6
CryptoWall 3.0 - Decryption unterbrochen?
Hallo,
ich habe eine Frage bezüglich eines Virenbefalls durch CryptoWall 3.0.
Auf einem Client-PC hat sich CryptoWall eingenistet und teilweise Dateien auf einem Netzlaufwerk (vor allen Dingen Word- und Excel-Dateien) chiffriert - so wie es von CryptoWall vorgesehen ist. Wie es der Zufall will, hat der User am Client seinen Computer neu gestartet (weil der Computer sehr langsam war) bevor Cryptowall alle Dateien des Netzlaufwerkes chiffrieren konnte. Da ich noch keine Erfahrung mit CryptoWall habe, habe ich noch zwei Fragen, die ich mir über Google nicht beantworten konnte:
1. Ich habe keine chiffrierten Dateien nach der Uhrzeit des Neustarts gefunden. Kann es sein, dass der Neustart den Prozess des Chiffrierens unterbrochen hat?
2. Ist davon auszugehen, dass zwar die Dateien auf dem Server nun nicht verfügbar sind, der Server an sich, aber in Ordnung ist? MalwareBytes hat zumindest nichts mehr gefunden (im Gegensatz zum Client PC, Fund: Ransom.Cryptowall).
Die defekten Dateien lassen sich durch Backup wieder herstellen, der infizierte PC ist isoliert. Sollte nun wieder ein problemloses Arbeiten möglich sein?
Mit freundlichen Grüßen und danke
rumrobben
ich habe eine Frage bezüglich eines Virenbefalls durch CryptoWall 3.0.
Auf einem Client-PC hat sich CryptoWall eingenistet und teilweise Dateien auf einem Netzlaufwerk (vor allen Dingen Word- und Excel-Dateien) chiffriert - so wie es von CryptoWall vorgesehen ist. Wie es der Zufall will, hat der User am Client seinen Computer neu gestartet (weil der Computer sehr langsam war) bevor Cryptowall alle Dateien des Netzlaufwerkes chiffrieren konnte. Da ich noch keine Erfahrung mit CryptoWall habe, habe ich noch zwei Fragen, die ich mir über Google nicht beantworten konnte:
1. Ich habe keine chiffrierten Dateien nach der Uhrzeit des Neustarts gefunden. Kann es sein, dass der Neustart den Prozess des Chiffrierens unterbrochen hat?
2. Ist davon auszugehen, dass zwar die Dateien auf dem Server nun nicht verfügbar sind, der Server an sich, aber in Ordnung ist? MalwareBytes hat zumindest nichts mehr gefunden (im Gegensatz zum Client PC, Fund: Ransom.Cryptowall).
Die defekten Dateien lassen sich durch Backup wieder herstellen, der infizierte PC ist isoliert. Sollte nun wieder ein problemloses Arbeiten möglich sein?
Mit freundlichen Grüßen und danke
rumrobben
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 287522
Url: https://administrator.de/contentid/287522
Printed on: April 27, 2024 at 05:04 o'clock
6 Comments
Latest comment
Hallo,
kann sein, muss aber nicht.
In so einem Fall empfehle ich die Kiste komplett platt zu machen und neu aufzusetzen.
Gruß
kann sein, muss aber nicht.
In so einem Fall empfehle ich die Kiste komplett platt zu machen und neu aufzusetzen.
Gruß
Hi,
den Client werde ich natürlich platt machen, den Server aber auch?
vg
den Client werde ich natürlich platt machen, den Server aber auch?
vg
Kannst den ja mal mit desinfec't oder so checken...
Hallo,
Gruß
Dobby
den Client werde ich natürlich platt machen, den Server aber auch?
Und wenn der Server infiziert ist und dann wieder alle Klienten infiziert!?Gruß
Dobby
Moin,
bei einem Cryptowall-Virus handelt es sich meist um eine getarnte EXE, die von User ausgeführt wird und dann beginnt, die Daten u vrschlüsseln.
Nach einem Neustart läuft die Exe nich mehr, bis man sie eben eigenhändig wieder ausführt. Dass das im Hinergrund automatisch passiert, habe ich bisher noch nicht erlebt. Ebensowenig, dass irgendwas auf dem Server zurückgeblieben ist.
Garantieren kann man natürlich nichts. Ein PC neu aufzusätzen, ist ja auch nicht so das Problem un dwürde ich auch immer empfehlen.
Aber der Server sollte imho nichts abbekommen haben.
bei einem Cryptowall-Virus handelt es sich meist um eine getarnte EXE, die von User ausgeführt wird und dann beginnt, die Daten u vrschlüsseln.
Nach einem Neustart läuft die Exe nich mehr, bis man sie eben eigenhändig wieder ausführt. Dass das im Hinergrund automatisch passiert, habe ich bisher noch nicht erlebt. Ebensowenig, dass irgendwas auf dem Server zurückgeblieben ist.
Garantieren kann man natürlich nichts. Ein PC neu aufzusätzen, ist ja auch nicht so das Problem un dwürde ich auch immer empfehlen.
Aber der Server sollte imho nichts abbekommen haben.
1
Hallo,
danke für die Kommentare.
Ich habe nun mehrere Scans (ESET, Malware Bytes, SpyHunter, F-Secure kommt heute noch) mehrfach über den Server laufen lassen und es wurde nichts mehr gefunden.
Die getarnten .exe-Dateien auf dem Client (waren insgesamt 3 Stück, jeweils benannt nach dem Muster von Microsoft-Updates, d.h. KBxxxxx.exe) habe ich gefunden, der Rechner stellt nun aber keine Gefahr mehr dar.
Sollte der F-Secure Scan nun auch negativ sein, betrachte ich den Server als ok. Gibt es eurer Meinung nach noch einen Scan/Remover, den ich einsetzen sollte (z.B. JRT, Spybot o.ä.)?
Grüße
rumrobben
danke für die Kommentare.
Ich habe nun mehrere Scans (ESET, Malware Bytes, SpyHunter, F-Secure kommt heute noch) mehrfach über den Server laufen lassen und es wurde nichts mehr gefunden.
Die getarnten .exe-Dateien auf dem Client (waren insgesamt 3 Stück, jeweils benannt nach dem Muster von Microsoft-Updates, d.h. KBxxxxx.exe) habe ich gefunden, der Rechner stellt nun aber keine Gefahr mehr dar.
Sollte der F-Secure Scan nun auch negativ sein, betrachte ich den Server als ok. Gibt es eurer Meinung nach noch einen Scan/Remover, den ich einsetzen sollte (z.B. JRT, Spybot o.ä.)?
Grüße
rumrobben