können die Daten beschädigt sein. Manuell konnte ich viel reparieren, aber es ist verdammt viel Arbeit.

Share this post


Link to post
Share on other sites

Hallo,

ich habe gerade die Version 1.0.0.10 zur Entschlüsselung unserer Verschlüsselten Dateien versucht. Diese haben auch die Endung "__AiraCropEncrypted!".
Leider ohne Erfolg. Ich könnte sowohl die .exe Datei, die die Daten verschlüsselt hat als auch Ver- und Entschlüsstelte (Wiederhergestellte) Daten zur Analyse zur Verfügung stellen. Falls dies gewünscht ist.

Zuerst möchte ich mich aber bei den Erstellern der Entschlüsselungstools  und allen beteiligten für die Unterstützung bedanken.

Gruß C_D

Share this post


Link to post
Share on other sites

Ich habe mir das Verschlüsselungstool, welches bei uns wütete mal abgesehen und habe darin eine Nachricht an @Fabian Wosar gefunden. 

"Hi debugger dude, asm is very cool to understand is not it ?

I used to crack lots of softwares with Ollydbg but lately I don't have time to do it. Good disassembling man or woman lol.

Fwosar you are the man, I am inspired by dudes who understand what they do. Your bruteforcing tool was amazing, I am really impressed :). I was so stupid to use SHA1, the limited set of characters for the AES password and not setting up the IV correctly... I also didn't test the Random Number Generator, that was a stuid thing to do.

Hope you can break this too, I'm not being sarcastic, you're really inspiring. Hugs, NMoreira Core Dev."

 

Vmtl. Ist das auch der Grund, warum das momentane Entschlüsselungsprogramm von Emsisoft bei uns nicht funktioniert.

 

@netzwerkhelfer

Ist die Malware bei euch noch vorhanden, sodass man mal gucken könnte, ob sich solch eine Nachricht auch bei euch findet?

 

Gruß C_D

Share this post


Link to post
Share on other sites

Ich fand es nur interessant, dass der Entwickler der Ransomware eine Botschaft in dem Programm an dich hinterlässt.

Hilft es dir, wenn ich unsere Version der Malware hier hochladen ?

Share this post


Link to post
Share on other sites

Hallo zusammen,

auch ich habe einen verschlüsselten Server vor mir stehen.
Wenn ich mit Samples behilfleich sein kann gerne.

Die Version 1.0.0.10  scheint auch meine Daten nicht retten zu können.

 

Eine Frage hätte ich: Warum soll der Decrypter "NMoreira"
auf dem infizierten System installiert werden und nicht zum Testen auf einem sauberen System ?

Viele Grüße

und viel Erfolg für die neue Version.

 

Share this post


Link to post
Share on other sites

Nach intensiver Arbeit ist es mir jetzt auch gelungen meine Datenbanken zu reparieren. Sollte also jemand Lösegeld bezahlen müssen und Probleme mit den entschlüsselten Dateien haben, kann man sich gerne an mich wenden.

Share this post


Link to post
Share on other sites

Hallo netzwerkhelfer,

ich würde Dein Angebiot gern annehmen, auch bei mir wurde ein 2012 Server samt angeschlossenen Backup-Alufwerke verschlüsslelt.

Wir haben noch kein Lösegeld bezahlt, da der Schaden grundsätzlich durch ältere Datensicherungen überschaubar ist.

Viele Grüße

 

Share this post


Link to post
Share on other sites

Guten Abend Fabian, Guten Abend allesamt,

der gerade hochgeladene Decrypter funktioniert bei den gerade von mir getesteten .docx und .pdf Dateien super.

Wir haben also "nur" Variante zwei. :)

Leider kann ich damit keine .zip, .dag, .frm, .idb Daten entschlüsseln, da das Datenformat unbekannt ist. Gibt es die Möglichkeit die Entschlüsselung mit dem zuvor ermittelten Schlüssel auch auf unbekannte Datenformate zu erzwingen ?

Frohe (Rest) Weihnachten und einen guten Rutsch ins neue Jahr!

 

Gruß C_D

Share this post


Link to post
Share on other sites

hallo Fabian,

ich habe eine Datei  960d361b41b5a24fe2f04cf907047d2f05d2d8b53c685414bfc11809caef10e3.exe in einem Ordern c:\Date gefunden, das scheint der Virus zu sein, da Eset ihn als solches erkennt.

Würde diese Datei weiterhelfen, im die Dokumente zu entschlüsseln?


Vielen Dank und viele Grüße


Thomas 

 

 

 

eset.docx

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.