14
Petya Virus eingefangen
Hallo zusammen,
ein Kunde von mir hat den Petya Virus, also sein Laptop. Jetzt habe ich folgende Konstellation:
Ich hänge die Platte aus dem Laptop an meinen PC, wird im RAW-Format erkannt. Ich lass dieses Petya Tool, wie auf heise.de erklärt, drüberlaufen.
Ich bekomme einen Key zum entsperren. Ich klemm die Platte wieder am Laptop an..."a disk read error occured"...
Bin grad mächtig am verzweifeln, kann mir jemand helfen?
edit: Testdisk findet keinerlei Partitionen, diskpart schon.
ein Kunde von mir hat den Petya Virus, also sein Laptop. Jetzt habe ich folgende Konstellation:
Ich hänge die Platte aus dem Laptop an meinen PC, wird im RAW-Format erkannt. Ich lass dieses Petya Tool, wie auf heise.de erklärt, drüberlaufen.
Ich bekomme einen Key zum entsperren. Ich klemm die Platte wieder am Laptop an..."a disk read error occured"...
Bin grad mächtig am verzweifeln, kann mir jemand helfen?
edit: Testdisk findet keinerlei Partitionen, diskpart schon.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 301551
Url: https://administrator.de/contentid/301551
Printed on: April 26, 2024 at 17:04 o'clock
14 Comments
Latest comment
Nimm das 1:1 Backup das du zuvor erstellt hast und klone es erneut.
War in dem Notebook eine gewollte Verschlüsselung der HDD aktiv?
War in dem Notebook eine gewollte Verschlüsselung der HDD aktiv?
Backup hat der Kunde keines...das ist ja das Problem. Ist quasi durch den Virus ein Kunde von uns geworden.
Es war keine gewollte Verschlüsselung aktiv.
Was mich wundert ist das RAW-Format bzw. der Read Error.
Es war keine gewollte Verschlüsselung aktiv.
Was mich wundert ist das RAW-Format bzw. der Read Error.
Hallo,
vielleicht hilft das weiter:
http://www.heise.de/newsticker/meldung/Erpressungs-Trojaner-Petya-gekna ...
https://github.com/leo-stone/hack-petya
Gruß
SH
vielleicht hilft das weiter:
http://www.heise.de/newsticker/meldung/Erpressungs-Trojaner-Petya-gekna ...
https://github.com/leo-stone/hack-petya
Gruß
SH
"Damals", also als ich für ein Systemhaus gebastelt habe, wurde in solchen und anderen Fällen VOR den Datenrettungsversuchen erstmal, wenn möglich, eigene Backups gezogen. Ansonsten hast du jetzt eventuell ireperablen Schaden angerichtet.
Das RAW-Format resultiert vermutlich aus der Tatsache das Petya, wie ich gelesen habe, auch den MBR verändert.
Quelle: http://www.heise.de/security/meldung/Erpressungs-Trojaner-Petya-riegelt ...
Das RAW-Format resultiert vermutlich aus der Tatsache das Petya, wie ich gelesen habe, auch den MBR verändert.
Quelle: http://www.heise.de/security/meldung/Erpressungs-Trojaner-Petya-riegelt ...
@ SachsenHessi:
Hab ich schon gemacht, aber die Platte bootet ja nicht mehr.
Hab ich schon gemacht, aber die Platte bootet ja nicht mehr.
@ ukulele: Datenrettung war in diesem Fall nicht mehr möglich, da die Platte schon durch den Trojaner verschlüsselt wurde
Platte war nicht einmal klonbar...anscheinend hat hier Petya richtig gewütet
Interessant! Mit welchem Tool hast du es probiert?
Gruß
Ankh
Clonezilla, Acronis und Easeus
Platte wird da erst gar nicht erkannt.
Platte wird da erst gar nicht erkannt.
Zitat von @FFSephiroth:
@ ukulele: Datenrettung war in diesem Fall nicht mehr möglich, da die Platte schon durch den Trojaner verschlüsselt wurde
@ ukulele: Datenrettung war in diesem Fall nicht mehr möglich, da die Platte schon durch den Trojaner verschlüsselt wurde
Doch auch eine Verschlüssele Platte kann man klonen. Und Experimente führt man nur dann durch, wenn man eine Sicherungskopie der (verschlüsselten9 Platt egezogen hat!
Noch viel lernen, du mußt, junger Padavan.
lks
PS. Warum habt Ihr den Kuden nicht an einen Fachbetrieb verwiesen?
Dann nimmt man ordentlich forensische Tools un dlowlevel-werkzeuge. Und wenn die Platt egar nciht erkannt wird, habt Ihr wentweder die faklschen treiber ode rdie Platte ist kaputt. In so einem Fall wären Datenretter wie Kroll-Ontrack das richtige gewesen.
Habt Ihr wenigsten di ePlatte aus dem PC ausgebaut und mit HDD-docks gearbeitet? Ansonsten besteht auch di eMöglichkeite, daß der trojaner auch das BIOS infiziert hat, damit man nicht an die Platte kommt.
lks
Hab nochmal mit dem Kunden geredet. Vor mir hat ein Mitarbeiter von ihm am Laptop rumgedoktert. "Er hat im Internet gelesen....". Auf deutsch: Er hat versucht den MBR zu fixen. Deshalb kein Zugriff mehr auf den Petya-Boot. Als ich den Mitarbeiter darauf angesprochen habe, rückte er noch damit raus, dass ihm beim fixen des MBR die Platte vom Gehäuse auf den Tisch gefallen ist und sie dann einfach eingebaut hat und den Laptop zu uns gebracht hat, ohne uns von den ganzen Sachen zu erzählen....
Tja...hätte er nicht fixboot versucht, wäre evtl. noch was zu retten gewesen.
Tja...hätte er nicht fixboot versucht, wäre evtl. noch was zu retten gewesen.
Hab nix gemacht ist normalerweise die Standardanwort.
Vor mir hat ein Mitarbeiter von ihm am Laptop rumgedoktert. "Er hat im Internet gelesen....". Auf deutsch: Er hat versucht den MBR zu fixen. Deshalb kein Zugriff mehr auf den Petya-Boot. Als ich den Mitarbeiter darauf angesprochen habe, rückte er noch damit raus, dass ihm beim fixen des MBR die Platte vom Gehäuse auf den Tisch gefallen ist und sie dann einfach eingebaut hat und den Laptop zu uns gebracht hat, ohne uns von den ganzen Sachen zu erzählen....
Tja...hätte er nicht fixboot versucht, wäre evtl. noch was zu retten gewesen.
Tja...hätte er nicht fixboot versucht, wäre evtl. noch was zu retten gewesen.
Dann istdas jetzt auf jeden fall ein Fall für Kroll-Ontrack 6 co, wenn man die Daten wiederhaben will.
lks
Zitat von @FFSephiroth:
Hab nochmal mit dem Kunden geredet. Vor mir hat ein Mitarbeiter von ihm am Laptop rumgedoktert. "Er hat im Internet gelesen....". Auf deutsch: Er hat versucht den MBR zu fixen. Deshalb kein Zugriff mehr auf den Petya-Boot. Als ich den Mitarbeiter darauf angesprochen habe, rückte er noch damit raus, dass ihm beim fixen des MBR die Platte vom Gehäuse auf den Tisch gefallen ist und sie dann einfach eingebaut hat und den Laptop zu uns gebracht hat, ohne uns von den ganzen Sachen zu erzählen....
Tja...hätte er nicht fixboot versucht, wäre evtl. noch was zu retten gewesen.
Hab nochmal mit dem Kunden geredet. Vor mir hat ein Mitarbeiter von ihm am Laptop rumgedoktert. "Er hat im Internet gelesen....". Auf deutsch: Er hat versucht den MBR zu fixen. Deshalb kein Zugriff mehr auf den Petya-Boot. Als ich den Mitarbeiter darauf angesprochen habe, rückte er noch damit raus, dass ihm beim fixen des MBR die Platte vom Gehäuse auf den Tisch gefallen ist und sie dann einfach eingebaut hat und den Laptop zu uns gebracht hat, ohne uns von den ganzen Sachen zu erzählen....
Tja...hätte er nicht fixboot versucht, wäre evtl. noch was zu retten gewesen.
Da fehlt dann eigentlich nur noch die Benny-Hill-Musik ;)
schließe mich LKS an, wenn die Daten lieb und teuer sind kann jetzt wohl nur noch der Profi helfen (kroll)