Telefon
Wir sind für Sie erreichbar
0800 - 07 388 36 8-18 Uhr gebührenfrei anrufen International +49 341 151 15 51
Aline Wacke
Kundendienst
Aline Wacke - DATA REVERSE
Analyse
0800 - 07 388 36
8-18 Uhr gebührenfrei anrufen
Cyberangriff durch Ransomware

Datenrettung & Entschlüsselung von Daten nach Befall von CrySIS Ransomware

Nach dem Motto „Doppelt hält besser“ musste ein bekannter deutscher Sportverband den Befall von mehreren so genannten Filecodern vom Typ CrySIS erfahren. Zwei Versionen der Ransomware wurden später im Zuge der Datenrettung festgestellt.

Jetzt Analyse anfragen
Google
Sehr gut 4,70 aus 336 Kundenmeinungen Google Reviews
Siegel TüV Saarland
"Die Zufriedenheit war immens. Es war eine super zuverlässige Zusammenarbeit für unseren Kunden."
Benjamin Ehlers, Benjamin Ehlers IT

Betroffenes System: RAID5 auf Fileserver mit 12 Terabyte Daten

Der Windows Server verfügte über ein separates RAID 5 Array, auf dem sämtliche Daten des Verbandes im Netzwerk gespeichert und archiviert wurden. Dabei sorgten vier Seagate Festplatten vom Typ ST4000VN000 für insgesamt 12 Terabyte verfügbaren Datenspeicher. Über Nacht waren plötzlich sämtliche Daten der Netzwerk-Shares verschlüsselt worden und somit nicht mehr verwendbar. Ein nachträglich durchgeführter Antivirentest durch „Malwarebytes Anti-Malware“ konnte keinen Befall von Schadsoftware feststellen. Nach der Feststellung des katastrophalen Zustandes des Dateiservers wandte sich die IT-Abteilung des Sportverbandes an DATA REVERSE.

Wiederherstellung Datenrettung-Entschluesselung-Daten-Ransomware CrySIS DATA REVERSE

Express Diagnose: starke Verschlüsselung und logische Beschädigungen

Per Direktkurier wurden noch am selben Tag sämtliche Serverfestplatten in das Zentrallabor nach Leipzig gebracht. Dort erfolgte die Datenträgeranalyse in Quarantäne. Es wurden schwerwiegende Schäden am Dateisystem festgestellt sowie die komplexe Verschlüsselung durch die Ransomware CrySIS. Nachdem die Diagnose des schadhaften verschlüsselten Systems abgeschlossen war, wurde unmittelbar mit der Datenwiederherstellung und Entschlüsselung der Daten begonnen.

Erfolgreiche Datenrettung: Entschlüsselung zweier Trojaner + Logische Rekonstruktion im Dateisystem

Die Kryptografie Spezialisten bei DATA REVERSE übernahmen die Entschlüsselung der Dateien. Bei der aufwändigen Ermittlung des zugrundeliegenden Schlüssels wurde festgestellt, dass es sich nicht nur um eine Verschlüsselung handelte, sondern gleich zwei Trojaner desselben Typs zugeschlagen hatten. Es galt somit zwei Schlüssel herauszufinden. Dazu kamen die bereits in der Diagnose festgestellten logischen Beschädigungen. Diese waren in der Folge des gleichzeitigen Zugriffs verschiedener Ransomware (beide vom Typ CrySIS) entstanden. Ettliche Dateien wurden teilweise überschrieben oder verfügten über Schäden in den Metainformationen. Die Datenwiedeherstellung erfolgte somit in drei Schritten.

  • Entschlüsselung der Daten durch den ersten Trojaner
  • Entschlüsselung mit zweitem Schlüssel durch Ransomware 2 verschlüsselter Daten
  • Rekonstruktion und Reparatur von beschädigten Daten die durch den zeitgleichen Zugriff zweier Ransomware entstanden waren

Fazit: Es konnten alle Daten erfolgreich und vollständig lesbar wiederhergestellt werden. Der Geschäftsbetrieb konnte unmittelbar danach wieder aufgenommen werden.

Über den Autor: Johannes Hoffmeister
Johannes Hoffmeister

Johannes Hoffmeister ist schon immer Nerd und begeistert von Technik. Angefangen hat alles im Alter von 8 Jahren in der Freizeitgruppe Elektronik. Das Demontieren und Herausfinden der eingesetzten Technologie war und ist eine der größten Herausforderungen. Im Reverse Engineering des 21. Jahrhunderts angekommen ist ihm kaum ein Datenträger fremd noch dessen Technologie und die jeweils erforderliche Strategie zur Datenrettung.

Google
Sehr gut 4,70 aus 336 Kundenmeinungen Google Reviews

    Privat
    Firma










    Siegel TüV Saarland
    Weil gut uns nicht genug ist!
    Google
    Sehr gut 4,70 aus 336 Kundenmeinungen Google Reviews
    Abspielen
    Sehr gut
    Andreas Kremp
    Mercure Parkhotel Görlitz
    System
    RAID 5 aus HPE Proliant Server
    System
    Schaden
    3 Festplatten defekt
    Schaden
    Wiederhergestellte Daten
    6 GB
    Wiederhergestellt

    Diese erste Hilfe wurde geleistet, so dass wir innerhalb von 12 Stunden wieder arbeitsfähig waren.

    Jetzt Analyse anfragen