9
Hat hier jemand schon mal erfolgreich Locky-Dateien wiederhergestellt?
Moin,
Eine kurze Frage in die Runde:
Hat jemand schon einmal Erfolg damit gehabt, die Dateien von Locky (*.locky) ohne Zahlung eines Lösegeldes mit Hilfe der diversen Tools von dem Antimalwareherstellern zurückzuholen? Ich habe mal auf zwei Jahre alte Locky-Dateien das Tool von trendmicro losgelassen und der erkennt die nicht einmal als Locky-Dateien. Bevor ich da jetzt zuviel Energie reinstecke (und das dann beim Kunden verargumentieren muß) wollte ich mal nach euren Erfahrungen fragen.
Hintergrund:
Ich soll ein CRM von einem alten Server (Superoffice auf W2012 Foundation) auf einen neuen Server an einem neuen Standort bringen (Superoffice auf W2016 Essentials) und dabei ist mir aufgefallen, daß in den Datenverzeichnissen viele .locky-Dateien vom 16.2.2016 herumliegen. Offensichtlich hat am alten Standort zu diesem Zeitpunkt eine Locky-Infektion stattgefunden. Ich konnte aber bisher keinen Mitarbeiter auftreiben, der mir dazu informationen liefern konnte, insbesondere warum kein Backup eingespielt wurde und die Locky-Dateien aus dm Weg geräumt wurden.
Wenigstens war der Server "sauber", die Infektion hat also vermutlich nur einen Arbeitsplatz betroffen.
Hasta la victoria siempre, wie Che immer zu sagen pflegte.
lks
Eine kurze Frage in die Runde:
Hat jemand schon einmal Erfolg damit gehabt, die Dateien von Locky (*.locky) ohne Zahlung eines Lösegeldes mit Hilfe der diversen Tools von dem Antimalwareherstellern zurückzuholen? Ich habe mal auf zwei Jahre alte Locky-Dateien das Tool von trendmicro losgelassen und der erkennt die nicht einmal als Locky-Dateien. Bevor ich da jetzt zuviel Energie reinstecke (und das dann beim Kunden verargumentieren muß) wollte ich mal nach euren Erfahrungen fragen.
Hintergrund:
Ich soll ein CRM von einem alten Server (Superoffice auf W2012 Foundation) auf einen neuen Server an einem neuen Standort bringen (Superoffice auf W2016 Essentials) und dabei ist mir aufgefallen, daß in den Datenverzeichnissen viele .locky-Dateien vom 16.2.2016 herumliegen. Offensichtlich hat am alten Standort zu diesem Zeitpunkt eine Locky-Infektion stattgefunden. Ich konnte aber bisher keinen Mitarbeiter auftreiben, der mir dazu informationen liefern konnte, insbesondere warum kein Backup eingespielt wurde und die Locky-Dateien aus dm Weg geräumt wurden.
Wenigstens war der Server "sauber", die Infektion hat also vermutlich nur einen Arbeitsplatz betroffen.
Hasta la victoria siempre, wie Che immer zu sagen pflegte.
lks
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 363931
Url: https://administrator.de/contentid/363931
Printed on: April 26, 2024 at 05:04 o'clock
9 Comments
Latest comment
Moin lks,
ich bin bisher mit den diversen Decryptern von Kaspersky https://noransom.kaspersky.com/ immer gut gefahren. Auch hilfreich ist das ID Ransomware Tool, welches den verwendeten Bösewicht aufgrund der verschlüsselten Daten, der Lösegeldforderungen und evtl. angegebenen Mailadressen erkennt...
lG MOS
Edit: Auch sehr empfehlenswert sind die Foren von BleepingComputer.com - dort findet man auch tiefgreifende Informationen zum jeweiligen Schädling und dem Umgang mit selbigem.
ich bin bisher mit den diversen Decryptern von Kaspersky https://noransom.kaspersky.com/ immer gut gefahren. Auch hilfreich ist das ID Ransomware Tool, welches den verwendeten Bösewicht aufgrund der verschlüsselten Daten, der Lösegeldforderungen und evtl. angegebenen Mailadressen erkennt...
lG MOS
Edit: Auch sehr empfehlenswert sind die Foren von BleepingComputer.com - dort findet man auch tiefgreifende Informationen zum jeweiligen Schädling und dem Umgang mit selbigem.
Moin lks,
bisher nur einmal bei nem bekannten gehabt. Nach ~5 Stunden und ner Kiste Bier aufgegeben.
Deine Vermutung das du u.U. Diskussionen mit dem Kunden bekommst ist also naheliegend.
Gruß
bisher nur einmal bei nem bekannten gehabt. Nach ~5 Stunden und ner Kiste Bier aufgegeben.
Deine Vermutung das du u.U. Diskussionen mit dem Kunden bekommst ist also naheliegend.
Gruß
Zitat von @MOS6581:
Moin lks,
ich bin bisher mit den diversen Decryptern von Kaspersky https://noransom.kaspersky.com/ immer gut gefahren.
Moin lks,
ich bin bisher mit den diversen Decryptern von Kaspersky https://noransom.kaspersky.com/ immer gut gefahren.
Da ist ncihts dabei, was auf Locky paßt.
Auch hilfreich ist das ID Ransomware Tool, welches den verwendeten Bösewicht aufgrund der verschlüsselten Daten, der Lösegeldforderungen und evtl. angegebenen Mailadressen erkennt...
Der sagt, geht momentan nicht. Man soll die Dateien einlagern und auf spätere Tools hoffen.
Edit: Auch sehr empfehlenswert sind die Foren von BleepingComputer.com - dort findet man auch tiefgreifende Informationen zum jeweiligen Schädling und dem Umgang mit selbigem.
werde ich mal reinschauen. Vielleich tgibt es da was.
Aber ich vermute mal, daß man die Dateien vorerst abschreiben muß. Ich kann nur hoffen, daß ich den Mitarbeiter auftreiben kann, der sich damals um die Infektion bzw. deren Beseitigung gekümmert hat.
lks
Alles klar. Interessant wäre, um welchen Cryptolocker es sich genau handelt. Decrypter für Locky (welche Variante auch immer) scheint es einige zu geben, unter anderem diesen hier PowerLockyDecryptor von Michael Gillespie, welcher auch die ID Ransomware Seite in's Leben gerufen hat.
Meistens ist die genaue Ransomware an dem "Erpresserschreiben" zu identifizieren.
lG MOS
Meistens ist die genaue Ransomware an dem "Erpresserschreiben" zu identifizieren.
lG MOS
Es scheint die allerserste Locky-Generation zu sein. Zumindest nach dem Dateinamen mit sedezimaler "Kundennummer" und Zufallszahl und der Endung locky zu urteilen. Die HTM-dateien mit der Lösegeldforderung habe ich auf dem Serve rncith gesehen. Deswegen gehe ich davon aus, daß genau ein Client betroffen war, weil auch nur eine "Kundennummer" auftaucht.
lks
Zitat von @MOS6581:
... unter anderem diesen hier PowerLockyDecryptor von Michael Gillespie, welcher auch die ID Ransomware Seite in's Leben gerufen hat.
... unter anderem diesen hier PowerLockyDecryptor von Michael Gillespie, welcher auch die ID Ransomware Seite in's Leben gerufen hat.
Der sagt auch nur, daß die dateien vom "real locky" verschlüsselt wurden und macht nichts. Trotzdem danke.
lks
Schade - dann ist das wohl tatsächlich die "vernünftige" Locky-Version die afaik immer noch nicht entschlüsselt werden kann (es sei denn, die Master-Keys werden irgendwann publik). Aus der letzten böseren Ransomware-Geschichte habe ich noch ein paar Images mit Dharma-Ransomware-Opfern rumliegen, da hoffe ich auch darauf, dass irgendwann mal Schlüssel auftauchen - nicht zuletzt, damit ich die vielen externen Platten wieder benutzen kann ;)
Was aber für solche langwierigen Dinger nicht schadet, ist sich im BleepingComputer-Forum für den jeweiligen Thread eine E-Mail Benachrichtigung einzurichten und informiert zu werden, sobald es etwas neues gibt.
lG MOS
Was aber für solche langwierigen Dinger nicht schadet, ist sich im BleepingComputer-Forum für den jeweiligen Thread eine E-Mail Benachrichtigung einzurichten und informiert zu werden, sobald es etwas neues gibt.
lG MOS
Update
Ich habe inzwischen auch Hinweise gefunden, daß offensichtlich am 30.08.2016 noch eine Cerber-Infektion vorgefallen sein muß. Auch da melden die Tools, daß die dateien noch nicht entschlüsselt werden können.
Ich glaube ich stelle mal die Wiederherstellungversuche ein, um zumindest erstmal die mitarbeiter zu lokalisieren, die damals damit zu tun hatten. Insbeondere werde ich prüfen, ob damals dateien aus dem Backup wiederhergestellt werden konnten oder ob die vorhandenen verschlüsselten Dateien als schwarzes Loch betrachtet werden müssen.
danke jedenfalls für eure Tipps.
Wenn aber jemand noch Hinweise hat, dann gerne her damit,
lks
Ich habe inzwischen auch Hinweise gefunden, daß offensichtlich am 30.08.2016 noch eine Cerber-Infektion vorgefallen sein muß. Auch da melden die Tools, daß die dateien noch nicht entschlüsselt werden können.
Ich glaube ich stelle mal die Wiederherstellungversuche ein, um zumindest erstmal die mitarbeiter zu lokalisieren, die damals damit zu tun hatten. Insbeondere werde ich prüfen, ob damals dateien aus dem Backup wiederhergestellt werden konnten oder ob die vorhandenen verschlüsselten Dateien als schwarzes Loch betrachtet werden müssen.
danke jedenfalls für eure Tipps.
Wenn aber jemand noch Hinweise hat, dann gerne her damit,
lks
1
Ich glaube ich stelle mal die Wiederherstellungversuche ein, um zumindest erstmal die mitarbeiter zu lokalisieren, die damals damit zu tun hatten.
Wenn Du die findest, kannst Du ja auch fragen, ob da bereits Entschlüsselungsversuche stattgefunden haben, bei denen die Datein eventuell verändert wurden, was auch zur Quasi-Nichterkennung durch die o.g. Tools führen könnte. Wenn dem so wäre, könntest Du Dir weiteres Prüfen sparen.
LG xal
