Die Bedrohung durch Ransomware wie Locky und andere Schädlinge gehen seit einigen Monaten immer wieder durch die Presse. In teils prominenten Fällen gelang und gelingt es Angreifern, Schadsoftware auf die Dateien ihrer Opfer anzusetzen und diese durch Verschlüsselung unbrauchbar zu machen – eine Freigabe der Dateien erfolgt erst nach Zahlung eines „Lösegelds“. Der Schaden wird dabei größer, je mehr Zugriffe der betroffene User hat: Wenn möglich, werden auch Dateien auf Servern im Netz „gekapert“.

Über dieses Phänomen ist bereits viel geschrieben worden. An dieser Stelle möchte ich – wenn auch recht subjektiv – einige Ansätze vorstellen, wie man sich vor diesen Angriffen schützen kann.

Am Anfang steht die Grundabsicherung: Updates – Zugriffschutz – Virenscanner

Erster logischer Schritt jeder technischen Absicherung ist es, Erpressern keine Angriffsziele zu bieten. Das geht, indem Updates für Betriebssysteme und Anwendungen zeitnah eingespielt werden, um Sicherheitslücken zu schließen. Wo immer möglich, sollte man das automatisch tun. (Was übrigens auch auf UCS Systemen möglich ist.)

Bei Serverdiensten ist es sinnvoll, sich im Vorfeld genau zu überlegen, wer darauf Zugriff benötigt und dementsprechend die Benutzergruppen einzuschränken und eine Firewall für die Einschränkungen auf einzelne Netze zu errichten. Denn nur Dateien, auf die ein Anwender Schreibzugriff hat, kann ein in seinem Namen agierender Schädling verändern. Auch Sparsamkeit ist hilfreich: Desktop-Anwendungen oder Serverdienste, die nicht installiert sind, müssen nicht geschützt werden.

Virenscanner ergänzen diesen Schutz und können an unterschiedlichen Stellen ansetzen: Auf dem Mailserver (für UCS gibt es dazu neben dem vorinstallierten ClamAV Erweiterungen im App Center), auf dem Fileserver (in Samba über „VFS“ Module) und natürlich auf dem Client. Ganz ohne Virenscanner zu agieren erscheint besonders in Umgebungen mit Windows Clients fahrlässig, zu viel Schutz führt aber schnell auch zu Frustration der Anwender über Fehlalarme und schlechte Performance. Außerdem hinken Virenscanner prinzipbedingt den Schädlingen immer einen Schritt hinterher: Erst wenn es erste Opfer gibt, können die Virensignaturen aktualisiert werden. Mein persönlicher Eindruck aus der Praxis ist, dass sich die Kombination einer Virenengine auf dem Mailserver, der nach wie vor Hauptangriffsweg für Attacken ist, und einer zweiten auf den Desktop-Systemen etabliert hat.

Aufklärung: Informierte Anwender

In vielen Angriffsszenarien ist es der Endanwender, der dem Schädling die Tür öffnet: Das Öffnen eines Mailanhangs oder einer aus dem Internet heruntergeladenen Datei kann bereits ausreichen. In einigen IT-Abteilungen wird daher darauf gedrängt, die häufigsten Angriffsmuster zu unterbinden. Infolgedessen werden Office-Dokumente oder zip-Dateien in Mails abgelehnt oder unter Quarantäne gestellt. Ein solches Vorgehen ist aber in vielen Bereichen nicht praktikabel und zurück bleibt ein Anwender, der aus Frust über die IT-Abteilung eigene, oft viel riskantere Wege zum Datenaustausch beschreitet.

Um eine solche Schatten-IT zu vermeiden, ist es wichtig, im ersten Schritt die Anwender über mögliche Risiken ins Bild zu setzen. Anhänge an Mails unbekannter Herkunft sind suspekt und sollten mißtrauisch machen, aber auch bei der Kommunikation mit bestehenden Kontakten kann sich immer eine gefälschte Mail einschleichen. Hier kommt es auf einen funktionierenden Dialog zwischen IT und Anwender an: Die IT-Abteilung sollte auf Augenhöhe über neue Bedrohungen berichten und die Fragen und Bedarfe der Anwender ernst nehmen. Nur dann kann vom Anwender erwartet werden, notwendige Einschränkungen nicht als Gängelung wahrzunehmen.

Schadensbegrenzung

Aber auch bei aller Aufmerksamkeit sollte man auch für den Schadensfall gerüstet sein. Ist ein System infiziert, wird es anfangen, Daten zu verschlüsseln und versuchen, weitere Systeme zu infizieren. Um einen Samba Fileserver nicht vollständig zu verlieren, gibt es Mechanismen, die einzelne Arbeitsplätze aussperren (siehe Kurzanleitung am Ende). Diese greifen aber erst, wenn die ersten Dateien „verloren“ sind.

Jetzt ist die wohl wichtigste Komponente der Schadensbegrenzung ein funktionierendes und aktuelles Backup – auf einem für den befallenen Client nicht erreichbaren Datenträger. Die Technologie dafür liefern verschiedene Apps im Univention App Center. Die IT Abteilung im Unternehmen muss sich vorab mit den Anwendern darauf einigen, was gesichert werden muss. Auch hier ist eine Diskussion auf Augenhöhe notwendig: Für die IT ist es immer einfacher, Daten auf den Serversystemen zu sichern, während es für den Anwender Szenarien gibt, in denen er bestimmte Dateien nur auf seinem Endgerät speichern möchte.

Im Schadensfall kann ein Backup immer nur auf die letzte Sicherung zurückgreifen. Ist diese in der vorangegangenen Nacht erfolgt, ist schlimmstenfalls ein Arbeitstag verloren. Deshalb sollte man sich auch hier Gedanken über sinnvolle Zeitzyklen für Backups machen. Einige Fälle können durch automatisierte Synchronisation und Versionierung abgefedert werden. Ein beliebtes Tool dazu ist OwnCloud, mit dem sowohl eine Versionierung als auch die Verfügbarkeit von Dateien auf den Geräten der Anwender umgesetzt werden kann. Im klassischen Samba Fileserver erlauben VFS Module umfassende, aber auch recht aufwändig zu konfigurierende Möglichkeiten. Im einfachsten Fall sichert das „recycle“ Modul gelöschte Dateien für einige Tage.

Konfigurationsbeispiel: Aussperren von befallenen Systemen

Ein mit der Ransomware betroffenes Client-System greift auch auf Netzwerkdienste zu, um dort zu versuchen, Dateien zu verschlüsseln. Dabei entsteht eine signifikante Aktivität: Es werden viele verschiedene Dateien verändert. Oft erhalten die Dateien dabei neue Endungen, die spezifisch für den Schädling sind. Mit der Kombination aus dem Samba VFS Modul „full_audit“ und der Intrusion Detection „fail2ban“ werden solche Aktivitäten erkannt und der zugreifende Client ausgesperrt.
Basierend auf [1] sind auf einem UCS Fileserver folgende Schritte notwendig:

  1. Installieren von fail2ban
    Dazu wird das „unmaintained“ Repository [2] aktiviert und die Pakete installiert:

    ucr set repository/online/unmaintained='yes'
    univention-install fail2ban
  2. Globale Konfiguration des „full_audit“ Samba Moduls
    Die Haupt-Parameter des Moduls werden in der Samba-Konfiguration hinterlegt. Dazu können UCR-Variablen genutzt werden:

    ucr set 'samba/global/options/full_audit:failure=none' \
     'samba/global/options/full_audit:success=pwrite write rename' \
     'samba/global/options/full_audit:prefix=IP=%I|USER=%u|MACHINE=%m|VOLUME=%S' \
     'samba/global/options/full_audit:facility=local7' \
     'samba/global/options/full_audit:priority=NOTICE'
    
  3. Konfiguration von fail2ban
    Wie in [1] beschrieben, werden in den Konfigurationsdateien /etc/fail2ban/filter.d/samba.conf und /etc/fail2ban/jail.conf die Filter-Einstellungen und die Reaktion darauf (Sperren des Rechners & Versenden einer Benachrichtung) konfiguriert. Im Anschluss wird der Dienst über „service fail2ban restart“ neu gestartet, um die Konfiguration zu übernehmen.
  4. Konfiguration der Netzwerk-Freigaben
    In der Univention Management Console wird für jede zu überwachende Dateifreigabe auf dem Reiter „samba“ unter „VFS-Objekte“ das Modul „full_audit“ eingetragen. Damit ist der Audit für diese Freigabe aktiviert.

Wichtig ist zu wissen, dass dieser Schutz immer nur so gut oder so schlecht wie die Beschreibung der „Patterns“ in /etc/fail2ban/filter.d/samba.conf sein kann. Ist die Liste zu restriktiv, sperrt man nicht betroffene Anwender aus, ist sie veraltet, greift sie in neuen Szenarien ggf. nicht. Als Einstieg hier ein Beispiel für diese Datei, basierend auf Dateiendungen für kursierende Ransomware dokumentiert in [3][4].

[Definition]
failregex = (?i)smbd.*IP=<HOST>.*\.locky$
            (?i)smbd.*IP=<HOST>.*\.ecc$
            smbd.*IP=<HOST>.*\文件解密帮助.txt$
            (?i)smbd.*IP=<HOST>.*\.enigma$
            (?i)smbd.*IP=<HOST>.*\.ecc$
            (?i)smbd.*IP=<HOST>.*\.ezz$
            (?i)smbd.*IP=<HOST>.*\.ecc$
            (?i)smbd.*IP=<HOST>.*\.exx$
            (?i)smbd.*IP=<HOST>.*\.zzz$
            (?i)smbd.*IP=<HOST>.*\.xyz$
            (?i)smbd.*IP=<HOST>.*\.aaa$
            (?i)smbd.*IP=<HOST>.*\.abc$
            (?i)smbd.*IP=<HOST>.*\.ccc$
            (?i)smbd.*IP=<HOST>.*\.vvv$
            (?i)smbd.*IP=<HOST>.*\.xxx$
            (?i)smbd.*IP=<HOST>.*\.ttt$
            (?i)smbd.*IP=<HOST>.*\.micro$
            (?i)smbd.*IP=<HOST>.*\.encrypted$
            (?i)smbd.*IP=<HOST>.*\.crypt$
            (?i)smbd.*IP=<HOST>.*\.crypted$
            (?i)smbd.*IP=<HOST>.*\.crypto$
            (?i)smbd.*IP=<HOST>.*\._crypt$
            (?i)smbd.*IP=<HOST>.*\.zcrypt$
            (?i)smbd.*IP=<HOST>.*\.locked$
            (?i)smbd.*IP=<HOST>.*\.crinf$
            (?i)smbd.*IP=<HOST>.*\.r5a$
            (?i)smbd.*IP=<HOST>.*\.XRNT$
            (?i)smbd.*IP=<HOST>.*\.XTBL$
            (?i)smbd.*IP=<HOST>.*\.R16M01D05$
            (?i)smbd.*IP=<HOST>.*\.pzdc$
            (?i)smbd.*IP=<HOST>.*\.good$
            (?i)smbd.*IP=<HOST>.*\.LOL!$
            (?i)smbd.*IP=<HOST>.*\.OMG!$
            (?i)smbd.*IP=<HOST>.*\.RDM$
            (?i)smbd.*IP=<HOST>.*\.RRK$
            (?i)smbd.*IP=<HOST>.*\.encryptedRSA$
            (?i)smbd.*IP=<HOST>.*\.crjoker$
            (?i)smbd.*IP=<HOST>.*\.EnCiPhErEd$
            (?i)smbd.*IP=<HOST>.*\.LeChiffre$
            (?i)smbd.*IP=<HOST>.*\.keybtc@inbox_com$
            (?i)smbd.*IP=<HOST>.*\.0x0$
            (?i)smbd.*IP=<HOST>.*\.porno$
            (?i)smbd.*IP=<HOST>.*\.bleep$
            (?i)smbd.*IP=<HOST>.*\.1999$
            (?i)smbd.*IP=<HOST>.*\.vault$
            (?i)smbd.*IP=<HOST>.*\.HA3$
            (?i)smbd.*IP=<HOST>.*\.toxcrypt$
            (?i)smbd.*IP=<HOST>.*\.magic$
            (?i)smbd.*IP=<HOST>.*\.SUPERCRYPT$
            (?i)smbd.*IP=<HOST>.*\.CTBL$
            (?i)smbd.*IP=<HOST>.*\.CTB2$
            (?i)smbd.*IP=<HOST>.*\.[0-9]*$

ignoreregex =

Fazit: Der lebendige Kompromiss

Wie bei den meisten Sicherheitsthemen gilt es auch bei der Abwehr von Ransomware einen zur eigenen Umgebung passenden Kompromiss aus Aufwand, Einschränkungen und Risiken zu finden. Wer die unabhängig von dieser konkreten Bedrohung notwendigen Bestandteile „Kommunikation mit den Anwendern“, „funktionierendes Backup“ und „aktueller Virenschutz“ umgesetzt hat, ist vor den ärgsten Bedrohungen geschützt.

[1] Heise Artikel zur Konfiguration von „fail2ban“
[2] Informationen zum „unmaintained“ Repository
[3] The Week In Ransomware auf bleepingcomputer.com
[4] List of ransomware extensions and known ransom files created by Crypto malware auf reddit.com

UCS Core Edition jetzt kostenfrei einsetzen!

Zum Downloadbereich
Ingo Steuwer

Ingo Steuwer beschäftigt sich seit 1999 mit Linux und ist seit 2004 bei Univention. Als Head of Product Management liegt sein Fokus auf der Weiterentwicklung von UCS.

Was ist Ihre Meinung? Hinterlassen Sie einen Kommentar!

Kommentare

  1. endlich eine gute praktische rundumsicht, die die menschen an die hand nehmen will. ich selber arbeite dran und an genau diesen ausrichtungen. allein, es ist mir ueberlassen und somit doppelt so hart. echt zaehe arbeit. mit einer portion mut und einer prise spass, gehts dann wieder.
    danke herr steuwer, fuer die impulse 8)

    Antworten
  2. Eine etwas aktualisierte Version der /etc/fail2ban/filter.d/samba.conf die auch die aktuelle Ransomware „Cerber“ berücksichtigt:

    [Definition]
    failregex = smbd_audit\:\ IP=\|.*\.crypz$
    smbd_audit\:\ IP=
    \|.*\.enc*$
    smbd_audit\:\ IP=
    \|.decrypt-instruct*\.*$
    smbd_audit\:\ IP=
    \|.*files_are_encrypted\.*$
    smbd_audit\:\ IP=
    \|.*decryptmyfiles*\.*$
    smbd_audit\:\ IP=
    \|.help_instructions\.*$
    smbd_audit\:\ IP=
    \|.*-recover-*\.*$
    smbd_audit\:\ IP=
    \|.de_crypt_readme\.*$
    smbd_audit\:\ IP=
    \|.*!recover!*\.*$
    smbd_audit\:\ IP=
    \|.*recover\}-*\.*$
    smbd_audit\:\ IP=
    \|.*rec0ver*\.*$
    smbd_audit\:\ IP=
    \|._help_instruct*\.*$
    smbd_audit\:\ IP=
    \|.*_recover_*\.*$
    smbd_audit\:\ IP=
    \|.*\+recover\+*\.*$
    smbd_audit\:\ IP=
    \|.*warning-!!*\.*$
    smbd_audit\:\ IP=
    \|.*decrypt my file*\.*$
    smbd_audit\:\ IP=
    \|.help_file_*\.*$
    smbd_audit\:\ IP=
    \|.recovery\+*\.*$
    smbd_audit\:\ IP=
    \|.readme_for_decrypt*\.*$
    smbd_audit\:\ IP=
    \|.install_tor*\.*$
    smbd_audit\:\ IP=
    \|.readme_decrypt*\.*$
    smbd_audit\:\ IP=
    \|.howtodecrypt*\.*$
    smbd_audit\:\ IP=
    \|.howto_restore*\.*$
    smbd_audit\:\ IP=
    \|.how_to_recover*\.*$
    smbd_audit\:\ IP=
    \|.how_recover*\.*$
    smbd_audit\:\ IP=
    \|.how_to_decrypt*\.*$
    smbd_audit\:\ IP=
    \|.how to decrypt*\.*$
    smbd_audit\:\ IP=
    \|.help_restore*\.*$
    smbd_audit\:\ IP=
    \|.help_your_file*\.*$
    smbd_audit\:\ IP=
    \|.help_recover*\.*$
    smbd_audit\:\ IP=
    \|.help_decrypt*\.*$
    smbd_audit\:\ IP=
    \|.decrypt_instruct*\.*$
    smbd_audit\:\ IP=
    \|.cryptolocker\.*$
    smbd_audit\:\ IP=
    \|.*recover_instruction*\.*$
    smbd_audit\:\ IP=
    \|.*\.hydracrypt_ID*$
    smbd_audit\:\ IP=
    \|.*gmail*\.crypt$
    smbd_audit\:\ IP=
    \|.*\.cryptotorlocker*$
    smbd_audit\:\ IP=
    \|.*\.xxx$
    smbd_audit\:\ IP=
    \|.*\.xyz$
    smbd_audit\:\ IP=
    \|.*\.xtbl$
    smbd_audit\:\ IP=
    \|.*\.xort$
    smbd_audit\:\ IP=
    \|.*\.xrtn$
    smbd_audit\:\ IP=
    \|.*\.vvv$
    smbd_audit\:\ IP=
    \|.*\.vscrypt$
    smbd_audit\:\ IP=
    \|.*\.trun$
    smbd_audit\:\ IP=
    \|.*\.ttt$
    smbd_audit\:\ IP=
    \|.*\.surprise$
    smbd_audit\:\ IP=
    \|.*\.troyancoder@qq_com$
    smbd_audit\:\ IP=
    \|.*\.sport$
    smbd_audit\:\ IP=
    \|.*\.scl$
    smbd_audit\:\ IP=
    \|.*\.ryp$
    smbd_audit\:\ IP=
    \|.*\.sanction$
    smbd_audit\:\ IP=
    \|.*\.RRK$
    smbd_audit\:\ IP=
    \|.*\.rokku$
    smbd_audit\:\ IP=
    \|.*\.remind$
    smbd_audit\:\ IP=
    \|.*\.relock@qq_com$
    smbd_audit\:\ IP=
    \|.*\.RDM$
    smbd_audit\:\ IP=
    \|.*\.RADAMANT$
    smbd_audit\:\ IP=
    \|.*\.R5A$
    smbd_audit\:\ IP=
    \|.*\.R4A$
    smbd_audit\:\ IP=
    \|.*\.PoAr2w$
    smbd_audit\:\ IP=
    \|.*\.pizda@qq_com$
    smbd_audit\:\ IP=
    \|.*\.p5tkjw$
    smbd_audit\:\ IP=
    \|.*\.oplata@qq_com$
    smbd_audit\:\ IP=
    \|.*\.oshit$
    smbd_audit\:\ IP=
    \|.*\.oor$
    smbd_audit\:\ IP=
    \|.*\.one-we_can-help_you$
    smbd_audit\:\ IP=
    \|.*\.OMG!$
    smbd_audit\:\ IP=
    \|.*\.nochance$
    smbd_audit\:\ IP=
    \|.*\.nalog@qq_com$
    smbd_audit\:\ IP=
    \|.*\.micro$
    smbd_audit\:\ IP=
    \|.*\.LOL!$
    smbd_audit\:\ IP=
    \|.*\.locky$
    smbd_audit\:\ IP=
    \|.*\.locked$
    smbd_audit\:\ IP=
    \|.*\.LeChiffre$
    smbd_audit\:\ IP=
    \|.*\.kraken$
    smbd_audit\:\ IP=
    \|.*\.korrektor$
    smbd_audit\:\ IP=
    \|.*\.kkk$
    smbd_audit\:\ IP=
    \|.*\.kimcilware$
    smbd_audit\:\ IP=
    \|.*\.KEYZ$
    smbd_audit\:\ IP=
    \|.*\.keybtc@inbox_com$
    smbd_audit\:\ IP=
    \|.*\.KEYHOLES$
    smbd_audit\:\ IP=
    \|.*\.justbtcwillhelpyou$
    smbd_audit\:\ IP=
    \|.*\.infected$
    smbd_audit\:\ IP=
    \|.*\.helpdecrypt@ukr_net$
    smbd_audit\:\ IP=
    \|.*\.hb15$
    smbd_audit\:\ IP=
    \|.*\.ha3$
    smbd_audit\:\ IP=
    \|.*\.gruzin@qq_com$
    smbd_audit\:\ IP=
    \|.*\.gws$
    smbd_audit\:\ IP=
    \|.*\.fun$
    smbd_audit\:\ IP=
    \|.*\.fucked$
    smbd_audit\:\ IP=
    \|.*\.enigma$
    smbd_audit\:\ IP=
    \|.*\.encryptedped$
    smbd_audit\:\ IP=
    \|.*\.encryptedRSA$
    smbd_audit\:\ IP=
    \|.*\.encryptedAES$
    smbd_audit\:\ IP=
    \|.*\.Encrypted$
    smbd_audit\:\ IP=
    \|.*\.encrypt$
    smbd_audit\:\ IP=
    \|.*\.encedRSA$
    smbd_audit\:\ IP=
    \|.*\.EnCiPhErEd$
    smbd_audit\:\ IP=
    \|.*\.enc$
    smbd_audit\:\ IP=
    \|.*\.dyatel@qq_com$
    smbd_audit\:\ IP=
    \|.*\.czvxce$
    smbd_audit\:\ IP=
    \|.*\.darkness$
    smbd_audit\:\ IP=
    \|.*\.ctbl$
    smbd_audit\:\ IP=
    \|.*\.CrySiS$
    smbd_audit\:\ IP=
    \|.*\.CryptoTorLocker2015!$
    smbd_audit\:\ IP=
    \|.*\.crypted$
    smbd_audit\:\ IP=
    \|.*\.crypt$
    smbd_audit\:\ IP=
    \|.*\.cry$
    smbd_audit\:\ IP=
    \|.*\.crjoker$
    smbd_audit\:\ IP=
    \|.*\.crinf$
    smbd_audit\:\ IP=
    \|.*\.crime$
    smbd_audit\:\ IP=
    \|.*\.coverton$
    smbd_audit\:\ IP=
    \|.*\.code$
    smbd_audit\:\ IP=
    \|.*\.clf$
    smbd_audit\:\ IP=
    \|.*\.chifrator@qq_com$
    smbd_audit\:\ IP=
    \|.*\.cerber$
    smbd_audit\:\ IP=
    \|.*\.cbf$
    smbd_audit\:\ IP=
    \|.*\.btcbtcbtc$
    smbd_audit\:\ IP=
    \|.*\.btc-help-you$
    smbd_audit\:\ IP=
    \|.*\.btc$
    smbd_audit\:\ IP=
    \|.*\.bloc$
    smbd_audit\:\ IP=
    \|.*\.better_call_saul$
    smbd_audit\:\ IP=
    \|.*\.AES256$
    smbd_audit\:\ IP=
    \|.*\.\{CRYPTENDBLACKDC\}$
    smbd_audit\:\ IP=
    \|.*\.73i87A$
    smbd_audit\:\ IP=
    \|.*\.zzz$
    smbd_audit\:\ IP=
    \|.*\.abc$
    smbd_audit\:\ IP=
    \|.*\.aaa$
    smbd_audit\:\ IP=
    \|.vault\.txt$
    smbd_audit\:\ IP=
    \|.vault\.key$
    smbd_audit\:\ IP=
    \|.recovery_key\.txt$
    smbd_audit\:\ IP=
    \|.vault\.hta$
    smbd_audit\:\ IP=
    \|.message\.txt$
    smbd_audit\:\ IP=
    \|.recovery_file\.txt$
    smbd_audit\:\ IP=
    \|.confirmation\.key$
    smbd_audit\:\ IP=
    \|.enc_files\.txt$
    smbd_audit\:\ IP=
    \|.last_chance\.txt$
    smbd_audit\:\ IP=
    \|.*\.vault$
    smbd_audit\:\ IP=
    \|.*want your files back\.*$
    smbd_audit\:\ IP=
    \|.*\.frtrss$
    smbd_audit\:\ IP=
    \|.*\.exx$
    smbd_audit\:\ IP=
    \|.*\.ezz$
    smbd_audit\:\ IP=
    \|.*\.ecc$
    smbd_audit\:\ IP=
    \|.*help_restore*\.*$
    smbd_audit\:\ IP=
    \|.*how_to_recover*\.*$
    smbd_audit\:\ IP=
    \|.*restore_fi*\.*$
    smbd_audit\:\ IP=
    \|.*ukr\.net*$
    smbd_audit\:\ IP=
    \|.*qq_com*$
    smbd_audit\:\ IP=
    \|.*keemail\.me*$
    smbd_audit\:\ IP=
    \|.*decipher*$
    smbd_audit\:\ IP=
    \|.*install_tor*\.*$
    smbd_audit\:\ IP=
    \|.*crypt*$
    smbd_audit\:\ IP=
    \|.*cpyt*$
    smbd_audit\:\ IP=
    \|.*@india\.com*$
    smbd_audit\:\ IP=
    \|.*@gmail_com_*$
    smbd_audit\:\ IP=
    \|.*\.*obleep$
    smbd_audit\:\ IP=
    \|.*\.*exx$
    smbd_audit\:\ IP=
    \|.*\.*locked$
    smbd_audit\:\ IP=
    \|.*\.*nochance$
    smbd_audit\:\ IP=
    \|.*\.*kraken$
    smbd_audit\:\ IP=
    \|.*\.*kb15$
    smbd_audit\:\ IP=
    \|.*\.*darkness$
    smbd_audit\:\ IP=
    \|.*\.*crypto$
    smbd_audit\:\ IP=
    \|.*\.*cry$
    smbd_audit\:\ IP=
    \|._Locky_recover_instructions\.txt$
    smbd_audit\:\ IP=
    \|.help_recover_instructions\+*\.txt$
    smbd_audit\:\ IP=
    \|.recoverfile*\.txt$
    smbd_audit\:\ IP=
    \|.Howto_Restore_FILES\.TXT$
    smbd_audit\:\ IP=
    \|.recoveryfile*\.txt$
    smbd_audit\:\ IP=
    \|._how_recover\.txt$
    smbd_audit\:\ IP=
    \|.howrecover\+*\.txt$
    smbd_audit\:\ IP=
    \|.restorefiles\.txt$
    smbd_audit\:\ IP=
    \|.howto_recover_file\.txt$
    smbd_audit\:\ IP=
    \|.HowtoRESTORE_FILES\.txt$
    smbd_audit\:\ IP=
    \|.RECOVERY_FILE*\.txt$
    smbd_audit\:\ IP=
    \|.RECOVERY_FILES\.txt$
    smbd_audit\:\ IP=
    \|.help_decrypt_your_files\.html$
    smbd_audit\:\ IP=
    \|.HELPDECYPRT_YOUR_FILES\.HTML$
    smbd_audit\:\ IP=
    \|.IHAVEYOURSECRET\.KEY$
    smbd_audit\:\ IP=
    \|.SECRET\.KEY$
    smbd_audit\:\ IP=
    \|.SECRETIDHERE\.KEY$
    smbd_audit\:\ IP=
    \|.READTHISNOW!!!\.TXT$
    smbd_audit\:\ IP=
    \|.IAMREADYTOPAY\.TXT$
    smbd_audit\:\ IP=
    \|.HELLOTHERE\.TXT$
    smbd_audit\:\ IP=
    \|.FILESAREGONE\.TXT$
    smbd_audit\:\ IP=
    \|.DECRYPT_ReadMe\.TXT$
    smbd_audit\:\ IP=
    \|.Read\.txt$
    smbd_audit\:\ IP=
    \|.About_Files\.txt$
    smbd_audit\:\ IP=
    \|._secret_code\.txt$
    smbd_audit\:\ IP=
    \|.ReadDecryptFilesHere\.txt$
    smbd_audit\:\ IP=
    \|.Coin\.Locker\.txt$
    smbd_audit\:\ IP=
    \|.HOW_TO_DECRYPT_FILES\.TXT$
    smbd_audit\:\ IP=
    \|.DECRYPT_INSTRUCTION\.TXT$
    smbd_audit\:\ IP=
    \|.encryptor_raas_readme_liesmich\.txt$
    smbd_audit\:\ IP=
    \|.Help_Decrypt\.txt$
    smbd_audit\:\ IP=
    \|.YOUR_FILES\.url$
    smbd_audit\:\ IP=
    \|.How_To_Recover_Files\.txt$
    smbd_audit\:\ IP=
    \|.YOUR_FILES\.HTML$
    smbd_audit\:\ IP=
    \|.INSTRUCCIONES_DESCIFRADO\.TXT$
    smbd_audit\:\ IP=
    \|.DECRYPT_INSTRUCTIONS\.TXT$
    smbd_audit\:\ IP=
    \|.HELP_TO_SAVE_FILES\.txt$
    smbd_audit\:\ IP=
    \|.DecryptAllFiles\.txt$
    smbd_audit\:\ IP=
    \|.HELP_RECOVER_FILES\.txt$
    smbd_audit\:\ IP=
    \|.HELP_RESTORE_FILES\.txt$
    smbd_audit\:\ IP=
    \|.HELP_TO_DECRYPT_YOUR_FILES\.txt$
    smbd_audit\:\ IP=
    \|.HELP_YOUR_FILES\.TXT$
    smbd_audit\:\ IP=
    \|.HELPDECRYPT\.TXT$
    smbd_audit\:\ IP=
    \|.*\.CTB2$
    smbd_audit\:\ IP=
    \|.*\.SUPERCRYPT$
    smbd_audit\:\ IP=
    \|.*\.magic$
    smbd_audit\:\ IP=
    \|.*\.1999$
    smbd_audit\:\ IP=
    \|.*\.toxcrypt$
    smbd_audit\:\ IP=
    \|.*\.bleep$
    smbd_audit\:\ IP=
    \|.*\.0x0$
    smbd_audit\:\ IP=
    \|.*\.good$
    smbd_audit\:\ IP=
    \|.*\.R16M01D05$
    smbd_audit\:\ IP=
    \|.*\.pzdc$
    smbd_audit\:\ IP=
    \|.*\.XRNT$
    smbd_audit\:\ IP=
    \|._crypt$
    smbd_audit\:\ IP=
    \|.*\.crypto$
    smbd_audit\:\ IP=
    \|.*\.ccc$
    smbd_audit\:\ IP=
    \|.oor*\.$
    smbd_audit\:\ IP=
    \|.*\.da_vinci_code$
    smbd_audit\:\ IP=
    \|.*\.payransom$
    smbd_audit\:\ IP=
    \|.*\.KEYH0LES$
    smbd_audit\:\ IP=
    \|.oor\.*$
    smbd_audit\:\ IP=
    \|.*\.zyklon$
    smbd_audit\:\ IP=
    \|.*\.zcrypt$
    smbd_audit\:\ IP=
    \|.*\.Z81928819$
    smbd_audit\:\ IP=
    \|.*\.Silent$
    smbd_audit\:\ IP=
    \|.*\.RSNSlocked$
    smbd_audit\:\ IP=
    \|.*\.RAD$
    smbd_audit\:\ IP=
    \|.*\.porno$
    smbd_audit\:\ IP=
    \|.*\.pornoransom$
    smbd_audit\:\ IP=
    \|.*\.odcodc$
    smbd_audit\:\ IP=
    \|._ryp$
    smbd_audit\:\ IP=
    \|.*\.helpdecrypt@ukr*\.net$
    smbd_audit\:\ IP=
    \|.*\.only-we_can-help_you$
    smbd_audit\:\ IP=
    \|.*\.cryp1$
    smbd_audit\:\ IP=
    \|.*\.fileiscryptedhard$
    smbd_audit\:\ IP=
    \|.*\.blocatto$
    smbd_audit\:\ IP=
    \|.*\.8lock8$
    smbd_audit\:\ IP=
    \|.*\.777$
    smbd_audit\:\ IP=
    \|.*\.bart.zip$

    ignoreregex =

    Antworten

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert