Datenrettung: Mutmaßlicher Ransomware-Trojaner Ordinypt verschlüsselt Daten

Der Versuch der Wiederherstellung des WD My Cloud Mirror erfolgte im Rahmen unseres Business Services - die erfolgreiche Bearbeitung und Lösung erfolgte innerhalb von fünf Werktagen .

13. Dezember 2019

Ausgangssituation: Geöffnete E-Mail-Bewerbung von „Eva Richter“ löst Ransomware aus

Durch unsere Empfehlung, durch den Technischen Überwachungsvereins (TÜV), erreichte uns die Anfrage einer Werbeagentur, deren RAID System mit dem Trojaner Ordinypt infiziert worden war. Der Befall des Systems erfolgte durch das Öffnen eines schadhaften Anhangs (eines Zip-Archivs), welches die Malware enthielt und ausführte. Das E-Mail-Programm Microsoft Outlook wurde direkt auf dem Server eingesetzt, sodass die Ransomware sich ohne Umwege direkt auf dem Server einnisten, ausbreiten und immensen Schaden anrichten konnte. Zusätzlich existierte eine NAS-Datensicherung, die ebenfalls von Ordinypt befallen wurde. Sie befand sich auf einem WD My Cloud Mirror Netzwerkspeicher.

Diagnose: Rettungsversuche sowie nachträgliche Verschlüsslung des Servers

In der Panik des Cyber-Angriffs wurde der Server nachträglich mit GDATA verschlüsselt sowie diverse Datenrettungssoftware installiert und ausgeführt. Eine Datenwiederherstellung vom RAID 5 Server erschien deshalb nicht aussichtsreich. Es wurde sich vorrangig auf das Backup-NAS konzentriert. Die RAID 1 Spiegelung enthielt viele Dateien mit der Dateiendung .Ity9A, welche Ordinypt nach Verschlüsselung der Datei vergeben hatte. Andere Daten waren teilweise durch den Krypto-Trojaner überschrieben worden. Dementsprechend verhalten war der Optimismus der Techniker anfangs, dass der Kunde die Daten zurück bekommen würde. 

Kurz-Infos zur Fallstudie:

• Hostsystem: IBM X3650 19“ (RAID 5 + Hotspare) und Western Digital WDBWVZ0040JWT-20
• Dateisystem: ext4
• Benötigte Daten: exls, xls, docx, doc, indd, eps, pdf, rar, pptx, ppt, jpg, jpeg, mdb, png

Datenrettung: Wiederherstellung anonymer gelöschter Dateien

Im Rahmen der Datenwiederherstellung wurde die gesamte NAS-Datensicherung durchforstet. Dabei konnten eine Vielzahl an gelöschten Dateien ohne Dateinamen und Struktur ausfindig gemacht und rekonstruiert werden. In Rücksprache mit dem Kunden wurden die geretteten Daten eingeordnet und bewertet, um zu ermitteln, wie erfolgreich der Versuch der Wiederherstellung war. Es stellte sich heraus, dass mit der Wiederherstellung der anonymen gelöschten Daten fast der gesamte Datenverlust kompensiert werden konnte. Sogar die SQL Datenbank konnte rekonstruiert werden und war funktionsfähig. Der Kunde hatte nur wenige Tage Arbeit verloren und war nach der Datenrettung durch Attingo zeitnahe wieder handlungsfähig. 

Trivia:

Bei dem Erpressungstrojaner Ordinypt handelt es sich nicht um Ransomware im eigentlichen Sinne: Zwar werden Daten verschlüsselt, gelöscht oder überschrieben und es gibt eine Lösegeldforderung; allerdings erhält man nach der Bezahlung der erpressten Summe keinen Schlüssel, um die Daten wieder zu erlangen. Eine ähnliche Vorgehensweise gab es in diesem Jahr vermehrt mit GermanWiper. Ordinypt ist zu den Wipern - nicht zu Ransomware im eigentlichen Sinne - zu zählen. Es liegt der Verdacht nahe, dass eine bestehende Malware, die auf maximalen Schaden ausgelegt gewesen ist, umgeschrieben und für Ransomware-Angriffe benutzt wurde. Jedoch ohne die fest Absicht, den Zugriff zu den Daten jemals wieder zu gewährleisten.