Im Falle einer Datenverschl\u00fcsselung durch Ransomware m\u00fcssen \u201eIncident Responder\u201c und Task-Forces schnell und effizient vorgehen, um m\u00f6glichst alle Daten beispielsweise von einer verschl\u00fcsselten virtuellen Maschine zu extrahieren. Wie wichtig das Fachwissen und die richtige Vorgehensweise sind, unterstreicht einmal mehr der aktuelle Sophos-Report State of Ransomware 2024<\/a>: 58 Prozent der deutschen Unternehmen waren im letzten Jahr von Ransomware betroffen und 79 Prozent der Angriffe f\u00fchrten dazu, dass Daten verschl\u00fcsselt wurden.<\/p>\n Incident Responder sollten daher \u00fcber verschiedene Techniken und Tools verf\u00fcgen, um die Daten aus einer verschl\u00fcsselten virtuellen Festplatte extrahieren zu k\u00f6nnen. Die Expert:innen von Sophos empfehlen sechs potenziell erfolgversprechende Tools zur Wiederherstellung von Daten, die mit Standardmethoden nicht wiederhergestellt werden k\u00f6nnen. Zwar ist ein Erfolg nicht garantiert, es gibt jedoch eine Vielzahl an positiven Erfahrungen beim Einsatz dieser Methoden, beispielsweise im Zusammenhang mit LockBit, Faust Phobos, Rhysida oder Akira.<\/p>\n Bitte keine Rettungsversuche mit Originaldaten 6 bew\u00e4hrte Methoden und Tools Methode 1: Einfaches \u201emounten\u201c des Laufwerks Methode 2: RecuperaBit Methode 3: bulk_extractor Methode 4: EVTXtract Methode 5: Scalpel, Foremost und weitere Tools zur Dateiwiederherstellung Methode 6: Manuelles Zerlegen der NTFS-Partition Schlussfolgerung Der beste Weg zur Wiederherstellung von verschl\u00fcsselten Daten besteht allerdings darin, eine Kopie von einem sauberen, nicht betroffenen Backup zur Verf\u00fcgung zu haben. Und noch wichtiger ist es, durch Pr\u00e4vention mit wirkungsvoller Security einen solchen Fall m\u00f6glichst zu verhindern.<\/p>\n Den detaillierten, englischsprachigen Artikel mit weiteren technischen Informationen finden Sie unter: https:\/\/news.sophos.com\/en-us\/2024\/05\/13\/extract-data-from-encrypted-vms\/<\/a><\/p>\n <\/p>\n<\/p><\/div>\n
<\/strong>Damit eine prek\u00e4re Situation nicht zur Katastrophe wird, gilt grunds\u00e4tzlich und unabh\u00e4ngig von den Extraktionsmethoden, alle Wiederherstellungsversuche mit Arbeitskopien und nicht mit den Originalen durchzuf\u00fchren. Nur so ist garantiert, dass eine fehlgeschlagene Rettungsmethode, welche die Daten und VM-Systeme vielleicht zus\u00e4tzlich gesch\u00e4digt hat, Versuche mit anderen erfolgversprechenden Tools unm\u00f6glich macht.<\/span><\/p>\n
<\/strong>Es gibt eine Vielzahl an Methoden, die bei der Extraktion von Daten aus einer verschl\u00fcsselten Windows-VM eingesetzt werden k\u00f6nnen. Einige dieser Techniken sind sogar f\u00fcr Wiederherstellungsversuche unter Linux anwendbar. Sechs dieser Methoden haben sich besonders bew\u00e4hrt:<\/span><\/p>\n
<\/u>Diese Methode klingt einfach, funktioniert vielfach und spart ungeheuer viel Zeit. Wenn es nicht klappt, sind nur wenige Minuten verloren. Wenn die Methode jedoch erfolgreich ist und das Laufwerk gemountet, also fester Bestandteil des Betriebssystems geworden ist, kann auf die Datei(en) zugegriffen werden. Da lediglich die VM gemounted wird, sollte der Endpoint-Schutz keine b\u00f6sartigen Dateien erkennen oder entfernen, um weitere forensische Erkenntnisse daraus zu gewinnen.<\/span><\/p>\n
<\/u>RecuperaBit ist ein automatisiertes Tool, das alle NTFS-Partitionen wiederherstellen kann, die\u00a0 in der verschl\u00fcsselten VM gefunden werden. Wenn es eine NTFS-Partition findet, erstellt es die Ordnerstruktur dieser Partition neu. Bei einem Erfolg k\u00f6nnen die Expert:innen dann auf die Datei(en) zugreifen und sie wie gew\u00fcnscht aus der neu erstellten Verzeichnis-\/ Ordnerstruktur kopieren und einf\u00fcgen. RecuperaBit wird wahrscheinlich den Endpunktschutz nicht ausl\u00f6sen, sofern ransom.exe oder andere b\u00f6sartige Dateien vorhanden sind. Daher sollte RecuperaBit beispielsweise in einer Sandbox ausgef\u00fchrt werden.<\/span><\/p>\n
<\/u>Der automatisierte bulk_extractor ist ein Tool f\u00fcr Windows- oder Linux-Umgebungen. Es kann sowohl Systemdateien wie Windows-Ereignisprotokolle (.EVTX) als auch Mediendateien wiederherstellen. Wie bei RecuperaBit wird bulk_extractor wahrscheinlich Erkennungen des Endpunktschutzes deaktivieren, wenn ransom.exe oder andere b\u00f6sartige Dateien vorhanden sind. Daher sollte der Extraktions-Versuch mit bulk_extractor ebenfalls in einer Sandbox durchgef\u00fchrt werden.<\/span><\/p>\n
<\/u>Dieses automatisierte Linux-Tool durchsucht einen Datenblock beziehungsweise eine verschl\u00fcsselte VM nach vollst\u00e4ndigen oder teilweisen .evtx-Protokolldateien. Wenn es solche findet, werden diese in ihre urspr\u00fcngliche Struktur, das hei\u00dft XML, zur\u00fcckverwandelt. XML-Dateien sind bekannterma\u00dfen schwierig zu bearbeiten. In diesem Fall besteht die Datei aus fehlerhaft eingebetteten EVTX-Fragmenten, so dass die Ausgabe etwas unhandlich sein kann.<\/span><\/p>\n
<\/u>Zu den Tools, die f\u00fcr die Wiederherstellung anderer Dateitypen entwickelt wurden, geh\u00f6ren Scalpel und Foremost. Obwohl es sich bei beiden um \u00e4ltere Technologien handelt, hat das Sophos IR-Team bei seinen Untersuchungen gute Ergebnisse mit diesen beiden Tools erzielt. Beide stellen haupts\u00e4chlich Medien- und Dokumentdateien wieder her und bei beiden kann die Konfiguration ge\u00e4ndert werden, um sich auf bestimmte Dateitypen zu konzentrieren.<\/span><\/p>\n
<\/u>Im Gegensatz zu den beschriebenen Tools und Techniken erfordert das manuelle Carving eine gr\u00fcndliche Vorbereitung und ein genaueres Verst\u00e4ndnis der verf\u00fcgbaren Optionen. F\u00fcr das korrekte manuelle Carving m\u00fcssen die Ermittler:innen drei Switches auf <\/span>dd<\/a> setzen \u2013 bs (Bytes pro Sektor), skip (der Offset-Wert des NTFS-Sektors, den Sie neu erstellen wollen) und count \u2013 bevor das Dienstprogramm ausgef\u00fchrt wird. Schlussendlich wird die neue, ge-carvte Datei gemounted, um das wiederherzustellen, was ben\u00f6tigt wird.<\/span><\/p>\n
<\/strong>Verschl\u00fcsselte Daten oder VMs sind eine gro\u00dfe Bedrohung f\u00fcr Unternehmen und deren Business. Daher ist es wichtig, die Handlungsf\u00e4higkeit des Unternehmens so schnell und umfassend wie m\u00f6glich wiederherzustellen, wobei die vorgestellten Techniken helfen k\u00f6nnen.<\/span><\/p>\n
![](\"https:\/\/news.sophos.com\/wp-content\/uploads\/2024\/05\/shutterstock_1009079662-1.jpg\"\/)
<\/p>\n