Neu Hacked: Ransom Attacke ran3 Erfahrung

[musaza]

Hallo JTL Freunde,
Ich wollte mal Erfahrungen austauschen...
Alle meine Rechner im Netzwerk wurden gehackt und die Hacker kamen durch eine Sicherheitslücke in der RDP. Der Schaden ist immens..
Alle Dateien ausnahmslos wurden verschlüsselt bis auf den Windows Order und in jedem Ordner ist eine HTML Datei mit Geldforderung zum entschlüsseln. Sogar ins NAS wo die Backups liegen.
Gerne berichte ich nach und nach hierzu mehr aber meine Frage erstmal, ob einer schon einen "Revers" import gemacht hat quasi vom Shop mysql irgendwie wieder in die WAWI zurück.. ?
VG Xaver

 

[musaza]

Hier auf der Seite ist in etwa beschrieben, wie die wohl rangegangen sind:
https://asec.ahnlab.com/en/48940/


so eine HTML ist in jedem Ordner drin:





Hier habe ich versucht eventuell gelöschte Kopien zu finden z.b. vom Backup der WAWI Datenbank. jedoch wurden diese überschrieben und nichts mehr zu retten.







So sehen nun alle Dateien aus in allen Rechnern, die komromittiert wurden. Passwörter haben da nichts aufgehalten

 

[recent.digital]

Danke für deine Erfahrungen. Hast du eine Cyber-Versicherung, die dich unterstützt? Hast du gezahlt?

Wir erleben gerade das Cyberversicherungen sich von Onlinehändlern trennen oder die Beiträge massiv erhöhen oder die sog. Obliegenheitspflichten massiv nach oben schrauben.

Die Screenshots solltest du unbedingt noch unkenntlich machen, man kann da Namen ablesen.

Hast du einen IT Dienstleister oder Hoster der dich betreut?

 

[musaza]

Versicherung leider nicht.. kommt man ja nicht drauf, wenn man 26 Jahre ungeschadet tätig ist. Habe zwar einpaar IT´ler aber eine Wiederherstellung scheint unwahrscheinlich zu sein. und bezahlt habe ich nichts. 15000€ VB in BTC..
Ich brauche jetzt einen Plan, wie ich vom Shop vieles wieder in eine neu aufgesetzte WAWI reinbekomme.

 

[Condorraptor]

Sollte es wirklich GlobeImpostor sein, könntest du versuchen es hiermit zu entschlüsseln: https://www.nomoreransom.org/en/decryption-tools.html (hier dann das richtige auswählen). Viel Erfolg!

Edit: Natürlich vorher Netzwerk kappen usw. und auch unbedingt Neuinstallation mit allem drum und dran.

 

[musaza]

Sollte es wirklich GlobeImpostor sein, könntest du versuchen es hiermit zu entschlüsseln: https://www.nomoreransom.org/en/decryption-tools.html (hier dann das richtige auswählen). Viel Erfolg!

hab die Seite auch bereits durchforstet.. ohne den Privaten-Schlüssel, soll es wohl nicht möglich sein. AES+RSA macht es sehr schwierig hab ich mir sagen lassen

 

[Condorraptor]

hab die Seite auch bereits durchforstet.. ohne den Privaten-Schlüssel, soll es wohl nicht möglich sein. AES+RSA macht es sehr schwierig hab ich mir sagen lassen

HowTo File gecheckt? Wenn ihr euch "als Test" ein paar Datein habt entschüsseln lassen könntet ihr es damit versuchen. Aber ja, das ist natürlich kein Garant.. war nur eine Idee.

Edit2: Falls nicht selbstverständlich, vorher muss der Computer "bereinigt" werden. Sonst verschlüsselt sich beim nächsten Verbinden mit dem Internet alles nochmal.

 

[Condorraptor]

@musaza aus Interesse: schon probiert? klappt es damit?

 

[musaza]

@musaza aus Interesse: schon probiert? klappt es damit?

leider nicht. die scheint 2 fach verschlüsselt zu sein AES+RSA und bräuchte einen Privat-Key

 

[dapole]

-> Hört sich nach einer 'Katastrophe'² an ...

JAhre her hatten wir ein ähnlichen Fall ... Gottseidank passierte es damals zu einem Zeitpunkt, wo ich in der fir4ma war. Als mir seltsame Dateien auf unserem Laufwerk aufgefallen sind (Netzlaufwerk / Teamlaufwerk)...

Sofort den 'betroffenen' Client ausfindig gemacht und Netzwerkkabel gezogen ... Schaden: Kaum
Glück im Unglück

Somit: WaWi Backup nicht nur 'lokaal' irgendwo ablegen ... Obs nun aufm FTP ist, oder usb Laufwerk, alles legitim Aber nicht nur lokal

-> Und falls du das Tool von Condorraptor ausprobieren tuhst: ....

Sehe grade, weniger Erfolg damit gehabt ... crzy sh*t ...

 

[bbfdesign]

Moin
Das ist natürlich ziemlich bitter. Deswegen empfehle ich auch immer, dass die Backups auf externen Systemen gesichert werden. Dabei ist es wichtig, dass die Sicherungen z.B. nicht über ein Netzlaufwerk rüber geschoben werden. Man könnte beispielsweise mit Synology Systemen arbeiten, die am besten noch an unterschiedlichen Standorten liegen.

Mit Hyper Backup und Revisionen arbeiten um 2 Synologys untereinander zu sichern.
https://www.synology.com/de-de/dsm/feature/hyper_backup
Dazu noch die eigentlichen Systeme via Active Backup mit mehreren Versionen sichern
https://www.synology.com/de-de/dsm/feature/active-backup-business/pc

Und die Wawi Datenbank würde ich darüber hinaus auch noch sichern und dann auf die Synology legen.

So kannst Du im Idealfall die Daten zumindest auf den Stand vor der Verschlüsselung wieder herstellen.

Grundsätzlich sollten die Systeme aber immer auf dem aktuellen Stand sein um etwaige Sicherheitslücken zu schließen und parallel dazu müssen auch die Mitarbeiter geschult werden, wie man am besten mit der Sicherheit umgeht.

Gruß Björn

 

[Condorraptor]

leider nicht. die scheint 2 fach verschlüsselt zu sein AES+RSA und bräuchte einen Privat-Key

Schade.. mehr fällt mir jetzt erstmal nicht ein sorry!

 

[musaza]

ein kleiner Plan, vom Shop zurück in die Wawi wäre äußerst hilfreich

 

[Condorraptor]

Vielleicht ist dieses Plug-In eine Idee: https://www.jtl-software.de/extension-store/verwalte-deinen-jtl-shop-mit-excel-dateien-jtl-shop-5? Damit kriegt ihr dann wie es aussieht zumindest Kundendaten und Bestelldaten

 

[merres]

Bitte schnapp dir einen fähigen IT-Dienstleister und sichere dich in Zukunft vor solchen Dingen ab, indem du 3-2-1 Backups und vor allem unveränderliche Backups, sogenannte "Immutable Backups" einrichtest, die auch kein Admin ändern kann.

Rückgängig lässt sich die Verschlüsselung wahrscheinlich nicht mehr machen, aber du solltest in Zukunft besser gewappnet sein, damit es dich nicht irgendwann Hals und Kragen kostet.

 

[recent.digital]

ein kleiner Plan, vom Shop zurück in die Wawi wäre äußerst hilfreich

Hast du den JTL Support eingeschaltet? Wenn man dort helfen kann, wird man das tun. @SebastianB aus dem Team JTL hat im Bereich von Rettung von Datenbanken schon einiges gesehen und erlebt. Vielleicht hat er einen Ansatz.

 

[Faymax-Consulting]

Die Wiederherstellung hat nun oberste Priorität, hatten letztes Jahr einen Kunden mit ähnlichem Problem. Alles war verschlüsselt, aber die SQL wurde nicht angefasst. Nach erneuter JTL Installation waren alle Daten vorhanden. Aber so etwas muss man im Detail sehen. Daten nur aus dem Shop zu ziehen ist zwar ganz nett aber es geht auch um die ganzen anderen Daten. Eine Steuerprüfung kann nach so einem Vorfall zum Horror werden.

 

[John]

Wie war es möglich, die mdf Datei, in der der SQL Server die Daten ablegt zu verschlüsseln?
Die ist doch eigentlich durch den Betrieb des SQL Server gesperrt oder nicht?

 

[musaza]

Wie war es möglich, die mdf Datei, in der der SQL Server die Daten ablegt zu verschlüsseln?
Die ist doch eigentlich durch den Betrieb des SQL Server gesperrt oder nicht?

an diese Option hatte ich nicht gedacht, weil die Backups kompromittiert sind und die sql Startdateien. Ich müsste Quasi die SQL neu installieren. Wie kann ich prüfen, ob da noch etwas ist? Es wurde ja windows übersprungen und einiges schon aber keins der Programme startet mehr

 

[John]

Schau mal im Ordner

C:\Program Files\Microsoft SQL Server\Deine-Sql-Instand-\MSSQL\DATA

Wie siehts dort aus?

Wie schaust Du überhaupt auf die Platte drauf?
Wenn dort böse Software enthalten ist, würde ich ein Linux wie z.B. Ubuntu entweder als Live System nehmen oder die Platte per externem Adapter an eine Linux Systemn anschließen.