Erwischt! GoldenEye Ransomware schlug zu.

E-Mail-Filter, Virenscannen und vor allem der gesunde Menschenverstand schützen mich seit Jahren bestens vor all den bösen Programmen, vor denen in der Presse ständig gewarnt wird. Webcasts über Ransomware sind für mich längst uninteressant. Und wenn doch mal was sein sollte, habe ich doch ein gutes Backup.

So dachte ich. Bis letzten Dienstag. Eigentlich sollte ich Trojaner-Tricks meilenweit gegen den Wind riechen, doch diesmal hat mich einer erwischt. Es war ein Excel-Dokument. Darin der Hinweis „Loading…“, doch nichts wurde geladen – GoldenEye Ransomware.

goldeneye-excel

In dem falschem Vertrauen, dass das Dokument wirklich vom angegebenen Absender kommt und dem Wissen, wie man das Makro doch noch zum Laufen bekommt, brauchte es nur 2 Klicks, bis ich die Katastrophe aktivierte.

Mir fiel gleich auf, dass da eigenartigerweise gar nichts passierte. Eine flotte Analyse der Datei auf virustotal.de ergab, dass es sich um einen Trojaner handeln könnte. Ein Blick in den Taskmanager bestätigte: Da läuft was, was da nicht hingehört. Bis ich das bemerkte, waren die Dateien in meinem Benutzerordner schon verschlüsselt und die Icons in meinem Startmenü taten auch nichts mehr. Word, Excel, Outlook, nichts ging mehr.

virustotal2

Den PC sofort vom Netzwerk getrennt, überlegte ich meine nächsten Schritte. Scheinbar ging ich schnell genug vom Netz, so dass „nur“ mein Notebook betroffen war und unsere Netzlaufwerke nicht betroffen waren.

Notebook Restore mit Veeam Endpoint Backup

Ich hatte kürzlich Veeam Endpoint Backup, das kostenlose Backup für Notebooks und PCs getestet. Neue Backup-Produkte zu testen ist Teil meines Jobs. Veeam haben wir bei teamix schon lange im Angebot und auch Veeam Cloud Connect bieten wir in unserem BaaS Produktkatalog an. So lag es nahe, auch das Backup für Endgeräte mal zu testen.

Insofern war ich froh, denn ich hatte ein aktuelles Backup aller Daten auf unserem Netzlaufwerk. Doch nun passierte, was ich selbst jedem IT-Admin anrate aber selbst nicht bedacht hatte: Ich habe das Recovery vorher nie getestet und rannte so in einige Probleme.

Problem 1: USB-Boot

Vorbereitend hatte ich einen USB-Stick mit der Veeam Recovery Software angelegt. Die Software hat freundlicherweise oft genug gewarnt, bis ich das erledigt habe. Doch wie bootet man nun per USB? Dank UEFI Secure Boot konnte man das nur im UEFI-Bios freischalten und dieses hatte ein mir nicht bekanntes Passwort.

Mich hat dies nur Zeit gekostet, denn das Passwort konnte ich später noch erhalten. Zum Glück war ich in der Firma. Wäre ich an diesem Tag auf einem Termin gewesen, hätte ich hier wohl keine Chance gehabt.

Problem 2: USB-Stick bootet nicht

Nun hatte ich das Passwort, doch der USB-Stick weigerte sich zu booten. Am Modell lag es nicht, denn ein gleicher USB-Stick mit dem Windows 10 Setup startete sofort. Ein Kollege konnte helfen, indem er den Stick erneut erstellte.

Warum mein USB-Stick nicht funktionierte konnte nicht endgültig geklärt werden. Vermutlich habe ich beim Erstellen etwas zu schnell „Weiter, Weiter, Weiter“ geklickt und es so selbst verursacht. Der größere Fehler war hier jedoch, es nie zu testen.

Problem 3: CIFS Share und Pfadname?

Nun konnte die Veeam Recovery Software endlich starten. Da ich damals beim Einrichten des Backup-Jobs als Ziel einen Ordner in einem CIFS-Share angab, steckte ich mein Netzwerkkabel wieder ein und wurde auch schon Sekunden später vom Veeam nach dem Pfad gefragt.

Wie war denn nun der Pfad? „userdata“? Nein, irgendwas mit „vf“ und hinten „teamix“. Und „nbg“ war auch mit drin. Und dann kamen die Ordner: Backup und Rechnername, oder andersrum? War da vielleicht auch noch ein „test“ mit im Namen?
Veeam bietet hierfür zwar einen „Browse“ Button an, aber leider wurde bei der Suche kein CIFS-Server in unserem Netzwerk gefunden. Schade, nun habe ich die Recovery Software endlich laufen und komme schon wieder nicht weiter.

Die Lösung war zwar einfach, aber kostete Zeit und Nerven: Ein Kollege kopierte mir die Backup-Daten auf eine USB-Festplatte. Dank der einfachen Benennung der Veeam Backup Dateien (Datum im Dateinamen, Endung vbk für Fullbackup und vib für inklementelle Backups) konnten wir sehr schnell ermitteln, welche Dateien wir für ein komplettes Restore benötigten. Es waren nur 2 Dateien.

Endlich Restore

Nachdem meine Hindernisse überwunden waren, konnte Veeam nun ans Werk gehen und meine Platte zurücksichern. Dies klappte dann mit wenigen Klicks und war auch schon nach kurzer Laufzeit beendet.

Nach dem ersten Start erkannte Windows auch gleich, dass hier Daten zurückgesichert wurden, die zuvor mit Bitlocker geschützt waren und aktivierte daraufhin den Schutz sofort automatisch wieder. Gefühlt 20 Minuten nach dem Start des Restores war ich wieder in meinem Windows angemeldet, ganz ohne Trojaner, so wie er morgens vor dem Vorfall war.

Ich war extrem überrascht, wie einfach es zum Schluss ging. Ich hatte dank Veeam Endpoint Backup und einer kurzen RPO Zeit keine einzige Datei verloren, da ich direkt zu dem Zeitpunkt 10 Minuten vor dem Vorfall springen konnte.

veeamrecovery

Fazit

… zum Trojaner:

  • Trojaner sind hinterhältig und können, wenn sie gut gemacht sind, auch Profis reinlegen.
  • Je schneller man das Problem bemerkt, desto geringer ist der Schaden.
  • ERSTE Regel wenn man es bemerkt: LAN-Stecker ziehen und WLAN aus!
    Je länger man online ist, desto größer ist die Gefahr, dass Firmendaten auf CIFS-Laufwerken oder Gruppenshares verschlüsselt werden.
  • Sandboxing Lösungen wie Trend Micro Deep Discovery (siehe Blog-Artikel von meinem Kollegen Robert) könnten hier wirklich hilfreich sein.

… zum Backup:

  • Ein gutes Backup ist GOLD wert.
  • 0 (in Worten: Null) Dateien verlieren bei einem Trojaner-Befall ist möglich, wenn man gut sichert.
  • Veeam Endpoint Backup hat den Test bestanden und bleibt auch auf meinem Notebook. Danke Veeam!

… zum Restore:

  • 0 (in Worten: Null) Dateien verlieren bei einem Trojaner-Befall ist möglich, wenn man zuvor gut gesichert hat.
  • In 25 Minuten vom kaputten Windows bis zum vollständigen Restore inkl. Neustart ist möglich, wenn man zuvor gut plant.
  • ABER: Es gab viele Probleme, bis ich das Restore endlich anwerfen konnte: USB-Boot und der genaue Lagerort der Daten kosteten viel Zeit. Alles nur, weil ich es vorher nie getestet hatte.

Was kann man besser machen?

  1. Planen Sie die Wiederherstellung / Restore.
  2. Führen Sie eine Wiederherstellung durch.
  3. Prüfen Sie, ob die Wiederherstellung funktioniert.
  4. Handeln Sie nach dem Ergebnis. Hat es nicht geklappt? Wieder bei Punkt 1 anfangen.

Meine persönlichen gelernten Lektionen daraus:

  • Veeam Endpoint Backup ist total einfach, fällt im täglichen Betrieb kaum auf und sichert dennoch wirklich großartig.
  • Restore-Tests nicht nur Kunden empfehlen, ab heute auch IMMER selbst machen. Benötigte Daten (Passwörter, Pfade, etc) unbedingt norieren!
  • Wer den Schaden hat braucht für den Spott nicht zu sorgen. 🙂
    Ich hoffe, ich konnte mit dem Teilen meiner Erfahrung dem einen oder anderen zeigen, wie ein guter Plan bei schlechten Tests schief gehen kann, auch wenn er am Ende dann doch gut endete.

Somit wünsche ich Ihnen eine ruhige Woche, möglichst wenig Störungen und vor allem keine bösen Trojaner!

M.B. war bis 2012 bei Proact Deutschland als Produktmanager für die Backup-as-a-Service Produktreihe "FlexVault" um alle Belange der Datensicherung. Zuvor war er technischer Leiter eines großen Nürnberger Datacenters und kennt daher die Sorgen und Nöte der IT-Leiter und Administratoren bestens.

 
Kommentare

Warum wurde denn der Virus nicht im Scan erkannt?

Hallo Admin33,

die Antwort ist einfach: Die Virenscanner kannten den Virus einfach noch nicht.

Bis ein neuer Virus von den Virenscannern erkannt wird, muss er irgendwo aufgefallen und dann an einen Antivirenhersteller gemeldet worden sein. Die Hersteller analysieren dann die infizierte Datei und fügen die Muster des Virus zu ihren Virendefinitionsdateien hinzu. Nachdem die neue Definition online gestellt wird und der Virenscanner dann ein Update durchgeführt hat, kann er den Virus dank der neuen Definitionsdatei erkennen.

Die Antivirenhersteller betreiben hier großen Aufwand, um diesen Vorgang in wenigen Stunden zu erledigen, aber dennoch dauert es einige Stunden. E-Mails dagegen verbreiten sich im Internet in wenigen Sekunden.

Es ist etwas ähnlich wie beim biologischen Virus: Zwischen dem ersten Ausbruch und dem ersten Impfstoff vergeht einige Zeit.

Wenn nun ein neuer Virus rauskommt und massenhaft per Internet, z.B. wie hier per E-Mail verschickt wird, dann kommt er meist schneller bei vielen Empfängern an, als die Virenscanner darauf reagieren. Sie kennen diesen brandneuen Virus einfach nicht.

Und so passiert es, dass man sich morgens einen Virus einfängt, den der Virenscanner erst am Nachmittag kennen lernt.

Gruß, Michael

Hinterlassen Sie einen Kommentar