Rufen Sie uns an: +49 341 242 502 10

Ich war hier: erdaxoITransomLog

Verlauf der Änderungen der Seite erdaxoITransomLog


Version [4171]

Zuletzt bearbeitet am 2022-08-11 13:39:43 durch ErdaxoAdmin
Hinzugefügt:
Wir haben in diesem Fall mit etwas Glück - insbesondere aber mit Hartnäckigkeit und Erfahrung mit unterschiedlichsten Szenarien in der Informationstechnik sowie mit einer innovativen Werkstatt - dem Kunden umfassend helfen können. Dennoch ist hier ein Schaden eingetreten, der gerichtlich geltend gemacht werden musste. Für alle Beteiligten unbefriedigend. Dabei war der Zwischenfall absolut vermeidbar - Kunden, die unseren Schutz genießen, müssen derartige Fälle nicht beklagen.
Bemerkenswert ist auch, dass es uns nicht gelungen ist, nach dem Zwischenfall eine Zusammenarbeit mit Polizeibehörden oder Unternehmerorganisationen aufzubauen. Das für andere nützliche Know-How, das wir teilweise kostenlos zur Verfügung stellen, bleibt damit leider nur uns vorbehalten. Dabei könnten wir mit unserer Forensik-Werkstatt den Ermittlern für genauere Eingrenzung der Straftaten sorgen, Beweise gerichtsfest sichern und den Betroffenen bei Beseitigung der Folgen derartiger Zwischenfälle effektiv helfen. Für entsprechende Zusammenarbeit stehen wir jedenfalls zur Verfügung! [[http://net4lawyer.com/erdaxo_message.php Fragen Sie uns, wenn Sie interessiert sind!]]

Gelöscht:
Wir haben in diesem Fall mit etwas Glück - insbesondere aber mit Hartnäckigkeit und unserer Erfahrung mit unterschiedlichsten Szenarien in der Informationstechnik sowie mit einer innovativen Werkstatt - dem Kunden umfassend helfen können. Dennoch ist hier ein Schaden eingetreten, der gerichtlich geltend gemacht werden musste. Für alle Beteiligten unbefriedigend.


Version [4170]

Bearbeitet am 2022-08-11 12:19:08 durch ErdaxoAdmin
Hinzugefügt:
===== Logbuch eines Ransomware-Angriffs =====

Gelöscht:
===== Logbuch eines IT-Zwischenfalls =====


Version [4169]

Bearbeitet am 2022-08-11 11:39:18 durch ErdaxoAdmin
Hinzugefügt:
== unsere Erfahrungen bei Unterstützung eines Kunden ==
Nachstehend finden Sie eine detaillierte Darstellung eines IT-Zwischenfalls, zu dem wir - leider - erst nach Eintritt des //worst case// hinzugezogen wurden. Wir haben dem Kunden glücklicherweise recht gut helfen können. Wir müssen allerdings zugeben, dass wir (mit Blick auf die Folgen für den Kunden) viel lieber vorbeugend tätig geworden wären... Deshalb betrachten wir die folgende Darstellung als eine Gelegenheit für unsere künftigen Kunden, über die Sicherheit ihrer Systeme rechtzeitig nachzudenken. [[http://net4lawyer.com/erdaxo_message.php Bei Bedarf helfen wir gern]]!
Server geht wieder nicht! Anruf bei C: MA kommt gleich vorbei. An den Server werden Monitor und Tastatur angeschlossen. Dateien mit neuen Endungen versehen (##.Lazarus+##) und verschlüsselt. Kein Betrieb möglich. Internet-Recherche: offensichtlich ein Ransomware-Angriff! Es existiert eine interne Datensicherungsfestplatte.
Telefonat mit der Polizei. Zuständiger Kommissar (K) nimmt den Sachverhalt zur Kenntnis. Bittet um Bildschirmfotos und Anzeige per Email. Empfiehlt die Webseite //nomoreransomware.com//.
Erneutes Telefonat mit der Polizei, K. Schlechte Aussichten, die Daten zurückzuerhalten. Es seien Fälle bekannt, in denen nur die Zahlung des Lösegeldes geholfen hat. Notfalls müsse der Kunde dies für sich auch ins Auge fassen.
Nachtrag:
Wir haben in diesem Fall mit etwas Glück - insbesondere aber mit Hartnäckigkeit und unserer Erfahrung mit unterschiedlichsten Szenarien in der Informationstechnik sowie mit einer innovativen Werkstatt - dem Kunden umfassend helfen können. Dennoch ist hier ein Schaden eingetreten, der gerichtlich geltend gemacht werden musste. Für alle Beteiligten unbefriedigend.

Gelöscht:
== unsere Erfahrungen aus einem Kundenauftrag ==
Nachstehend finden Sie eine detaillierte Darstellung eines IT-Zwischenfalls, zu dem wir - leider - erst nach Eintritt des //worst case// hinzugezogen wurden. Wir haben dem Kunden glücklicherweise recht gut helfen können. Wir müssen allerdings zugeben, dass wir (mit Blick auf die Folgen für den Kunden) viel lieber vorbeugend tätig gewesen wären... Deshalb betrachten wir die folgende Darstellung als eine Mahnung und Gelegenheit für unsere künftigen Kunden, über die Sicherheit ihrer Systeme rechtzeitig nachzudenken. [[http://net4lawyer.com/erdaxo_message.php Bei Bedarf helfen wir gern]]!
Server funktioniert wieder nicht! Anruf bei C: MA kommt gleich vorbei. An den Server werden Monitor und Tastatur angeschlossen. Dateien mit neuen Endungen versehen (##.Lazarus+##) und verschlüsselt. Überall Textdateien mit Nachricht, wie im Bild zu lesen:
{{image url="http://net4lawyer.com/imageshare/encrypt_message.jpeg" title="Nachricht der Erpresser" alt="Bild der Nachricht der Erpresser"}}
Kein Betrieb möglich. Internet-Recherche: offensichtlich ein Ransomware-Angriff! Es existiert eine interne Datensicherungsfestplatte.
Telefonat mit der Polizei. Zuständiger Kommissar (K) nimmt den Sachverhalt zur Kenntnis. Bittet um Bildschirmfotos und Anzeige per Email. Empfiehlt die Webseite //Nomoreransomware.com//.
Erneutes Telefonat mit der Polizei (K). Schlechte Aussichten, die Daten zurückzuerhalten. Es seien Fälle bekannt, in denen nur die Zahlung des Lösegeldes geholfen hat. Notfalls müsse der Kunde dies für sich auch ins Auge fassen.


Version [4035]

Bearbeitet am 2022-08-05 17:18:32 durch WojciechLisiewicz
Hinzugefügt:
Nachstehend finden Sie eine detaillierte Darstellung eines IT-Zwischenfalls, zu dem wir - leider - erst nach Eintritt des //worst case// hinzugezogen wurden. Wir haben dem Kunden glücklicherweise recht gut helfen können. Wir müssen allerdings zugeben, dass wir (mit Blick auf die Folgen für den Kunden) viel lieber vorbeugend tätig gewesen wären... Deshalb betrachten wir die folgende Darstellung als eine Mahnung und Gelegenheit für unsere künftigen Kunden, über die Sicherheit ihrer Systeme rechtzeitig nachzudenken. [[http://net4lawyer.com/erdaxo_message.php Bei Bedarf helfen wir gern]]!

Gelöscht:
Nachstehend finden Sie eine detaillierte Darstellung eines IT-Zwischenfalls, zu dem wir - leider - erst nach Eintritt des //worst case// hinzugezogen wurden. Wir haben dem Kunden glücklicherweise recht gut helfen können. Wir müssen allerdings zugeben, dass wir (mit Blick auf die Folgen für den Kunden) viel lieber vorbeugend tätig gewesen wären... Deshalb betrachten wir die folgende Darstellung als eine Gelegenheit für unsere künftigen Kunden, über die Sicherheit ihrer Systeme rechtzeitig nachzudenken. [[http://net4lawyer.com/erdaxo_message.php Bei Bedarf helfen wir gern]]!


Version [4034]

Bearbeitet am 2022-08-05 17:17:03 durch WojciechLisiewicz
Hinzugefügt:
Nachstehend finden Sie eine detaillierte Darstellung eines IT-Zwischenfalls, zu dem wir - leider - erst nach Eintritt des //worst case// hinzugezogen wurden. Wir haben dem Kunden glücklicherweise recht gut helfen können. Wir müssen allerdings zugeben, dass wir (mit Blick auf die Folgen für den Kunden) viel lieber vorbeugend tätig gewesen wären... Deshalb betrachten wir die folgende Darstellung als eine Gelegenheit für unsere künftigen Kunden, über die Sicherheit ihrer Systeme rechtzeitig nachzudenken. [[http://net4lawyer.com/erdaxo_message.php Bei Bedarf helfen wir gern]]!

Gelöscht:
Nachstehend finden Sie eine detaillierte Darstellung eines IT-Zwischenfalls, zu dem wir - leider - erst nach Eintritt des //worst case// hinzugezogen wurden. Wir haben dem Kunden glücklicherweise recht gut helfen können. Wir müssen allerdings zugeben, dass wir (mit Blick auf die Folgen für den Kunden) viel lieber vorbeugend tätig geworden wären... Deshalb betrachten wir die folgende Darstellung als eine Gelegenheit für unsere künftigen Kunden, über die Sicherheit ihrer Systeme rechtzeitig nachzudenken. [[http://net4lawyer.com/erdaxo_message.php Bei Bedarf helfen wir gern]]!


Version [4033]

Bearbeitet am 2022-08-05 17:15:08 durch WojciechLisiewicz
Hinzugefügt:
== unsere Erfahrungen aus einem Kundenauftrag ==
Erneutes Telefonat mit der Polizei (K). Schlechte Aussichten, die Daten zurückzuerhalten. Es seien Fälle bekannt, in denen nur die Zahlung des Lösegeldes geholfen hat. Notfalls müsse der Kunde dies für sich auch ins Auge fassen.

Gelöscht:
== unsere Erfahrungen bei Unterstützung eines Kunden ==
Erneutes Telefonat mit der Polizei, K. Schlechte Aussichten, die Daten zurückzuerhalten. Es seien Fälle bekannt, in denen nur die Zahlung des Lösegeldes geholfen hat. Notfalls müsse der Kunde dies für sich auch ins Auge fassen.


Version [4032]

Bearbeitet am 2022-08-05 16:10:22 durch WojciechLisiewicz
Hinzugefügt:
Server funktioniert wieder nicht! Anruf bei C: MA kommt gleich vorbei. An den Server werden Monitor und Tastatur angeschlossen. Dateien mit neuen Endungen versehen (##.Lazarus+##) und verschlüsselt. Überall Textdateien mit Nachricht, wie im Bild zu lesen:
Kein Betrieb möglich. Internet-Recherche: offensichtlich ein Ransomware-Angriff! Es existiert eine interne Datensicherungsfestplatte.

Gelöscht:
Server geht wieder nicht! Anruf bei C: MA kommt gleich vorbei. An den Server werden Monitor und Tastatur angeschlossen. Dateien mit neuen Endungen versehen (##.Lazarus+##) und verschlüsselt. Kein Betrieb möglich. Internet-Recherche: offensichtlich ein Ransomware-Angriff! Es existiert eine interne Datensicherungsfestplatte.


Version [4031]

Bearbeitet am 2022-08-05 16:06:57 durch WojciechLisiewicz
Hinzugefügt:
{{image url="http://net4lawyer.com/imageshare/encrypt_message.jpeg" title="Nachricht der Erpresser" alt="Bild der Nachricht der Erpresser"}}


Version [4030]

Bearbeitet am 2022-08-05 16:00:14 durch WojciechLisiewicz

Gelöscht:
{{files}}


Version [4029]

Bearbeitet am 2022-08-05 15:59:57 durch WojciechLisiewicz
Hinzugefügt:
{{files}}


Version [4025]

Bearbeitet am 2022-08-05 15:32:22 durch WojciechLisiewicz

Keine Unterschiede

Version [4024]

Bearbeitet am 2022-08-05 15:31:25 durch WojciechLisiewicz
Hinzugefügt:
Ein normaler Betrieb ist an beiden Standorten wieder möglich.

Gelöscht:
Ein normaler Betrieb ist an beiden Standorten ist wieder möglich.


Version [4023]

Bearbeitet am 2022-08-05 15:30:23 durch WojciechLisiewicz
Hinzugefügt:
##irgendwann im Oktober##
Ein normaler Betrieb ist an beiden Standorten ist wieder möglich.
E liefert ein neues Serversystem auf Basis von FreeBSD und ZFS. Snapshots, Replikation der Daten auf andere Maschinen sowie sichere Konfiguration des Routers ermöglichen sicheren und unterbrechungsfreien Betrieb bis heute... E übernimmt Wartung, Verträge mit C werden aufgelöst.

Gelöscht:
E liefert ein neues Serversystem auf Basis von FreeBSD und ZFS. Snapshots, Replikation der Daten auf andere Maschinen sowie sichere Konfiguration des Routers ermöglichen sicheren und unterbrechungsfreien Betrieb bis heute...


Version [4022]

Bearbeitet am 2022-08-05 15:29:23 durch WojciechLisiewicz
Hinzugefügt:
##16.57 Uhr##
##15. 12.##
E liefert ein neues Serversystem auf Basis von FreeBSD und ZFS. Snapshots, Replikation der Daten auf andere Maschinen sowie sichere Konfiguration des Routers ermöglichen sicheren und unterbrechungsfreien Betrieb bis heute...
CategoryErdaxoIT

Gelöscht:
##ca. 16.57 Uhr##


Version [4021]

Bearbeitet am 2022-08-05 15:26:37 durch WojciechLisiewicz
Hinzugefügt:
Unser Kunde, dessen Unternehmen betroffen war, ist ein Freiberufler mit einigen Mitarbeitern und insgesamt ca. 10 Computerarbeitsplätzen. Er arbeitet mit Branchensoftware, die von einem zentralen Rechner (Server) im lokalen Netzwerk zur Verfügung gestellt wird. Zum damaligen Zeitpunkt arbeitete der Kunde mit zwei Standorten, die mit einer VPN-Leitung verbunden waren, so dass insgesamt ca. 15 Arbeitsplätze mit dem Server verbunden waren. Dann geschah Folgendes:

Gelöscht:
Unser Kunde, dessen Unternehmen betroffen war, ist ein Freiberufler mit einigen Mitarbeitern und insgesamt ca. 10 Computerarbeitsplätzen. Darüber hinaus arbeitet der Kunde mit Branchensoftware, die von einem zentralen Rechner (Server) im lokalen Netzwerk zur Verfügung gestellt wird. Zum damaligen Zeitpunkt arbeitete der Kunde mit zwei Standorten, die mit einer VPN-Leitung verbunden waren, so dass insgesamt ca. 15 Arbeitsplätze mit dem Server
verbunden waren. An dieser Stelle setzen wir an...
Der Tag, an dem alles begann:


Version [4020]

Bearbeitet am 2022-08-05 15:24:36 durch WojciechLisiewicz
Hinzugefügt:
Nachstehend finden Sie eine detaillierte Darstellung eines IT-Zwischenfalls, zu dem wir - leider - erst nach Eintritt des //worst case// hinzugezogen wurden. Wir haben dem Kunden glücklicherweise recht gut helfen können. Wir müssen allerdings zugeben, dass wir (mit Blick auf die Folgen für den Kunden) viel lieber vorbeugend tätig geworden wären... Deshalb betrachten wir die folgende Darstellung als eine Gelegenheit für unsere künftigen Kunden, über die Sicherheit ihrer Systeme rechtzeitig nachzudenken. [[http://net4lawyer.com/erdaxo_message.php Bei Bedarf helfen wir gern]]!

Gelöscht:
Nachstehend finden Sie eine detaillierte Darstellung eines IT-Zwischenfalls, zu dem wir - leider - erst nach Eintritt des //worst case// hinzugezogen wurden. Wir haben dem Kunden glücklicherweise recht gut helfen können. Wir müssen allerdings zugeben, dass wir (mit Blick auf die Folgen für den Kunden) viel lieber vorbeugend tätig geworden wären... Deshalb betrachten wir die folgende Darstellung als eine Gelegenheit für unsere künftigen Kunden, über die Sicherheit ihrer Systeme rechtzeitig nachzudenken. Bei Bedarf helfen wir gern!


Version [4019]

Bearbeitet am 2022-08-05 15:24:04 durch WojciechLisiewicz
Hinzugefügt:
Nachstehend finden Sie eine detaillierte Darstellung eines IT-Zwischenfalls, zu dem wir - leider - erst nach Eintritt des //worst case// hinzugezogen wurden. Wir haben dem Kunden glücklicherweise recht gut helfen können. Wir müssen allerdings zugeben, dass wir (mit Blick auf die Folgen für den Kunden) viel lieber vorbeugend tätig geworden wären... Deshalb betrachten wir die folgende Darstellung als eine Gelegenheit für unsere künftigen Kunden, über die Sicherheit ihrer Systeme rechtzeitig nachzudenken. Bei Bedarf helfen wir gern!

Gelöscht:
Nachstehend finden Sie eine detaillierte Darstellung eines IT-Zwischenfalls, zu dem wir - leider - erst nach Eintritt des //worst case// hinzugezogen wurden. Wir haben dem Kunden glücklicherweise recht gut helfen können. Wir müssen allerdings zugeben, dass wir (mit Blick auf die Folgen für den Kunden) viel lieber vorbeugend tätig sind... Deshalb betrachten wir die folgende Darstellung als eine Gelegenheit für unsere künftigen Kunden, über die Sicherheit ihrer Systeme rechtzeitig nachzudenken. Bei Bedarf helfen wir gern!


Version [4018]

Bearbeitet am 2022-08-05 15:23:02 durch WojciechLisiewicz
Hinzugefügt:
Die Kontaktaufnahme ist - unter Einhaltung jeglicher Vorsichtsmaßnahmen - erfolgreich, der Programmierer ist in der Lage, Dateibeispiele zu entschlüsseln. Er übersendet ein Entschlüsselungsprogramm und Codes für dessen Bedienung.
##26. 9.##
##Daten##
E stellt ein Inselsystem zur Wiederherstellung der Daten auf. Damit und mit den vom kontaktierten Programmierer zur Verfügung gestellten Werkzeugen gelingt die Entschlüsselung der kompletten Daten!
##Unternehmen##
Eingeschränkter Betrieb am Standort 1, Teil der Funktionen der Branchensoftware noch nicht ganz lauffähig. Auch Einbindung der Peripheriegeräte scheitert teilweise noch. Teilweise erfolg dank Unterstützung des Herstellers der Branchensoftware.
Standort 2 nach wie vor geschlossen. Verbindung mit Standort 1 gelingt diesmal aber.
##27. 9.##
##Standort 1##
Noch eingeschränkter Betrieb hier, nicht alle Funktionen vorhanden, auch wenn einzelne wieder eingeschaltet werden.
##Standort 2##
Eingeschränkter Betrieb.
##Daten##
E ist in der Lage, wiederhergestellte Daten mit dem aktuellen Bestand zu vereinigen.
##29. 9.##
E spielt die vereinigten Daten auf den Server am Standort 1 auf.

Gelöscht:
Die Kontaktaufnahme ist erfolgreich, der Programmierer ist in der Lage, Dateibeispiele zu entschlüsseln. Er übersendet ein Entschlüsselungsprogramm und Codes für dessen Bedienung.


Version [4017]

Bearbeitet am 2022-08-05 15:14:18 durch WojciechLisiewicz
Hinzugefügt:
Erneutes Telefonat mit der Polizei, K. Schlechte Aussichten, die Daten zurückzuerhalten. Es seien Fälle bekannt, in denen nur die Zahlung des Lösegeldes geholfen hat. Notfalls müsse der Kunde dies für sich auch ins Auge fassen.
Im Hinblick auf die verschlüsselten Daten empfiehlt E vorerst keine Kontaktaufnahme mit den Erpressern. Dies müsste vorsichtig erfolgen und erst dann, wenn klar ist, dass
a) es nicht anders möglich ist, an die Daten heranzukommen, und
b) die Daten noch wertvoll genug sind, d. h. wir sie noch wirklich benötigen und nicht durch etwas anderes ersetzen können.
##25. 9.##
##verschlüsselte Daten##
E sucht nach einer Lösung für die verschlüsselten Daten. Kontaktaufnahme mit Erpressern erfolgt nicht.
Über https://www.nomoreransom.org wird die Art des Angriffs spezifiziert. Dies ermöglicht eine genauere Suche der Ursachen und Umstände des Zwischenfalls. Dadurch wird auch die Diskussion im Forum auf https://bleepingcomputer.com gefunden, die sich auf genau diese Art von Angriff bezieht.
Die genaue Analyse der Diskussion und der Aussagen ermöglicht E schließlich, einen Programmierer zu kontaktieren, der in der Lage wäre, die Daten (kostenlos!) zu entschlüsseln.
Die Kontaktaufnahme ist erfolgreich, der Programmierer ist in der Lage, Dateibeispiele zu entschlüsseln. Er übersendet ein Entschlüsselungsprogramm und Codes für dessen Bedienung.
##am Standort 1##
Eingeschränkter Betrieb ist möglich. C ist vorerst nicht in der Lage, Standort 2 mit Standort 1 zu verbinden.

Gelöscht:
Erneutes Telefonat mit der Polizei, K. Schlechte Aussichten, die Daten zurückzuerhalten.


Version [4016]

Bearbeitet am 2022-08-05 14:52:50 durch WojciechLisiewicz
Hinzugefügt:
##21. 9.##
Vorbereitung des Linux-Servers durch E.
##22. 9.##
Montage und Inbetriebnahme des Linux-Servers am Standort 1 durch E.

##23. 9.##
Wiederherstellung des Backups aus Altdaten (5. 7.) und Übernahme im neuen System. Unternehmensbetrieb ruht weiterhin.
##24. 9.##
Stark eingeschränkter Betrieb am Standort 1, zahlreiche Geräte funktionieren noch nicht wie gewohnt, u. a. Drucker, Scanner. Terminkalender ist leer durch Altdatenbestand. Branchensoftware wird mit Hilfe des Anbieters langsam in die Infrastruktur eingebunden. Standort 2 bleibt geschlossen.


Version [4015]

Bearbeitet am 2022-08-05 14:46:45 durch WojciechLisiewicz
Hinzugefügt:
----
==== das Protokoll ====

Gelöscht:
==== Protokoll eines Ransomware-Angriffs ====


Version [4014]

Die älteste bekannte Version dieser Seite wurde am 2022-08-05 14:45:19 von WojciechLisiewicz bearbeitet.