piwik-script

Intern
    Rechenzentrum

    Trojaner-eMail im Umlauf

    24.09.2019

    In der Nacht von Montag auf Dienstag bis in den Vormittag hinein wurden in der Universität Würzburg verschiedene Rechner durch falsche eFax-Mails mit einem Kryptotrojaner infiziert. UPDATES und weitere Informationen werden in der News fortlaufend gepflegt

    Aktueller Stand 16.10.2019, 15.55 Uhr:

    Aktuell Trojaner-Mail im Umlauf. Betreff "CL meeting schedule xlsx". Mail sofort löschen, nicht öffnen, Link in der Mail nicht anklicken.

    Aktueller Stand am 02.10.2019, 7.55 Uhr:

    Mittlerweile schlagen auch wichtige Virenscanner, wie der uniweit eingesetzte "Sophos", auf die Signaturen des Trojaners an. ALLERDINGS gibt dies nur bei neu aufgesetzten Systemen mit frisch installierten Virenscanner Anlass zur Entwarnung, da bei bereits länger laufenden Systemen der Scanner möglicherweise kompromittiert sein könnte. Sollten also Unregelmäßigkeiten auf Ihrem Rechner zu erkennen sein, sollten Sie vorsorglich Ihren Netz- bzw. IT-Verantwortlichen informieren.

    Aktueller Stand am 25.09.2019, 11.50:

    Folgender Text erscheint auf Rechnern, die befallen sind (führen Sie auf keinen Fall die Anweisungen dort aus, sondern kontaktieren den IT-Support!). Das Datum der betroffenen Dateienist jeweils original geblieben, die Dateinamen haben die zusätzliche Erweiterung ".[ID]". Außerdem liegt eine Datei "!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT" in jedem verschlüsselten
    Verzeichnis mit folgendem Inhalt:

    <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
    ==== GERMAN ====

    Alle Ihre Dateien, Dokumente, Fotos, Datenbanken und andere wichtige
    Dateien werden verschlusselt.

    Sie konnen es nicht selbst entschlusseln! Die einzige Methode
    Zum Wiederherstellen von Dateien muss ein eindeutiger privater Schlussel erworben werden.
    Nur wir konnen Ihnen diesen Schlussel geben und nur wir konnen Ihre Dateien wiederherstellen.

    Um sicher zu gehen, dass wir den Entschlusseler haben und er funktioniert, konnen Sie einen senden
    Senden Sie eine E-Mail an Wiederherstellung@cock.li oder Wiederherstellungsdatei@airmail.cc und entschlusseln Sie eine Datei kostenlos.
    Aber diese Datei sollte nicht wertvoll sein!

    Mochten Sie Ihre Dateien wirklich wiederherstellen?
    Schreiben Sie eine E-Mail an Wiederherstellung@cock.li
    Wiederherstellungsdatei@airmail.cc (reservieren)

    Ihre personliche ID: <! - ID ->

    Beachtung!
     * Benennen Sie verschlusselte Dateien nicht um.
     * Versuchen Sie nicht, Ihre Daten mit Software von Drittanbietern zu entschlusseln.
       Dies kann zu dauerhaftem Datenverlust fuhren.
     * Entschlusselung Ihrer Dateien mit Hilfe von Dritten moglich
       verursachen Sie erhohten Preis (sie addieren ihre Gebuhr zu unserem) oder Sie konnen
       Opfer eines Betrugs werden.

    ==== ENGLISH ====

    All your files, documents, photos, databases and other important
    files are encrypted.

    You are not able to decrypt it by yourself! The only method
    of recovering files is to purchase an unique private key.
    Only we can give you this key and only we can recover your files.

    To be sure we have the decryptor and it works you can send an
    email Wiederherstellung@cock.li or Wiederherstellungsdatei@airmail.cc and decrypt one file for free.
    But this file should be of not valuable!

    Do you really want to restore your files?
    Write to email Wiederherstellung@cock.li
    Wiederherstellungsdatei@airmail.cc (reserve)

    Your personal ID: <! - ID ->

    Attention!
    * Do not rename encrypted files.
    * Do not try to decrypt your data using third party software,
      it may cause permanent data loss.
    * Decryption of your files with the help of third parties may
      cause increased price (they add their fee to our) or you can
      become a victim of a scam.

     

    Aktueller Stand am 25.09.2019, 11.18 Uhr:

    Die Netzlaufwerke stehen wieder zur Verfügung. 

    Aktueller Stand am 25.09.2019, 09.10 Uhr:

    Aktuell sind alle Mailsysteme wieder hochgefahren. Die Netzlaufwerke werden wir im Laufe des Vormittags (ca. ab 10.30 Uhr) sukzessive wieder hochfahren. Bitte melden Sie unbedingt irgendwelche Auffälligkeiten an it-support@uni-wuerzburg.de

    Die IT-Bereichsmanager werden gebeten, die Liste mit potentiell betroffenen PCs abzuarbeiten und eine zeitnahe Rückmeldung über den Status der Geräte zu geben.

    Aktueller Stand am 24.09.2019 um 16.41 Uhr:

    Wir werden die potentiell betroffenen Rechner ab sofort in der Komponentendatenbank sperren (vermutlich wird dies wegen diverser Workflows erst ab morgen früh effektiv passieren).  Danach werden sukzessive die Netzlaufwerke wieder zur Verfügung gestellt. Für heute wird dies das letzte News-Update sein, es sei denn, es ergeben sich im weiteren Verlauf neue wichtige Erkenntnisse...

    Aktueller Stand am 24.09.2019 um 15.35 Uhr:

    Es werden nun nach und nach alle IT-Bereichsmanager informiert, in deren Bereich Rechner an Hand der IP-Adresse auffällig geworden sind. Die Maßnahmen werden direkt mit den Bereichsmanagern abgestimmt...

    Aktueller Stand am 24.09.2019 um 14:28 Uhr:

    - Groupwise ist nun wieder nutzbar. Die schadhafte Mail wird automatisch innerhalb der nächsten 2 Stunden entfernt. 
      Weiterhin die Mail nicht öffnen und warten bis Sie entfernt ist. 

    Aktueller Stand am 24.09.2019 um 13:57 Uhr:

    - Der IMAP (Webmail) Server ist wieder in Betrieb. Alle Trojanermails wurden aus den Mailboxen entfernt. 

    - Groupwise ist aktuell noch nicht nutzbar. 

    Aktueller Stand am 24.09.2019 um 13:40 Uhr:

    Als erste Maßnahme haben wir folgende Schritte eingeleitet:

    - Sämtlicher Mailverkehr wurde unterbrochen,
    - alle verdächtigen Mails wurden aus den betroffenen Mailboxen gelöscht.

    - Danach werden die Mailboxen wieder hochgefahren (mit Ausnahme der GroupWise-Mailboxen, in denen die Mail nicht
    gelöscht werden konnte, weil die Mailauslieferung bereits erfolgt ist.
    - Zum Vorgehen mit diesen Mailboxen erhalten Sie zeitnah weitere Informationen.

    - Wir haben sämtliche Instituts- und persönliche Laufwerke zur Sicherheit vom Netz genommen, teilweise wurden einzelne
    Institutslaufwerke schon verschlüsselt.
    - Wir analysieren aktuell noch potentiell infizierte Rechner an Hand der IP-Adresse und werden die entsprechenden
    IT-Bereichsmanager so schnell wie möglich informieren.
    - DIE RECHNER SIND VOM NETZ ZU TRENNEN und dürfen erst nach einer Neuinstallation wieder ans Netz..
    - Die Netzlaufwerke können wir erst wieder in Betrieb nehmen, wenn sichergestellt ist, dass sich keine infizierten
    Rechner mehr im Netz befinden; Dies betrifft auch Rechner im Kliniknetz,
    weil hier ein erhöhter Koordinierungsbedarf vorliegt.
    - Wir stehen mit dem DFN-Cert in Verbindung, die Universitätsleitung ist informiert.

    Nochmals die wichtigen Hinweise, die bitte allen Kolleginnen und Kollegen weitergeben werden sollen:

    - Öffnen Sie keine eMails mit unbekannten Adressaten (Fax-Dienst "eFaxCorporate" ) und Betreff-Inhalten wie "eFax erhalten" oder ähnlich.
    - Kontrollieren Sie genau den Absender bzw. ob eingehende eFaxe eventuell vorher angekündigt wurden.
    - Klicken Sie auch keine verlinkten Inhalte oder öffnen Sie auf keine Fall eventuelle Anhänge dieser Mails.
    - Informieren Sie bei Auffälligkeiten den jeweiligen IT-Bereichsmanager bzw. den IT-Support des Rechenzentrums.

    Weitere Informationen folgen per Twitter und auf den Webseiten des Rechenzentrums...

    Zurück