Hallo Gemeinde,
wir sind heute Mittag in den "Genuss" einer Ransomware-Attacke gekommen, leider finde ich bisher keinen Anhaltspunkt, um welche es sich handelt. Vielleicht kommt das hier einem bekannt vor, deshalb mal kurz die Entstehung:
Betroffen sind mehrere Ordner auf unserem Fileserver (2008R2), die als Share für eine Gruppe von ca. 15 Domain-Usern freigegeben sind. Der ganze "Befall" dauerte laut Timestamp nur ca. 45 Minuten, danach wurden keine weiteren Verzeichnisse verschlüsselt.
In Summe sind das ca. 35 GB, der ganze Server hat 1,2 TB an Dateien vorrätig. In jedem verschlüsselten Verzeichnis befinden sich anschließend drei weitere Dateien (PNG, HTML, TXT), Filename ist
!RecoveR!-kanvy++ Der Virenscanner (wir nutzen Sophos) zeigt natürlich nichts an...
In den erwähnten drei neuen Dateien wird auf eine Seite im Darknet verwiesen, via Tor-Browser zu erreichen. Man hätte gerne 1,3 BitCoins bis nächsten Mittwoch, danach verdoppelt sich der Preis... So richtig zu finden ist nichts im Web, weder "kanvy"
oder irgendwas ähnliches bringt zielführende Resultate. Ich habe erst noch auf den alten TorLocker getippt - Fehlanzeige.
Ein sauberes Backup habe ich, deshalb ist die Panik momentan noch nicht ganz so groß. Ich hätte nur zu gerne gewußt, was wir uns da eingefangen haben. Wenn jemand weiterhelfen kann, ich wäre sehr dankbar!!
Gruß,
Karsten