Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Virus hat alle Daten verschlüsselt - und jetzt?

Frage Sicherheit Viren und Trojaner

Mitglied: deelite

deelite (Level 1) - Jetzt verbinden

18.12.2010, aktualisiert 12:31 Uhr, 12593 Aufrufe, 12 Kommentare

Hallo,

ich wurde zu Hilfe gerufen, nachdem auf dem Rechner eines Kunden nichts mehr ging. Auf dem Desktop gab es die Meldung, dass alle Daten verschlüsselt wurden und in einer readme.txt die Anweisungen zur Entschlüsselung zu lesen seien. Dort gab es einen Schlüssel, den man an die Mailadresse filemaker@safe-mail.net schicken soll.
Gesagt getan.
Es gab auch eine Antwort. Die klang individuell auf unsere Anfrage hin beantwortet, sodass es am anderen Ende tatsählich auch Leute geben muss.
Die Erpresser wollen tatsählich 150$ per Paysafecard haben und dann sollte es eine Lösung als "Gegenleistung" geben. Die Paysafecard hat der Kunde in seiner Verzweiflung auch besorgt und wollte die die Codes hinschicken. Zurück gab es jedoch nur die Fehlermeldung, dass es den Mailaccount nicht gäbe (nicht mehr). Und damit schwinden nun die letzten Hoffnungen...

Hat jemand von Euch mit sowas Erfahrung? Kennt jemand von Euch bei sowas eine Lösung?

Ich weiß, der Unterhaltungswert dieser Frage ist groß - deswegen aber trotzdem bitte keine Antworten, die an meinen Fragen komplett vorbeigehen

Vielen Dank schon mal fürs Lesen.
Mitglied: H41mSh1C0R
18.12.2010 um 12:40 Uhr
Wurden die Daten wirklich verschlüsselt oder nur plump gelöscht?
Rechner uptodate?
Nutzer mit Nutzerrechten oder Adminrechten unterwegs?
Bitte warten ..
Mitglied: 2hard4you
18.12.2010 um 12:53 Uhr
Moin,

haste die Kiste schon mal mit nem LiveLinux Deiner Wahl gebootet und dort auf Dateinamen und Inhalte geschaut?

was kam da raus?

Gruß

24
Bitte warten ..
Mitglied: csw
18.12.2010 um 13:25 Uhr
https://community.mcafee.com/message/162681

Im McAfee-Forum gibt es aktuelle Beiträge zu diesem Problem.

Happened to me a few computers, I say as I have solved. Do not lose the data, the only thing that makes the virus is damaging the MBR (Master Boot Record) and so prevents you from accessing the data.


The first thing you do is make a cd called Hiren's Boot, I have done with version 10.2, this version 12 but not the programs I need.


You turn on your computer with this cd got and when you start the menu to give the "Dos BootCD", then option "Partition tools" and then give the program "Acronis Disk Director Suite 10.0.2160" within this program asks you if put in manual or automatic, manual and put it in OK.
Then select the hard disk (that will put unallocated) with the right button "Advanced" and then option "Recover", then select "Manual" and next, then "Fast" and next, in the table comes out you now have choose the partition list and then leaves you next.
Now you have the option to view the data you had before, one can only recover the MBR.


Restart the computer with the cd menu and choose "mini windows xp." This loads a live version of Windows XP, go to the desktop icon that puts HBCDMenu, then Menu -> Partition/Boot--> MbrFix and the MS-DOS window appears you set this command mbrfix.exe / drive 0 fixmbr "fix the mbr, reboot without the cd and you've got it working.


I hope that helps.
**
Bitte warten ..
Mitglied: deelite
18.12.2010 um 13:30 Uhr
Die Dateien wurden verschlüüselt und die Originale gelöscht.Dazu kommt noch, dass auf der betreffenden Partition nur noch wenige hundert MB frei sind, welche auch schon zwischenzeitlich mal gefüllt, also überschrieben waren...

Der einfachste Workaround wäre ja gewesen, die gelöschten Dateien wieder herzuzuholen.

Livelinux habe ich probiert. die Dateien haben alle die Endung .original.ENCODED bekommen. Umbenennen und öffnen zeigt, dass man mit dem Inhalt nichts anfangen kann.
Bitte warten ..
Mitglied: filippg
18.12.2010 um 14:50 Uhr
Hallo,

eine ausgiebige Internetsuche (z.B. nach dem exakten Text in der readme.txt) könnte sich lohnen. Der Fachbegriff nennt sich "Ransomware", und viele dieser Programme sind schlecht implementiert, so dass es Tools gibt, die Daten wiederherzustellen. Siehe z.B. http://www.heise.de/security/meldung/Scareware-wird-zu-Ransomware-Teil- ...
Bevor du da rumbastelst (z.B. am MBR) solltest du unbedingt ein Image der Partition machen. Und bevor du irgendwelche Entschlüsselungstools aus obskuren Quellen verwendest unbedingt prüfen, ob die nicht selber Schädlinge sind (z.B. hochladen bei virustotal.com)

Gruß

Filipp
Bitte warten ..
Mitglied: sam24
18.12.2010 um 15:46 Uhr
Hallo,

vor allem da der zitierte Lösungsansatz von csw nicht mit dem Problem korrespondiert. Da hat einer mit einem GPG Deine Daten verschlüsselt, die Problemlösung könnte je nach dem schwierig werden.
Aber ich gebe Filipp auf jeden Fall recht, Erst mal ein Image mit einer Live-CD ziehen und Finger weg von der Originalplatte. Das stimmt natürlich nur, wenn Ihr die Maschine seit dem "Angriff" schon mal neu gebootet habt, sonst müsst Ihr vorher noch mehr sichern!

Gruß Sam
Bitte warten ..
Mitglied: dog
18.12.2010 um 15:53 Uhr
Meistens benutzen solche Scherzviren ROT13 oder ein ähnlich schlechtes Rotationsverfahren zur Verschlüsselung.
Wenn du den Namen des Virus weißt findest du auch im Internet dazu "Entschlüsselungs"-Programme.
Bitte warten ..
Mitglied: maretz
18.12.2010 um 16:01 Uhr
Moin,

is doch ganz einfach: Backup der Daten nehmen und wiederherstellen...

Gut - jetzt haben wir gelacht und der Kunde weiss ggf. warum er ein Backup haben sollte.

Jetzt folgends: ERSTMAL hör sofort auf an dem Rechner rumzuprobieren! Dann nimmst du die Festplatte und erstellst z.B. mittels DD nen 1:1 Abbild bzw. baust die in einem Rechner ein auf dem du z.B. EasyDataRecovery o.ä. Software hast. Damit stellst du schonmal alles wieder her was du finden kannst! Ggf. reicht das ja schon...

Und: Auf gar keinen Fall bei solchen Leuten zahlen! Das ist das dümmste was du machen kannst! Wer sagt dir denn das die dir das PW wirklich geben?!? Weil die ihre Email-Adresse angeben sind die so vertrauenswürdig? WENN dann auch die Beweise sichern und damit Anzeige gegen unbekannt erstatten. Ist natürlich nicht viel -> aber ohne ne Anzeige kann die Polizei gar nicht anfangen überhaupt mal zu gucken wer auf den Mail-Acc zugreifft u.ä. Und damit zu warten bis der Acc gelöscht wurde ist dann eher schlecht -> weil es eben für die Verfolgung nur problematischer ist...

Wenn gar nichts hilft - so hart es klingt: dann weiss dein Kunde warum man ein Backup haben sollte... Einige lernen nunmal nur aus Verlusten - und grad wenn es z.B. private Fotos usw. sind ist das umso lehrreicher...
Bitte warten ..
Mitglied: miscmike
20.12.2010 um 12:05 Uhr
Hi,

ich kann mich maretz nur anschließen.

Bring es beim Kunden doch als "Lehrgang" an, warum es Leute gibt, die sich über Datensicherung nebst dazugehörigen Strategien sowie vernünftige Sicherheitssoftware Gedanken machen.

Da der Kunde beides offensichtlich nicht hatte ist dies grob fahrlässig - und am Ende das Problem des Kunden.
Bitte warten ..
Mitglied: schattenhacker
20.12.2010 um 12:31 Uhr
Hallo,

na da frage ich mich manchmal, warum soll man einer normalen Arbeit nachgehen.
Ich würde auf keinen Fall da etwas bezahlen, denn dann provoziert man bei den Gaunern weitere Angriffe.
Entweder ist man es selbst oder die spionieren das Umfeld aus.
Davon ab ist das halt Lehrgeld, was Du da jetzt an Zeit und Elan reinsteckst. Lass Dir das bezahlen, und zwar richtig.
Wenn der Kunde keine Sicherung hat, tja.
Vielleicht hast Du ja mit den Tools Glück.

Sind andere Rechner auch betroffen? Wenn der Virus auch auf USB Sticks rumlungert, sollten alle Beteiligten mal ihre Taschen durchwühlen.

Viel Erfolg

Jo
Bitte warten ..
Mitglied: Tampa2000
20.12.2010 um 13:13 Uhr
Habe von so einem Fall auch schon gehört.
Der verzweifelte Bursche hat Kaspersky Lab. angeschrieben und daraufhin auch eine Lösung präsentiert bekommen.
Vor kurzem ist eine kriminelle Vereinigung in Russland deswegen verurteilt worden.
Bitte warten ..
Mitglied: schilderdoc
21.12.2010 um 04:50 Uhr
Schau dich mal auf

http://www.freedrweb.com/aid_admin/

um.

Hier stehen einige Entschlüsselungsprogramme zur Verfügung.
Da Dr. Web ein russischer Virenscanner ist und die Masche auch aus der Gegend stammt, sind Dr. Web schon länger mit dem Thema vertraut.
Bitte warten ..
Neuester Wissensbeitrag
Festplatten, SSD, Raid

12TB written pro SSD in 2 Jahren mit RAID5 auf Hyper-VServer

Erfahrungsbericht von Lochkartenstanzer zum Thema Festplatten, SSD, Raid ...

Ähnliche Inhalte
Cloud-Dienste
Amazon: Dieser Lkw transportiert Daten in die Cloud (1)

Link von Kraemer zum Thema Cloud-Dienste ...

VB for Applications
Excel VBA Sortierung von Daten (5)

Frage von easy4breezy zum Thema VB for Applications ...

Backup
gelöst Datensicherung von Daten, auf denen die ganze Zeit gearbeitet wird (8)

Frage von Windows11 zum Thema Backup ...

Microsoft Office
gelöst Aus Outlook 2013 Daten aus Tabellenfeldern in Excel übertragen (9)

Frage von ich2110 zum Thema Microsoft Office ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...