„Die Mitarbeiter von Digital Recovery waren extrem hilfreich.”
Thomas Araman - Vorstand - DAT AUTOHUS
Erfolgsgeschichten

Spezialgebiete

xenserver_logo-3.webp
ico-hyper-x2.png
redhat_logo-3.webp
virtualbox_logo-3.webp
xenserver_logo-3.webp

Technologie, um Ihre Daten zurückzubringen!

Hyper-V entschlüsseln, das von Ransomware betroffen ist

Wir verfügen über exklusive Lösungen zur Entschlüsselung von Microsoft Hyper-V.

  • Mehr als 25 Jahre Erfahrung
  • In 7 Ländern vertreten
  • Mehrsprachiger Support
0800 116-3521
+55 11 4508 1050
35 Tsd+

FÄLLE WELTWEIT

25 Jahre

ERFAHRUNG
AUS DER PRAXIS

7 Tsd+

RESTORED
DATECENTER

24×7

24-STUNDEN
NOTFALLSUPPORT

Remote

DATENRETTUNG
VIA REMOTE

DSGVO

UMFASSENDER
DATENSCHUTZ

Von der Presse anerkannt
t-online-optimized
Group-55-143x25
Computer logo
connect-professional-150x150
frame-1616-150x150
lebensmittelpraxis-143w
computerworld-143w
blick-143w

Durch Ransomware verschlüsseltes Hyper-V

Wir können Hyper-V wiederherstellen, das durch die meisten Ransomware-Erweiterungen verschlüsselt wurde.

Hyper-V ist eine von Microsoft implementierte Virtualisierungstechnologie für Hardware, die es Benutzern ermöglicht, virtuelle Maschinen zu erstellen und zu verwalten. Wie jedes andere System ist jedoch auch Hyper-V anfällig für Cyberangriffe – einschließlich Ransomware, einer Schadsoftware, die Benutzerdaten verschlüsselt und ein Lösegeld für deren Wiederherstellung fordert.

Ransomware gelangt in der Regel über Social-Engineering-Techniken wie Phishing-E-Mails oder bösartige Downloads in die Systeme.

Im Kontext von Hyper-V kann ein Angreifer nicht nur die Host-Maschine ins Visier nehmen, sondern auch die einzelnen virtuellen Maschinen (VMs). Sobald der Zugriff erlangt wurde, kann die Ransomware die Dateien verschlüsseln und so verhindern, dass Benutzer auf die in den VMs enthaltenen Daten zugreifen.

Ransomware-Angriffe auf Hyper-V können erhebliche Unterbrechungen im Geschäftsbetrieb verursachen. Wenn die Daten nicht ausreichend geschützt sind und keine aktuellen Backups vorhanden sind, kann der Datenverlust irreversibel sein.

Darüber hinaus garantiert die Zahlung des Lösegelds nicht die Wiederherstellung der Daten, da Cyberkriminelle die Dateien nach Zahlung häufig nicht entschlüsseln.

In einer solchen Situation ist die einzige Maßnahme zur Wiederherstellung der verschlüsselten Daten die Unterstützung durch ein spezialisiertes Datenrettungsunternehmen wie Digital Recovery.

VMware ist ein Softwareunternehmen, das sich auf Virtualisierung und Cloud-Computing spezialisiert hat.

VMware

Oracle VM VirtualBox ist die weltweit beliebteste plattformübergreifende Open-Source-Virtualisierungssoftware.

VirtualBox

Microsoft Hyper-V ist eine native, auf Hypervisor basierende Virtualisierungstechnologie.

Hyper-V

XenServer ist eine offene und effektive Server-Virtualisierungslösung, die die Kosten des Rechenzentrums radikal senkt.

XenServer

Red Hat Enterprise Linux ist eine kosteneffiziente, auf hohe Leistung ausgerichtete Plattform für Microsoft SQL Server.

Redhat VM

Wiederherstellung der wichtigsten virtuellen Maschinen auf dem Markt

   JETZT ANALYSE ANFORDERN

Warum Digital Recovery?

Seit über zwei Jahrzehnten sind wir im Bereich der Datenwiederherstellung tätig und auf Disaster Recovery spezialisiert. Unser Fokus liegt insbesondere auf der Entschlüsselung von Ransomware.

Unsere Lösungen sind individuell angepasst, um den tatsächlichen Bedürfnissen jedes einzelnen Kunden gerecht zu werden. Wir können durch Ransomware verschlüsselte Hyper-V-Systeme entschlüsseln – selbst wenn die gesamte virtuelle Maschine betroffen ist, ermöglichen unsere Technologien eine schnelle und sichere Datenwiederherstellung.

Sicherheit und Vertraulichkeit sind für uns unverzichtbare Grundprinzipien. Deshalb stellen wir allen unseren Kunden eine Vertraulichkeitsvereinbarung (NDA) zur Verfügung, um sicherzustellen, dass keine Informationen über den Wiederherstellungsprozess weitergegeben werden. Darüber hinaus sind alle unsere Abläufe durch die Datenschutz-Grundverordnung (DSGVO) abgesichert.

Ab dem ersten Kontakt wird der Kunde von einem unserer Spezialisten begleitet, um über jeden Schritt des Prozesses an der virtuellen Maschine informiert zu sein. Dafür wird eine Feedback-Routine eingerichtet.

Für Fälle, in denen eine schnelle Wiederherstellung erforderlich ist, haben wir den Notfallmodus für Wiederherstellung entwickelt. Mit dieser Option arbeiten unsere Labore mit einer Verfügbarkeit von 24/7 – dieser Modus kann vom Kunden bei Beauftragung des Dienstes aktiviert werden.

Vertrauen Sie auf die exklusiven Technologien von Digital Recovery zur Entschlüsselung von Hyper-V.

Digital Recovery kontaktieren

01

Daten werden analysiert

02

Angebot erhalten

03

Daten werden gerettet

04

Zurück in den Normalbetrieb

05

Kontaktanfrage Datenrettung

Sie erreichen uns telefonisch rund um die Uhr:

Sie wollen uns lieber schreiben? Dann nutzen Sie folgendes Formular:

Bitte tragen Sie Ihre Kontaktdaten und eine kurze Beschreibung Ihres Anliegens in das Formular ein. Ihre Kontaktanfrage wird über eine verschlüsselte Verbindung sicher übertragen.

Beim Absenden des Formulars erklären Sie, dass Sie die Informationen zum Datenschutz gelesen haben und damit einverstanden sind, dass Ihre personenbezogenen Daten ausschließlich zum Zweck der Bearbeitung und Beantwortung Ihrer Anfrage gemäß der Datenschutz-Grundverordnung erfasst, übertragen, verarbeitet und genutzt werden dürfen.

Stimmen unserer Kunden: Geschichten des Erfolgs

Von der Krise zum Erfolg: Unsere Fallstudien

Wir haben über 1,5 TB Daten entschlüsselt nach einem Angriff der Ransomware LockBit 2.0

Kurz nach einer neuen Welle von Angriffen durch die Ransomware LockBit 2.0 sahen viele Unternehmen ihre Geschäfte aufgrund von durch die Verschlüsselung blockierten Daten stillstehen. Hier ist ein Fall von Entschlüsselung für eines von ihnen.

#FRANKREICH
So haben wir ein Unternehmen vor einem Ransomware-Angriff LockBit 2.0 gerettet

Dies war die Situation: Mehr als 10 virtuelle Maschinen, alle auf Windows Server gehostet, konnten nicht mehr starten aufgrund einer Malware im System, die den Betrieb des Unternehmens behinderte. Die Hackergruppe LockBit, die die Systeme infiltriert hatte, forderte ein Lösegeld von mehr als 20.000 Euro.

#FRANKREICH
Ransomware-Angriff auf eines der größten Flussschifffahrtslogistikunternehmen in Lateinamerika

Eines der größten Logistikunternehmen für Flussschifffahrten in Lateinamerika kontaktierte uns, um Dateien nach einem Angriff durch Ransomware Quantum zu entschlüsseln.

#Argentinien

Kurz und überzeugend: Was unsere Kunden sagen

„In mitten der Besorgnis in Bezug auf wichtige elektronische Aufzeichnungen unserer Arbeit, lernten wir Digital Recovery kennen, die sich in ihrem Kerngeschäft, RAID Datenrettung, als eine professionelle und kompetente Firma herausstellte. Die Erfahrung, die wir mit Digital Recovery machten, war äußerst zufriedenstellend, sowohl in technischer als auch professioneller Hinsicht.“

Henrique F. Camilo | PMP | IPMA
Henrique F. Camilo | PMP | IPMASiemens | Infrastructure & Cities Sector

„In einem Fall von Datenverlust auf zwei QNAP RAID NAS Geräten mit jeweils 4 Festplatten kam es zu einem Datenverlust. Wir konnten 100% der Daten wiederherstellen. Hier das Feedback unseres Kunden: „Digital Recovery bat einen guten Service, eine schnelle Abholung und eine schnelle Rücklieferung zu einem fairen Preis im Gegensatz zur Konkurrenz.”

Ph. Schmidt, Universitäres Herzzentrum
Ph. Schmidt, Universitäres HerzzentrumUniversitätsklinikum Hamburg-Eppendorf (UKE)

„Digital Recovery Datenrettung hat sich als absolut verlässlicher Partner dargestellt und in Rekord-Reaktionszeit in unserem Hause Egon Zehnder International GmbH das HP-RAID wiederhergestellt. Absolute Business-Empfehlung!“

Pascal Jung
Pascal JungEgonZehnder IT SUPPORT MANAGER GERMANY
Firmen, die unseren Dienstleistungen vertrauen ​
Bayer.png
FCB.png
logo-autohus.png
logo-coca.png
logo-ibm.png
logo-samsung.png
logo-vw.png
Rinderzucht.png

Antworten von unseren Spezialisten

Wie kann eine Ransomware ein Hyper-V-System verschlüsseln?

Ransomware kann Hyper-V-Umgebungen verschlüsseln, indem es Schwachstellen ausnutzt und sich Zugriff auf die Infrastruktur verschafft. Zu den wichtigsten Methoden und Techniken, die für Angriffe auf Hyper-V-Umgebungen eingesetzt werden, gehören:

  • Zugriff auf den Hyper-V-Host: Um Hyper-V zu verschlüsseln, muss Ransomware zunächst Zugriff auf das Host-System erhalten, auf dem Hyper-V installiert ist. Dies geschieht häufig über Phishing, das Ausnutzen von Schwachstellen oder durch schwache Zugangsdaten.
  • Herunterfahren der virtuellen Maschinen: Sobald die Angreifer Zugriff haben, können sie PowerShell verwenden, um die VMs zu stoppen. Ransomware nutzt häufig Befehle wie Stop-VM, um die virtuellen Maschinen herunterzufahren oder zu pausieren, da das Verschlüsseln geöffneter Dateien schwieriger ist. Im Offline-Zustand können die virtuellen Festplattendateien (VHD oder VHDX) problemlos verschlüsselt werden.
  • Verschlüsselung der VHD/VHDX-Dateien: Nachdem die VMs gestoppt wurden, identifiziert die Ransomware die virtuellen Festplattendateien (VHD/VHDX), in denen die Daten gespeichert sind. Mit direktem Zugriff auf diese Dateien kann sie sie verschlüsseln und so die Daten unzugänglich machen.
  • Verschlüsselung der Konfigurationsdateien: Neben den Festplattendateien verschlüsselt die Ransomware häufig auch Konfigurationsdateien der VMs (z. B. XML- oder BIN-Dateien), die Informationen über Struktur und Zustand der VM enthalten. Das erschwert die Wiederherstellung zusätzlich und zwingt zum Besitz eines Entschlüsselungsschlüssels.
  • Seitliche Verbreitung im Netzwerk: In größeren Infrastrukturen kann sich die Ransomware lateral bewegen und weitere Hyper-V-Hosts, Backup-Server oder gemeinsam genutzte Speicher angreifen. Sie verbreitet sich über Protokolle wie SMB (Server Message Block) oder andere Netzwerkfreigaben.
  • Löschen von Backups: Einige Ransomware-Varianten sind darauf ausgelegt, vorhandene Backups zu löschen oder zu verschlüsseln – einschließlich Snapshots und VM-Backups innerhalb von Hyper-V – was die Wiederherstellung zusätzlich erschwert.

Wie erkennt man, ob ein Hyper-V-System von einem Ransomware-Angriff betroffen ist?

Um festzustellen, ob ein Hyper-V-System von einem Ransomware-Angriff betroffen ist, sollte man auf verschiedene Warnzeichen und ungewöhnliches Verhalten achten. Hier sind die wichtigsten Hinweise:
  • Ungewöhnliche Systemleistung: Plötzliche Leistungseinbrüche, starke Verlangsamung oder Unterbrechungen im Betrieb der VMs können ein Hinweis darauf sein, dass etwas den normalen Systemablauf stört.
  • Veränderter Status der VMs: Virtuelle Maschinen, die ohne administrativen Eingriff heruntergefahren, pausiert oder neu gestartet wurden, können darauf hindeuten, dass ein Angreifer versucht hat, sie offline zu schalten, um die Verschlüsselung der VHD/VHDX-Dateien zu ermöglichen.
  • Verschlüsselte oder umbenannte Dateien: Das Auftreten von VHD/VHDX-Dateien mit veränderten Dateinamen oder neuen, unbekannten Erweiterungen weist deutlich auf eine Verschlüsselung hin.
  • Lösegeldforderungen: Das Erscheinen von sogenannten Ransom Notes (Lösegeldnachrichten) im Dateisystem des Hosts oder in den VM-Verzeichnissen mit Anweisungen zur Zahlung ist ein klassisches Anzeichen für einen Ransomware-Angriff.
  • Sicherheitswarnungen oder verdächtige Logs: Überprüfen Sie Sicherheitsprotokolle auf ungewöhnliche Aktivitäten, z. B. unautorisierte Zugriffe, unbekannte PowerShell-Befehle (z. B. Stop-VM) oder plötzliche Änderungen an Hyper-V-Diensten.
  • Fehlende Backups und Snapshots: Wenn aktuelle Backups oder Snapshots verschwunden sind, insbesondere bei einer Massenlöschung, kann das auf eine gezielte Aktion durch Ransomware hinweisen.
  • Unregelmäßige Administratoraktivitäten: Nicht autorisierte Nutzung von Verwaltungstools (z. B. PowerShell-Befehle wie Remove-VM oder Stop-VM) kann ein Hinweis auf Kompromittierung sein.
  • Manipulation der Konfigurationsdateien: Veränderungen oder Verschlüsselung von Konfigurationsdateien (z. B. XML-Dateien) können darauf hinweisen, dass Ransomware versucht, die Wiederherstellung des VM-Setups zu verhindern.
  • Verdächtiger Netzwerkverkehr: Unerwartete Datenübertragungen oder Verbindungen zu unbekannten Domains könnten darauf hindeuten, dass sich die Ransomware lateral im Netzwerk ausbreitet oder mit einem Command-and-Control-Server (C2) kommuniziert.

Wie kann verhindert werden, dass Hyper-V durch Ransomware kompromittiert wird?

Um zu verhindern, dass eine Hyper-V-Umgebung durch Ransomware kompromittiert wird, ist die Umsetzung robuster Sicherheitsmaßnahmen unerlässlich. Hier sind bewährte Praktiken zum Schutz von Hyper-V vor Angriffen:

  • Regelmäßige Updates und Sicherheits-Patches: Halten Sie das Betriebssystem und die Hyper-V-Software stets auf dem neuesten Stand. Sicherheitsaktualisierungen schließen bekannte Schwachstellen, die von Ransomware ausgenutzt werden könnten.
  • Netzwerkisolierung und -segmentierung: Segmentieren Sie das Netzwerk so, dass Hyper-V-Hosts von anderen Netzbereichen getrennt sind. Das erschwert die laterale Ausbreitung von Malware im Falle eines Angriffs.
  • Starke Authentifizierung und Zugriffskontrollen: Verwenden Sie Multi-Faktor-Authentifizierung (MFA) für Administratorenkonten und beschränken Sie den Zugriff auf Hyper-V-Systeme auf das absolut Notwendige. Das Prinzip der minimalen Rechte sollte konsequent umgesetzt werden.
  • Datensicherung und Wiederherstellung: Richten Sie regelmäßige, automatisierte Backups der VMs ein und speichern Sie diese isoliert vom Hauptnetzwerk. Achten Sie darauf, dass die Backups unveränderlich oder vor Manipulation geschützt sind.
  • Überwachung von Aktivitäten und Sicherheitsprotokollen: Überwachen Sie Systemprotokolle und Ereignisse auf ungewöhnliche Aktivitäten, etwa unerlaubte Befehle oder Zugriffe. Tools wie Log-Analyzer und Intrusion Detection Systeme (IDS) helfen bei der frühzeitigen Erkennung von Bedrohungen.
  • Hardening von Hyper-V und dem Host-System: Härten Sie das Betriebssystem und den Hyper-V-Host durch das Deaktivieren unnötiger Dienste, die Anwendung strenger Sicherheitsrichtlinien und eine sichere Konfiguration von Firewalls und Systemregeln.
  • Benutzerschulung und Awareness-Programme: Schulen Sie IT-Teams und andere Mitarbeitende regelmäßig in Bezug auf Sicherheitsrichtlinien sowie das Erkennen und Vermeiden von Phishing und Social Engineering – häufige Einstiegspunkte für Ransomware.
  • Einsatz fortschrittlicher Sicherheitslösungen: Verwenden Sie moderne Schutzlösungen wie EDR (Endpoint Detection and Response) und Next-Generation Firewalls, um verdächtige Aktivitäten zu erkennen und Bedrohungen frühzeitig zu blockieren.
  • Schutz von Zugangsdaten und Passwörtern: Nutzen Sie Passwort-Manager, setzen Sie auf starke Passwörter und wechseln Sie Zugangsdaten regelmäßig. Erzwingen Sie komplexe Passwortrichtlinien, um unautorisierten Zugriff zu erschweren.
  • Deaktivierung unnötiger Protokolle und Ports: Schließen Sie Kommunikationsprotokolle und Netzwerkports, die für den Betrieb von Hyper-V nicht erforderlich sind, um die Angriffsfläche zu minimieren.
  • Simulationen und Resilienztests: Führen Sie regelmäßig Tests und Notfallübungen durch, um sicherzustellen, dass alle Beteiligten wissen, wie im Ernstfall zu reagieren ist, und dass Notfallpläne wirksam greifen.

Was ist zu tun, wenn Hyper-V von einem Ransomware-Angriff betroffen ist?

Wenn Hyper-V von einem Ransomware-Angriff betroffen ist, ist es entscheidend, einem strukturierten Ablauf zu folgen, um den Schaden zu begrenzen und eine sichere Wiederherstellung der Umgebung zu ermöglichen. Hier ist ein detaillierter Leitfaden, was im Ernstfall zu tun ist:

Sofortige Isolierung
Trennen Sie das betroffene System umgehend vom Netzwerk, um die Ausbreitung der Ransomware auf andere Systeme zu verhindern. Dazu gehören das Deaktivieren der Netzwerkverbindung, das Trennen physischer Netzwerkschnittstellen und das Blockieren bestimmter Ports.

Benachrichtigung des Sicherheitsteams
Informieren Sie die IT-Sicherheitsabteilung, damit der Vorfallbehandlungsplan eingeleitet wird. Falls Ihr Unternehmen über einen etablierten Incident-Response-Plan verfügt, sollte dieser konsequent umgesetzt werden.

Erste Analyse und Bewertung
Führen Sie eine erste Einschätzung durch, um das Ausmaß des Angriffs zu ermitteln. Identifizieren Sie, welche virtuellen Maschinen und Dateien verschlüsselt wurden und ob sensible Daten abgeflossen sind.

Sicherung von Beweismaterial
Bewahren Sie forensisch relevante Daten wie Sicherheitsprotokolle, System-Snapshots und Zugriffsnachweise auf. Diese Informationen sind nützlich für spätere Untersuchungen oder juristische Schritte.

Interne und externe Kommunikation
Informieren Sie interne Stakeholder und – wenn erforderlich – Kunden oder Partner. Je nach Ausmaß des Angriffs und geltenden Datenschutzbestimmungen kann auch die Benachrichtigung von Datenschutzbehörden erforderlich sein.

Überprüfung der Backups
Prüfen Sie die vorhandenen Backups auf Integrität und stellen Sie sicher, dass sie nicht kompromittiert wurden. Nur saubere und geprüfte Backups dürfen zur Wiederherstellung verwendet werden.

Keine vorschnelle Lösegeldzahlung
Die Entscheidung über eine mögliche Zahlung sollte mit Bedacht getroffen werden. Konsultieren Sie Spezialisten für Ransomware-Verhandlungen. Eine Zahlung garantiert keine Wiederherstellung der Daten und fördert weitere Angriffe.

Entfernung der Ransomware
Verwenden Sie spezialisierte Tools zur Entfernung der Ransomware. Stellen Sie sicher, dass alle Spuren beseitigt sind, bevor Sie mit der Wiederherstellung beginnen, um eine Reinfektion zu verhindern.

Systemwiederherstellung
Stellen Sie die betroffenen VMs und Dateien aus verifizierten Backups wieder her. Führen Sie diesen Prozess zuerst in einer isolierten Umgebung durch und validieren Sie die Daten, bevor Sie sie in das Produktionsnetzwerk integrieren.

Sicherheitsmaßnahmen aktualisieren
Stärken Sie nach dem Vorfall Ihre Sicherheitsmaßnahmen. Dazu gehören Passwortwechsel, Patch-Management, Firewalleinstellungen sowie die Überarbeitung von Sicherheitsrichtlinien.

Nachbesprechung des Vorfalls
Führen Sie eine Post-Mortem-Analyse durch, um die Ursachen zu identifizieren und Schwachstellen aufzudecken. Aktualisieren Sie Ihre Sicherheitsrichtlinien und Notfallpläne basierend auf den gewonnenen Erkenntnissen.

Einbindung von Spezialisten
Ziehen Sie die Digital Recovery hinzu – wir sind auf die Reaktion auf Ransomware-Vorfälle spezialisiert und begleiten Sie durch alle Phasen der Analyse, Eindämmung und Wiederherstellung.

Der Datenrettungs-Blog von Digital Recovery

Was Sie wissen müssen

Welche virtuellen Maschinen können wiederhergestellt werden?

Wir verfügen über umfassende Kenntnisse über die wichtigsten virtuellen Maschinen auf dem Markt und über exklusive Technologien, die es uns ermöglichen, Daten unabhängig vom Grund des Datenverlusts wiederherzustellen.

Unsere Technologien ermöglichen die Wiederherstellung von Daten aus den folgenden virtuellen Maschinen:

  • Microsoft Hyper-V
  • Oracle VirtualBox
  • VMware
  • XenServer
  • RedHat VM
  • Citrix
  • Acropolis
  • Microsoft Virtual PC
  • QEMU

Es ist nicht möglich, einen Preis festzulegen, ohne zuvor eine Diagnose der betroffenen virtuellen Maschine durchzuführen. Wir können innerhalb der ersten 24 Stunden eine umfassende Diagnose durchführen und stellen anschließend den Kostenvoranschlag zur Verfügung.

Es ist wichtig zu betonen, dass die Zahlung erst nach Abschluss des Wiederherstellungsprozesses und nach der Überprüfung der wiederhergestellten Dateien durch den Kunden selbst erfolgt.