expertenaustausch > comp.* > comp.security.misc

Jörg Hermes (08.10.2019, 21:55)
Auf einem Windows Server ist ein Ordner namens "Scanner". Schreibrecht
haben ein paar User und ein Toshiba-Kopierer.
Nun waren alle Scans.pdf in diesem Ordner vom Guesshwo-Virus
verschlüsselt worden. Außer in diesem Ordner wurde nichts verschlüsselt.

Als erstes habe ich die PCs der User mit Schreibrechten auf den
Scanner-Ordner überprüft. Lokal bei denen war nichts verschlüsselt,
Virenscan negativ.

Auf dem ganzen Server auch nichts weiteres verschlüsselt, nur die
Dateien im Scanner-Ordner waren betroffen. Die einzige Partei, die hier
auf nichts weiter Zugriff hat als auf diesen Ordner, ist der Kopierer
selbst, der zwecks Fernwartung durch einen externen Dienstleister mit
dem Internet verbunden ist.

Wonach sieht das denn aus?
Andreas Kohlbach (08.10.2019, 22:50)
On Tue, 8 Oct 2019 21:55:27 +0200, Jörg Hermes wrote:
[..]
> Kopierer selbst, der zwecks Fernwartung durch einen externen
> Dienstleister mit dem Internet verbunden ist.
> Wonach sieht das denn aus?


Laut Google ist das Ransomware, die man sich einfing, weil man Malware
aus einer Email installierte - und als Admin unterwegs war. Google zeigt
mehrere Seiten, auf denen es angeblich ein Programm zum entfernen
gibt. Aber keines aus vertrauenswürdiger Quelle. Die Installation dieser
könnte die Lage nur noch verschlimmern.

Wenn die Daten wichtig waren, zahle dafür und bete, dass die Dir sagen,
wie Du sie wieder entschlüsseln kannst. Und lerne daraus, Backups auf
externen Datenträgern anzulegen und nicht als Admin zu arbeiten in der
Annahme, dass der Server nicht mit User-Rechten läuft.
Herrand Petrowitsch (09.10.2019, 17:15)
Andreas Kohlbach schrieb:
> Jörg Hermes wrote:


>> Auf einem Windows Server


Welche Version von "Windows Server"?

>> ist ein Ordner namens "Scanner". Schreibrecht
>> haben ein paar User und ein Toshiba-Kopierer.
>> Nun waren alle Scans.pdf in diesem Ordner vom Guesshwo-Virus
>> verschlüsselt worden.
>> [...]
>> Wonach sieht das denn aus?


Nach eigener Dummheit^W^Wunfaehigem "Administrator".

> Laut Google ist das Ransomware, die man sich einfing, weil man Malware
> aus einer Email installierte - und als Admin unterwegs war. Google zeigt
> mehrere Seiten, auf denen es angeblich ein Programm zum entfernen
> gibt. Aber keines aus vertrauenswürdiger Quelle. Die Installation dieser
> könnte die Lage nur noch verschlimmern.


Ebend: Nicht weiter daran fummeln!

> Wenn die Daten wichtig waren, zahle dafür und bete, dass die Dir sagen,
> wie Du sie wieder entschlüsseln kannst.


Nicht einen mueden Cent wuerde ich dafuer bezahlen, sondern die
Angelegenheit zur Anzeige bringen.

In solchen Faellen sind die betroffenen Geraete sofort vom Netz zu
nehmen und sauber neu aufzusetzen.

> Und lerne daraus, Backups auf
> externen Datenträgern anzulegen und nicht als Admin zu arbeiten in der
> Annahme, dass der Server nicht mit User-Rechten läuft.


Weiter noch: Dem verantwortlichen Admin nebst Schadenersatzforderung
kuendigen und den Server kuenftig von entsprechend ausgebildetem
Personal restriktiv absichern lassen.

Gruss Herrand
Jörg Hermes (09.10.2019, 20:20)
Andreas Kohlbach schrieb:

> On Tue, 8 Oct 2019 21:55:27 +0200, Jörg Hermes wrote:
> Laut Google ist das Ransomware, die man sich einfing, weil man Malware
> aus einer Email installierte - und als Admin unterwegs war.


Dagegen spricht eigentlich, dass alle drei E-Mail-Berechtigten nicht als
Admin unterwegs sind und dass auf deren PCs auch keine lokalen Dateien
verschlüsselt wurden. Und auch auf dem Server wurden keine Ordner
verschlüsselt, auf den diese User Schreibrecht haben, ausser diesem einen.

> Wenn die Daten wichtig waren, zahle dafür und bete, dass die Dir sagen,
> wie Du sie wieder entschlüsseln kannst.


Waren nicht wichtig. Der Scanner-Ordner ist nur so eine Art Temp-Ordner.
Verschlüsselt wurden insgesamt so etwa sieben eingescante Dokumente.

> Und lerne daraus, Backups auf
> externen Datenträgern anzulegen und nicht als Admin zu arbeiten


Beides geschieht bereits bzw. ist der Fall.
Ich wiederhole: Es wurde nur ein Ordner verschlüsselt.
Und es gibt genau einen "User" der lediglich auf diesen einen
verschlüsselten Ordner Schreibrecht hat und sonst nirgends. Und das ist
der Kopierer, damit er die Scans dort hinschreiben kann.
Welchen Schluss legt das nahe?
Andreas Kohlbach (09.10.2019, 20:32)
On Wed, 09 Oct 2019 17:15:00 +0200, Herrand Petrowitsch wrote:
> Andreas Kohlbach schrieb:


[...]

>> Wenn die Daten wichtig waren, zahle dafür und bete, dass die Dir sagen,
>> wie Du sie wieder entschlüsseln kannst.

> Nicht einen mueden Cent wuerde ich dafuer bezahlen, sondern die
> Angelegenheit zur Anzeige bringen.
> In solchen Faellen sind die betroffenen Geraete sofort vom Netz zu
> nehmen und sauber neu aufzusetzen.


Mir hört sich das an, als dass der OP selbst auch der Server-Admin ist.
Gernot Griese (09.10.2019, 21:18)
Am 09.10.19 um 20:20 schrieb Jörg Hermes:
[..]
> verschlüsselten Ordner Schreibrecht hat und sonst nirgends. Und das ist
> der Kopierer, damit er die Scans dort hinschreiben kann.
> Welchen Schluss legt das nahe?


Dass der Kopierer selbst gekapert wurde, möglicherweise mit tatkräftiger
"Unterstützung" durch den Dienstleister.

Gernot
Andreas Kohlbach (09.10.2019, 21:53)
On Wed, 9 Oct 2019 20:20:02 +0200, Jörg Hermes wrote:
> Andreas Kohlbach schrieb:
> Beides geschieht bereits bzw. ist der Fall.
> Ich wiederhole: Es wurde nur ein Ordner verschlüsselt.
> Und es gibt genau einen "User" der lediglich auf diesen einen
> verschlüsselten Ordner Schreibrecht hat und sonst nirgends. Und das
> ist der Kopierer, damit er die Scans dort hinschreiben kann.
> Welchen Schluss legt das nahe?


Muss dieser Mitarbeiter in der nahen Zukunft vielleicht mit seiner
Einlassung rechnen?
Herrand Petrowitsch (09.10.2019, 22:23)
Jörg Hermes schrieb:
> Andreas Kohlbach schrieb:
>> Jörg Hermes wrote:



Mit welchen Mitteln?
Ist dir eigentlich bewusst, dass sich gut gemachte Malware an allem, was
sich Anti-Irgendetwas nennt, elegant vorbeischleicht?

>>> Auf dem ganzen Server auch nichts weiteres verschlüsselt, nur die
>>> Dateien im Scanner-Ordner waren betroffen. Die einzige Partei, die
>>> hier auf nichts weiter Zugriff hat als auf diesen Ordner, ist der
>>> Kopierer selbst, der zwecks Fernwartung durch einen externen
>>> Dienstleister mit dem Internet verbunden ist.

^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Das waere zumindest bereits ein denkbarer Angriffsvektor.

> Dagegen spricht eigentlich, dass alle drei E-Mail-Berechtigten nicht als
> Admin unterwegs sind und dass auf deren PCs auch keine lokalen Dateien
> verschlüsselt wurden. Und auch auf dem Server wurden keine Ordner
> verschlüsselt, auf den diese User Schreibrecht haben, ausser diesem einen.
> Waren nicht wichtig. Der Scanner-Ordner ist nur so eine Art Temp-Ordner.
> Verschlüsselt wurden insgesamt so etwa sieben eingescante Dokumente.
> Beides geschieht bereits bzw. ist der Fall.


Sofern es Backups gibt, existiert ja auch kein Problem.

Nur: Allein die Tatsache, dass ueberhaupt jemand imstande ist, dein Netz
auf derartige Weise (von innerhalb!?) zu kompromittieren, sollte fuer
dich Anlass fuer interne Analyse geben.

> Ich wiederhole: Es wurde nur ein Ordner verschlüsselt.
> Und es gibt genau einen "User" der lediglich auf diesen einen
> verschlüsselten Ordner Schreibrecht hat und sonst nirgends. Und das ist
> der Kopierer, damit er die Scans dort hinschreiben kann.


Nein, im OP meintest du

| Schreibrecht haben ein paar User und ein Toshiba-Kopierer

Die relevante Passage habe ich ganz oben unterstrichen.

> Welchen Schluss legt das nahe?


Jenen eigener Dummheit^W^Weines unfaehigen "Administrators".

Anm: Fullquote intended.

Gruss Herrand
Herrand Petrowitsch (09.10.2019, 22:35)
Andreas Kohlbach schrieb:
> Herrand Petrowitsch wrote:
>> Andreas Kohlbach schrieb:


> [...]
> Mir hört sich das an, als dass der OP selbst auch der Server-Admin ist.


Mag sein, dann darf er sich eben selbst entlassen und anzeigen (sofern
er nicht eh bereits mit Schadsoftware genug bedient ist :-)).

Gruss Herrand
Jörg Hermes (09.10.2019, 22:38)
Herrand Petrowitsch schrieb:

> Jörg Hermes schrieb:


>> Ich wiederhole: Es wurde nur ein Ordner verschlüsselt.
>> Und es gibt genau einen "User" der lediglich auf diesen einen ^^^^^^^^^^^^^^^^^^^^^^^^^^
>> verschlüsselten Ordner Schreibrecht hat und sonst nirgends. Und das ist
>> der Kopierer, damit er die Scans dort hinschreiben kann.

> Nein, im OP meintest du
> | Schreibrecht haben ein paar User und ein Toshiba-Kopierer


Du siehst einen Widerspruch, wo keiner ist.
Ich formulier es mal anders:
Schreibrechte auf diesen Ordner haben mehrere, aber es gibt nur einen,
der Schreibrecht *nur* auf diesen Ordner hat und sonst nirgends.
Thomas Einzel (09.10.2019, 22:46)
Am 09.10.2019 um 22:38 schrieb Jörg Hermes:
> Herrand Petrowitsch schrieb: ....
>> | Schreibrecht haben ein paar User und ein Toshiba-Kopierer ....

> Du siehst einen Widerspruch, wo keiner ist.
> Ich formulier es mal anders:
> Schreibrechte auf diesen Ordner haben mehrere, aber es gibt nur einen,
> der Schreibrecht *nur* auf diesen Ordner hat und sonst nirgends.


Nur weil ein Konto Schreibrecht auf nur diesen Ordner hat, heißt das ja
nicht, dass es keiner der anderen User/Konten mit Schreibrecht gewesen
sein kann.

Besitzer der betr. Datei(n), falls im verwendeten Dateisystem verfügbar,
schon ermittelt?
Jörg Hermes (09.10.2019, 22:56)
Thomas Einzel schrieb:

> Am 09.10.2019 um 22:38 schrieb Jörg Hermes:
> ...
> ...
> Nur weil ein Konto Schreibrecht auf nur diesen Ordner hat, heißt das ja
> nicht, dass es keiner der anderen User/Konten mit Schreibrecht gewesen
> sein kann.


Ja das stimmt. Aber die anderen User/Konten haben ja auch Schreibrecht
auf unterschiedlich viele Ordner. Die wurden aber nicht verschlüsselt.
Und vor allem wurde bei denen auch lokal nix verschlüsselt.

> Besitzer der betr. Datei(n), falls im verwendeten Dateisystem verfügbar,
> schon ermittelt?


Ich hatte mich bereits darüber geärgert, die gelöscht zu haben, bevor
ich das überprüfen wollte.
Rupert Haselbeck (09.10.2019, 23:20)
Jörg Hermes schrieb:

> Ja das stimmt. Aber die anderen User/Konten haben ja auch Schreibrecht
> auf unterschiedlich viele Ordner. Die wurden aber nicht verschlüsselt.
> Und vor allem wurde bei denen auch lokal nix verschlüsselt.


Wer sagt denn, dass es ein Schadprogramm gewesen sein muss, das einfach mal
alles verschlüsselt, was es erreichen kann?
Kann es denn nicht ebensogut einer der User, welche dort Schreibrecht haben,
absichtlich getan haben?

>> Besitzer der betr. Datei(n), falls im verwendeten Dateisystem verfügbar,
>> schon ermittelt?

> Ich hatte mich bereits darüber geärgert, die gelöscht zu haben, bevor
> ich das überprüfen wollte.


Das macht die Suche nach der Ursache nicht wirklich leichter :->

MfG
Rupert
Thomas Einzel (10.10.2019, 09:59)
Am 09.10.2019 um 22:56 schrieb Jörg Hermes:
> Thomas Einzel schrieb: ....>> Besitzer der betr. Datei(n), falls im verwendeten Dateisystem
>> verfügbar, schon ermittelt?

> Ich hatte mich bereits darüber geärgert, die gelöscht zu haben, bevor
> ich das überprüfen wollte.


Es ist in der Forensik nicht unbedingt üblich Beweisstücke vor der
Analyse zu vernichten.

Den dauerhaften Schreibzugriff des Dienstleisters hast du hoffentlich
abgestellt/abstellen lassen.