Aufwändige Entschlüsselung nach doppeltem Befall von RAID 5 System mit Ransomware CrySIS – Erfolgreiche Datenrettung durchgeführt
Eines Morgens waren alle Daten verschlüsselt. Was nach einem vermeintlichen Sicherheitsupdate klingt, war für die IT-Verantwortlichen eines deutschen Sportverbandes der Albtraum schlechthin.
12 Terrabyte wichtiger Daten wurden über Nacht zerstört. Das RAID5 Array auf dem Datenserver mit 4 x 4TB Festplatten vom Typ ST4000VN000 wurde von so genannter Ransomware vom Typ „CrySIS“ heimgesucht.
Paralleler Angriff zweier Erpressungstrojaner
Nicht dass der Schaden durch die Verschlüsselung eines Schädlings genug gewesen wäre – das Unheil kam mit doppelter Wirkung. Zwei CrySIS Filecoder verschlüsselten kurz nacheinander sämtliche Dateien innerhalb des Servers.
Lars Müller vom Datenretter DATARECOVERY® aus Leipzig war in den Datenrettungsauftrag involviert: „Wir hatten schon den ein oder anderen Datenrettungsauftrag, bei dem ein Verschlüsselungstrojaner zugeschlagen hatte. In diesem Fall war das Novum, dass wir es gleich mit zwei CrySIS Varianten zu tun hatten.“
CrySIS Ransomware per Baukasten aus dem Darknet
Erpressungstrojaner sind seit mehreren Jahren bekannt und im Umlauf. Schäden durch die Ransomware vom Typ CrySIS wurden verstärkt seit dem zweiten Quartal 2016 festgestellt. Der Verschlüsselungstrojaner wird am häufigsten über Spam E-Mails mit falschen Dateianhängen verbreitet. Die Schadsoftware wird mittlerweile massenhaft verbreite t und in verschiedenen Varianten per Baukastensystem im Darknet angeboten. Werden E-Mails und deren Anhänge geöffnet und gelingt es dem Schädling Zugriff auf einen PC im Netzwerk zu erhalten, so werden konsequent sämtliche erreichbaren Daten verschlüsselt und damit für den Anwender unbrauchbar gemacht. Gegen die Zahlung eines Lösegeldes von meist mehreren hundert Euro wird dem Nutzer angeboten die Daten wieder in den Originalzustand zu versetzen. Häufig schlägt diese Option jedoch fehl, da nur ein Teil der Daten entschlüsselt wird oder nach der anonymen Zahlung gar keine Reaktion durch den Erpresser erfolgt. Spezialisierte Kryptographen und Datenrettungsunternehmen sind dann oftmals die einzige Möglichkeit Daten erfolgreich wiederherzustellen.
Vollständige Datenrettung und Entschlüsselung durch DATARECOVERY®
Im Zuge der Datenwiederherstellung stellte sich der doppelte Virenbefall klar heraus. Neben der starken Verschlüsselung, deren Entschlüsselung im Vordergrund der Datenwiederherstellungsprozedur stand waren vor allem starke Schäden innerhalb der Dateistrukturen vorzufinden – ein Resultat des gleichzeitigen Zugriffs beider Trojaner auf ein und dieselbe Datei. Diese Daten waren aufgrund des seltenen Parallelangriffs nicht verschlüsselt worden, aber auf unterschiedliche Weise beschädigt.
Die Datenretter hatten somit drei Hauptaufgaben zu absolvieren – die Entschlüsselung von CrySIS Ransomware A und B sowie die Rekonstruktion von nicht verschlüsselten aber beschädigten Dateien innerhalb des Dateisystems.
Die Daten konnten vollständig und einwandfrei lesbar wiederhergestellt werden. Dank der Expressbearbeitung im 24h-Modus konnte die Datenrettung trotz starker Verschlüsselung und zusätzlicher Schäden innerhalb weniger Tage durchgeführt werden.
weitere Informationen zur Datenrettung/ Entschlüsselung der CrySIS Ransomware.
DATARECOVERY® ist vom 18.-20.10.2016 auf der ITSA in Nürnberg. Vereinbaren Sie doch einen Termin mit uns!
https://www.it-sa.de/de/ausstellerprodukte/itsa16/aussteller-24473462/datarecovery
Seit 1991 auf Datenrettungen spezialisiert
DATARECOVERY® ist dank umfangreichem Know-how in der Lage, Daten von Software-defined Storages zu retten. Seit 1991 ist das Unternehmen auf dem Gebiet der Datenwiederherstellung tätig. Neben einer eigenen Forschungs- und Entwicklungsabteilung stehen ein Reinraumlabor und hochmoderne Softwaretools zur Verfügung.
Kontakt
DATARECOVERY® Datenrettung
Ute Dietrich
Nonnenstr. 17
04229 Leipzig
0341/392 817 89
presse@datarecovery.eu
https://www.datarecovery-datenrettung.de