DATA REVERSE® Datenrettung: Doppelt hält besser - von Ransomware CrySiS verschlüsseltes RAID5 gerettet
Dateiserver durch zwei Versionen des Filecoders CrySIS befallen - Erfolgreiche Entschlüsselung
DATA REVERSE® Datenrettung & Entschlüsselung von CrySIS Ransomware (©Fotolia.de) |
Leipzig (ptp005/10.10.2016/07:05) Eines Morgens waren alle Daten verschlüsselt. Was nach einem vermeintlichen Sicherheitsupdate klingt, war für die IT-Verantwortlichen eines deutschen Sportverbandes der Albtraum schlechthin. 12 Terrabyte wichtiger Daten wurden über Nacht zerstört. Das RAID5 Array auf dem Datenserver mit 4 x 4TB Festplatten vom Typ ST4000VN000 wurde von so genannter Ransomware vom Typ "CrySIS" heimgesucht.
Paralleler Angriff zweier Erpressungstrojaner
Nicht dass der Schaden durch die Verschlüsselung eines Schädlings genug gewesen wäre - das Unheil kam mit doppelter Wirkung. Zwei CrySIS Filecoder verschlüsselten kurz nacheinander sämtliche Dateien innerhalb des Servers.
Lars Müller vom Datenretter DATA REVERSE® aus Leipzig https://www.datareverse-datenrettung.de war in den Datenrettungsauftrag involviert: "Wir hatten schon den ein oder anderen Datenrettungsauftrag, bei dem ein Verschlüsselungstrojaner zugeschlagen hatte. In diesem Fall war das Novum, dass wir es gleich mit zwei CrySIS Varianten zu tun hatten."
CrySIS Ransomware per Baukasten aus dem Darknet
Erpressungstrojaner sind seit mehreren Jahren bekannt und im Umlauf. Schäden durch die Ransomware vom Typ CrySIS wurden verstärkt seit dem zweiten Quartal 2016 festgestellt. Der Verschlüsselungstrojaner wird am häufigsten über Spam E-Mails mit falschen Dateianhängen verbreitet. Die Schadsoftware wird mittlerweile massenhaft verbreite t und in verschiedenen Varianten per Baukastensystem im Darknet angeboten. Werden E-Mails und deren Anhänge geöffnet und gelingt es dem Schädling Zugriff auf einen PC im Netzwerk zu erhalten, so werden konsequent sämtliche erreichbaren Daten verschlüsselt und damit für den Anwender unbrauchbar gemacht.
Gegen die Zahlung eines Lösegeldes von meist mehreren hundert Euro wird dem Nutzer angeboten die Daten wieder in den Originalzustand zu versetzen. Häufig schlägt diese Option jedoch fehl, da nur ein Teil der Daten entschlüsselt wird oder nach der anonymen Zahlung gar keine Reaktion durch den Erpresser erfolgt. Spezialisierte Kryptographen und Datenrettungsunternehmen sind dann oftmals die einzige Möglichkeit Daten erfolgreich wiederherzustellen.
Vollständige Datenrettung durch DATA REVERSE®
Im Zuge der Datenwiederherstellung stellte sich der doppelte Virenbefall klar heraus. Neben der starken Verschlüsselung, deren Entschlüsselung im Vordergrund der Datenwiederherstellungsprozedur stand waren vor allem starke Schäden innerhalb der Dateistrukturen vorzufinden - ein Resultat des gleichzeitigen Zugriffs beider Trojaner auf ein und dieselbe Datei. Diese Daten waren aufgrund des seltenen Parallelangriffs nicht verschlüsselt worden, aber auf unterschiedliche Weise beschädigt.
Die Datenretter hatten somit drei Hauptaufgaben zu absolvieren - die Entschlüsselung von CrySIS Ransomware A und B sowie die Rekonstruktion von nicht verschlüsselten aber beschädigten Dateien innerhalb des Dateisystems.
Die Daten konnten vollständig und einwandfrei lesbar wiederhergestellt werden. Dank der Expressbearbeitung im 24h-Modus konnte die Datenrettung trotz starker Verschlüsselung und zusätzlicher Schäden innerhalb weniger Tage durchgeführt werden.
Weitere Informationen:
https://www.recoverylab.de/tag/ransomware
(Ende)Aussender: | DATA REVERSE |
Ansprechpartner: | Ute Dietrich |
Tel.: | +49 341 392 817 89 |
E-Mail: | presse@datareverse-datenrettung.de |
Website: | www.datareverse-datenrettung.de |