Datenrettung nach Ransomware DeadBolt

25. März, 2022

Recover Script für Ransomware DeadBoltBereits im Jänner sorgte die Ransomware DeadBolt für eine beachtliche Infektionswelle unter QNAP, Asustor und TerraMaster Usern. Oper der Ransomware, die auf Backup-Medien spezialisiert ist, wurden und werden vor allem Privatpersonen und kleinere Unternehmen.

DeadBolt nutzte eine Sicherheitslücke, um die Files auf den NAS-Drives mit einer maßgeschneiderten AES128-Verschlüsselung unzugänglich zu machen. Als Lösegeld für die verschlüsselten Files wurden 0,03 Bitcoins (ungefähr 1.200 Euro) gefordert. Firmware-Updates halfen, DeadBolt zu stoppen.

Neue Angriffswelle auf QNAP-User

Die aktuelle Angriffswelle ähnelt der von Jänner stark. DeadBolt befällt Netzwerkspeicher von QNAP und überschreibt die Original-Dateien mit der verschlüsselten Variante, was die Chance auf Wiederherstellung reduziert.

Noch ist unklar, ob bei der aktuellen Welle auch neue Angriffswege genutzt werden oder die Angreifer nur auf ungepatchte Systeme abzielten. Wir empfehlen dringend, verfügbare Updates sofort zu installieren, um bekannte Exploits zu schließen, starke Passwörter zu nutzen und Standard-Ports und -Zugänge abzuändern.

Die Kriminellen hinter der Ransomware verlangen wieder dieselbe Lösegeldsumme von 0,03 Bitcoins und versuchen weiterhin, auch QNAP zu erpressen: Sie fordern 5 Bitcoin für Informationen zu der ausgenutzten Schwachstelle sowie 50 Bitcoin für einen Masterkey, um sämtliche verschlüsselten Daten wiederherzustellen.

Recover Script und Anleitung für QNAP und Asustor

Zwei österreichische Sicherheitsforscher haben ein Script geschrieben, mit dessen Hilfe es QNAP und Asustor-Usern gelingen kann, zumindest einen Teil der Daten zurückzubekommen. „Durch Abgleichen der Größe und Dateiendung der ursprünglichen und der nicht gelöschten Dateien können einige der Informationen wiederhergestellt werden“, so die Forscher, die bereits ein Recover-Script für die Ransomware Qlocker geschrieben hatten:

„Beachten Sie jedoch, dass Sie in den meisten Fällen nur einen kleinen Teil Ihrer Dateien wiederherstellen können!“

In einem Testfall konnten 10% der verschlüsselten Dateien wiederhergestellt und zusätzlich weitere 30%, die nicht verschlüsselt worden waren, gefunden werden.

Download zip-Datei (description: DeadBolt Recover Manual, q-recover script: DeadBold Recover Script)

Auch lesenswert:
Ransomware Qlocker: So stellen Sie Ihre Daten (großteils) wieder her

Quellen:
https://censys.io/deadbolt-ransomware-is-back/

Red Teams, Blue Teams, Purple Teaming

MSSP of the Year 2024

SIEM

Was ist ein SIEM?

Nozomi Guardian Air
HarfangLab Guard
MITRE ATT&CK Framework
v.l.n.r.: Joe Pichlmayr (CEO IKARUS) – Anouck Teiller (CSO HarfangLab) –Alexander van der Bellen (Bundespräsident Österreich) - Frédéric Joureau (Erster Botschaftsrat der französischen Botschaft in Wien) – Christian Fritz (COO IKARUS)
EDR
Cyber Kill Chain
Business Email Compromise
Prognosen für die zehn größten Cybersecurity-Bedrohungen für 2030
E-Mail Verschlüsselung
Schritt für Schritt zum Notfallplan für IT-Security-Incidents
Account Management
Bedrohung

WIR FREUEN UNS AUF SIE!

IKARUS Security Software GmbH
Blechturmgasse 11
1050 Wien

Telefon: +43 1 58995-0
Sales Hotline: +43 1 58995-500
sales@ikarus.at

SUPPORT-HOTLINE:

Support-Infoseite

Support-Hotline:
+43 1 58995-400
support@ikarus.at

Support-Zeiten:
Mo bis Do: 8.00 – 17.00 Uhr
Fr: 8.00 – 15.00 Uhr
24/7 Support nach Vereinbarung

Fernwartung:
AnyDesk Download