PSAFE ransomware

Hallo iedereen, is er iemand bekend met de .PSAFE ransomware?
Gisterennacht is mijn NAS geraakt door deze ransomware. Backup naar de cloud van TransIP middels cloud sync, maar omdat dat automatisch gaat is een groot gedeelte van de versleutelde bestanden daar naartoe geüpload... Meer details bij BleepingComputer.

Heb al even gezocht op Google en de bekende ransomware decryption tools, maar dit lijkt een nieuwe/onbekende variant te zijn...

Nee, geen cold backup. Ik heb bij TransIP de vraag uitstaan of ze iets van previous versions of een eigen backup op de betaalde STACK hebben. Als ik de website moet geloven hebben ze dat wel, maar ik heb zo snel nog niet gevonden hoe.

Ik ben nog bezig met verder onderzoek, ze hebben én het backup account wachtwoord gevonden (was geen dictionary maar wel een variant op het woord...), en het lijkt alsof ze op m'n torrent VM binnen zijn gekomen. Daar was ik nog op ingelogd. Op de een of andere manier hebben ze om 23.07 op m'n torrent VM ingelogd met dat backup account, en nu zie ik dat er om 22.59 op m'n RDP vm met dat backup account een succesvol login is geweest. Terwijl er op die machine helemaal niets te backuppen valt.

Vanaf daar zullen ze een netwerkscan hebben gedaan omdat dat account Domain admin credentials, én read/write access op de NAS heeft t.b.v. backups (uit het verleden).
Ik heb vroeger wel een eigen bedrijf gehad, en de RDP vm hangt wel achter een domeinnaam dus het zal inderdaad gericht zijn...

Edit: eset online scan heeft "C:\PerfLogs\P-Safe\psafe.Vexe een variant van Win32/Filecoder.LockedFile.I trojaans paard" gevonden op de RDP vm. Dit heeft 'ie niet gevonden op een andere VM, maar ik ga verder zoeken.
Ter aanvulling van bovenstaande: ik heb meer gevonden, maar om niet constant de wijzig-knop in te drukken zal ik als ik e.e.a. concreet op papier heb in een nieuwe post/edit opschrijven voor de toekomst.

Edit: STACK heeft inderdaad een backup, en ik heb nu die van gisterenochtend terug laten zetten. -als eht goed is- zijn dit mijn belangrijkste bestanden...

[ Voor 21% gewijzigd door Lesilhouette op 13-11-2019 14:52 ]

Het hoge woord is eruit: het gaat om het Matrix ransomware type... Nog geen decryptor beschikbaar helaas.

Morgen even anon-gmail account aanmaken en de veroorzakers mailen hoe en wat. Ik vond (enigszins verstopt) een .bmp bestand met een soortgelijke melding dat bestanden versleuteld zijn, maar met een ander ID. Ik kan dat ID gebruiken als 'proef' om te kijken hoe vlot ze reageren etc. zonder dat ze weten dat ik het ben. Het gaat namelijk om enkele honderden GB's...

jvanhambelgium schreef op woensdag 13 november 2019 @ 15:28:
Een pijnlijke ervaring helaas...
Hopelijk kan je het meeste via de backups herstellen.
Ik lees :

Besides the default Windows firewall and Windows defender, I use a Mikrotik firewall that allows direct access for bittorrent to my bittorrent machine, and Remote desktop to my RDP VM, on which I logon with my domain user account (so no admin privileges there!).

> Welke port-mappings liet je toe op je Torrent VM ? Ik mag toch hopen enkel een vaste set high-number ports ?

> RDP gewoon op de standaard 3389 en wereldwijd toegangkelijk ? Da's een serieus attack-surface.

Torrent dacht ik, maar dat bleek niet (meer) zo te zijn. Omdat het niet nodig is.
RDP open, klopt. Ik was te lui om m'n VPN te fixen, en ben het daarna vergeten. Ik sluit een stukje naïviteit ook niet uit trouwens. Gaat snel verandering in komen. Ik zag meer poorten open staan die ik vergeten ben dicht te zetten (denk aan oude mailserver terwijl ik al een half jaar op O365 zit )

HenkEisDS schreef op woensdag 13 november 2019 @ 16:09:
Nice! Goed om te lezen dat TransIP een backup heeft voor je!

* HenkEisDS heeft ook even gekeken en een tientje per maand is niet eens heel duur voor 2TB aan opslag.

Ik vond het eerst wat prijzig, maar inmiddels denk ik er niet eens meer overna. Ik vind het inmiddels dubbel en dwars waard. Na dit incident en de kennis dat zij ook nog backups maken... Ik ga me bijna afvragen waar ze het van doen.
Andere reden is dat omdat ik al m'n documents van de PC heb gezet op m'n NAS, en OneDrive daarmee niet overweg kan (documents folder op een NAS).

Overigens heeft het mij wel vaker geholpen. Ze hebben namelijk ook een (iPhone) app waarmee je super makkelijk bij je cloud bestanden kunt...

Arunia schreef op woensdag 13 november 2019 @ 16:15:
@HenkEisDS 12 a 13 euro voor onbeperkt met historie voor Crash plan, maar dat terzijde.

@Lesilhouette RDP open hebben staan naar buiten toe is in ieder geval niet handig.
Dat heb ik ooit ook eens gehad. Vergeten uit te zetten op de server en router. Mijn server is toen gehackt, maar er is weinig verder mee gedaan voor zover ik kon zien. Wilde toch schoon beginnen, dus mooi moment. Kon zien wat er gewijzigd was. Leek erop met wat ik tegenkwam (inclusief nickname van de hacker) dat het een beginner was.

Klopt, zie mijn reactie hierboven. Eenpersoonshuishouden, luiheid, vergeten, the usual. Maar ik ga van het weekend (als ik weet wat ik nog precies mis etc.) alles opnieuw opbouwen. Even kijken hoe ik dat ga doen met mijn diverse mailboxen in O365 i.c.m. UPN's. Misschien export naar PST en dan import in nieuwe account of zo?
Ze waren ook ingelogd op m'n DC ( ) maar hebben zo te zien verder niets gedaan... Dodged a bullet with that one!

Luchtbakker schreef op woensdag 13 november 2019 @ 16:17:
Vrij nieuwe ransomware inderdaad. Bleeping computers is er ook pas 7 uur geleden mee gekomen: https://www.bleepingcompu...tools-known-or-available/

Klopt, dat ben ik die het geplaatst heeft.

HenkEisDS schreef op woensdag 13 november 2019 @ 16:46:
[...]


Kijk of je ze in de val kunt lokken:
Als ze TOR gebruiken zul je flink je best moeten doen.
https://tor.stackexchange...javascript-get-my-real-ip
https://securelist.com/un...nds-in-the-darknet/70673/
https://fossbytes.com/tor...ue-identity-of-tor-users/

Maar als het scriptkiddies zijn (wat ik niet vermoed) dan zullen ze hier wel intrappen als je een verwijzing maakt naar een bestand met banktransacties, naaktfotos oid: https://grabify.link/

Ik heb ooit eens een honeypot vm gedownload en gebruikt, maar die deed niks dus heb ik uitgezet. Zal hier morgen eens induiken, iets met de bijbel en een oog 🤪