Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Sicherheit Viren und Trojaner

Virus hat alle Daten verschlüsselt - und jetzt?

Mitglied: deelite

deelite (Level 1) - Jetzt verbinden

18.12.2010, aktualisiert 12:31 Uhr, 12890 Aufrufe, 12 Kommentare

Hallo,

ich wurde zu Hilfe gerufen, nachdem auf dem Rechner eines Kunden nichts mehr ging. Auf dem Desktop gab es die Meldung, dass alle Daten verschlüsselt wurden und in einer readme.txt die Anweisungen zur Entschlüsselung zu lesen seien. Dort gab es einen Schlüssel, den man an die Mailadresse filemaker@safe-mail.net schicken soll.
Gesagt getan.
Es gab auch eine Antwort. Die klang individuell auf unsere Anfrage hin beantwortet, sodass es am anderen Ende tatsählich auch Leute geben muss.
Die Erpresser wollen tatsählich 150$ per Paysafecard haben und dann sollte es eine Lösung als "Gegenleistung" geben. Die Paysafecard hat der Kunde in seiner Verzweiflung auch besorgt und wollte die die Codes hinschicken. Zurück gab es jedoch nur die Fehlermeldung, dass es den Mailaccount nicht gäbe (nicht mehr). Und damit schwinden nun die letzten Hoffnungen...

Hat jemand von Euch mit sowas Erfahrung? Kennt jemand von Euch bei sowas eine Lösung?

Ich weiß, der Unterhaltungswert dieser Frage ist groß - deswegen aber trotzdem bitte keine Antworten, die an meinen Fragen komplett vorbeigehen

Vielen Dank schon mal fürs Lesen.
Mitglied: H41mSh1C0R
18.12.2010 um 12:40 Uhr
Wurden die Daten wirklich verschlüsselt oder nur plump gelöscht?
Rechner uptodate?
Nutzer mit Nutzerrechten oder Adminrechten unterwegs?
Bitte warten ..
Mitglied: 2hard4you
18.12.2010 um 12:53 Uhr
Moin,

haste die Kiste schon mal mit nem LiveLinux Deiner Wahl gebootet und dort auf Dateinamen und Inhalte geschaut?

was kam da raus?

Gruß

24
Bitte warten ..
Mitglied: csw
18.12.2010 um 13:25 Uhr
https://community.mcafee.com/message/162681

Im McAfee-Forum gibt es aktuelle Beiträge zu diesem Problem.

Happened to me a few computers, I say as I have solved. Do not lose the data, the only thing that makes the virus is damaging the MBR (Master Boot Record) and so prevents you from accessing the data.


The first thing you do is make a cd called Hiren's Boot, I have done with version 10.2, this version 12 but not the programs I need.


You turn on your computer with this cd got and when you start the menu to give the "Dos BootCD", then option "Partition tools" and then give the program "Acronis Disk Director Suite 10.0.2160" within this program asks you if put in manual or automatic, manual and put it in OK.
Then select the hard disk (that will put unallocated) with the right button "Advanced" and then option "Recover", then select "Manual" and next, then "Fast" and next, in the table comes out you now have choose the partition list and then leaves you next.
Now you have the option to view the data you had before, one can only recover the MBR.


Restart the computer with the cd menu and choose "mini windows xp." This loads a live version of Windows XP, go to the desktop icon that puts HBCDMenu, then Menu -> Partition/Boot--> MbrFix and the MS-DOS window appears you set this command mbrfix.exe / drive 0 fixmbr "fix the mbr, reboot without the cd and you've got it working.


I hope that helps.
**
Bitte warten ..
Mitglied: deelite
18.12.2010 um 13:30 Uhr
Die Dateien wurden verschlüüselt und die Originale gelöscht.Dazu kommt noch, dass auf der betreffenden Partition nur noch wenige hundert MB frei sind, welche auch schon zwischenzeitlich mal gefüllt, also überschrieben waren...

Der einfachste Workaround wäre ja gewesen, die gelöschten Dateien wieder herzuzuholen.

Livelinux habe ich probiert. die Dateien haben alle die Endung .original.ENCODED bekommen. Umbenennen und öffnen zeigt, dass man mit dem Inhalt nichts anfangen kann.
Bitte warten ..
Mitglied: filippg
18.12.2010 um 14:50 Uhr
Hallo,

eine ausgiebige Internetsuche (z.B. nach dem exakten Text in der readme.txt) könnte sich lohnen. Der Fachbegriff nennt sich "Ransomware", und viele dieser Programme sind schlecht implementiert, so dass es Tools gibt, die Daten wiederherzustellen. Siehe z.B. http://www.heise.de/security/meldung/Scareware-wird-zu-Ransomware-Teil- ...
Bevor du da rumbastelst (z.B. am MBR) solltest du unbedingt ein Image der Partition machen. Und bevor du irgendwelche Entschlüsselungstools aus obskuren Quellen verwendest unbedingt prüfen, ob die nicht selber Schädlinge sind (z.B. hochladen bei virustotal.com)

Gruß

Filipp
Bitte warten ..
Mitglied: sam24
18.12.2010 um 15:46 Uhr
Hallo,

vor allem da der zitierte Lösungsansatz von csw nicht mit dem Problem korrespondiert. Da hat einer mit einem GPG Deine Daten verschlüsselt, die Problemlösung könnte je nach dem schwierig werden.
Aber ich gebe Filipp auf jeden Fall recht, Erst mal ein Image mit einer Live-CD ziehen und Finger weg von der Originalplatte. Das stimmt natürlich nur, wenn Ihr die Maschine seit dem "Angriff" schon mal neu gebootet habt, sonst müsst Ihr vorher noch mehr sichern!

Gruß Sam
Bitte warten ..
Mitglied: dog
18.12.2010 um 15:53 Uhr
Meistens benutzen solche Scherzviren ROT13 oder ein ähnlich schlechtes Rotationsverfahren zur Verschlüsselung.
Wenn du den Namen des Virus weißt findest du auch im Internet dazu "Entschlüsselungs"-Programme.
Bitte warten ..
Mitglied: maretz
18.12.2010 um 16:01 Uhr
Moin,

is doch ganz einfach: Backup der Daten nehmen und wiederherstellen...

Gut - jetzt haben wir gelacht und der Kunde weiss ggf. warum er ein Backup haben sollte.

Jetzt folgends: ERSTMAL hör sofort auf an dem Rechner rumzuprobieren! Dann nimmst du die Festplatte und erstellst z.B. mittels DD nen 1:1 Abbild bzw. baust die in einem Rechner ein auf dem du z.B. EasyDataRecovery o.ä. Software hast. Damit stellst du schonmal alles wieder her was du finden kannst! Ggf. reicht das ja schon...

Und: Auf gar keinen Fall bei solchen Leuten zahlen! Das ist das dümmste was du machen kannst! Wer sagt dir denn das die dir das PW wirklich geben?!? Weil die ihre Email-Adresse angeben sind die so vertrauenswürdig? WENN dann auch die Beweise sichern und damit Anzeige gegen unbekannt erstatten. Ist natürlich nicht viel -> aber ohne ne Anzeige kann die Polizei gar nicht anfangen überhaupt mal zu gucken wer auf den Mail-Acc zugreifft u.ä. Und damit zu warten bis der Acc gelöscht wurde ist dann eher schlecht -> weil es eben für die Verfolgung nur problematischer ist...

Wenn gar nichts hilft - so hart es klingt: dann weiss dein Kunde warum man ein Backup haben sollte... Einige lernen nunmal nur aus Verlusten - und grad wenn es z.B. private Fotos usw. sind ist das umso lehrreicher...
Bitte warten ..
Mitglied: miscmike
20.12.2010 um 12:05 Uhr
Hi,

ich kann mich maretz nur anschließen.

Bring es beim Kunden doch als "Lehrgang" an, warum es Leute gibt, die sich über Datensicherung nebst dazugehörigen Strategien sowie vernünftige Sicherheitssoftware Gedanken machen.

Da der Kunde beides offensichtlich nicht hatte ist dies grob fahrlässig - und am Ende das Problem des Kunden.
Bitte warten ..
Mitglied: schattenhacker
20.12.2010 um 12:31 Uhr
Hallo,

na da frage ich mich manchmal, warum soll man einer normalen Arbeit nachgehen.
Ich würde auf keinen Fall da etwas bezahlen, denn dann provoziert man bei den Gaunern weitere Angriffe.
Entweder ist man es selbst oder die spionieren das Umfeld aus.
Davon ab ist das halt Lehrgeld, was Du da jetzt an Zeit und Elan reinsteckst. Lass Dir das bezahlen, und zwar richtig.
Wenn der Kunde keine Sicherung hat, tja.
Vielleicht hast Du ja mit den Tools Glück.

Sind andere Rechner auch betroffen? Wenn der Virus auch auf USB Sticks rumlungert, sollten alle Beteiligten mal ihre Taschen durchwühlen.

Viel Erfolg

Jo
Bitte warten ..
Mitglied: Tampa2000
20.12.2010 um 13:13 Uhr
Habe von so einem Fall auch schon gehört.
Der verzweifelte Bursche hat Kaspersky Lab. angeschrieben und daraufhin auch eine Lösung präsentiert bekommen.
Vor kurzem ist eine kriminelle Vereinigung in Russland deswegen verurteilt worden.
Bitte warten ..
Mitglied: schilderdoc
21.12.2010 um 04:50 Uhr
Schau dich mal auf

http://www.freedrweb.com/aid_admin/

um.

Hier stehen einige Entschlüsselungsprogramme zur Verfügung.
Da Dr. Web ein russischer Virenscanner ist und die Masche auch aus der Gegend stammt, sind Dr. Web schon länger mit dem Thema vertraut.
Bitte warten ..
Ähnliche Inhalte
Viren und Trojaner
Virus hat Dateien verschlüsselt
gelöst Frage von bertburgerViren und Trojaner29 Kommentare

Guten Tag, habe von einem Bekannten (Windows7prof32bit) einen Anruf erhalten, dass er seine Daten (pdf, dtf, doc usw) auf ...

Backup
Verschlüsselte Daten Sicherung Win
Frage von DerEisigeBackup1 Kommentar

Hallo Leute, ich bin auf der Suche nach einer Möglichkeit wie ich mit meinem Win Rechner automatisch verschlüsselte Backups ...

Windows Tools
Daten von bitlocker verschlüsselten Platte auslesen
Frage von gandolfWindows Tools5 Kommentare

Hallo Experten, folgendes Problem - sry, wenn es zu laienhaft dargestellt ist. Mein Rechner mit einer bitlocker verschlüsselten HDD ...

Verschlüsselung & Zertifikate
Warum könen Nutzer keine Daten auf einem verschlüsselten, gemounteten Container über Netzwerk keine Daten speichern?
gelöst Frage von scritchVerschlüsselung & Zertifikate4 Kommentare

Hallo zusammen. Folgende Situation: Ich habe einen Server (A) auf dem Daten für Netzwerkuser bereitgestellt werden. Diese Daten werden ...

Neue Wissensbeiträge
Router & Routing

PfSense als Addon auf QNAP

Information von magicteddy vor 4 StundenRouter & Routing1 Kommentar

Moin, für Spielereien eine ganz nette Idee aber ich fürchte das soetwas auch als echte Firewall genutzt wird: In ...

Datenschutz

Teamviewer kommt für IoT-Geräte wie den Raspberry Pi

Information von magicteddy vor 11 StundenDatenschutz

Moin, jetzt werden IoT Geräte endgültig zur Wanze? Anscheinend kann man auf einem Dashboard seine Geräte visualisieren Ich stelle ...

Microsoft

Letzte Updates für Win10 und Server2016 müssen bei Bedarf über den Update catalogue in den WSUS importiert werden!

Tipp von DerWoWusste vor 15 StundenMicrosoft1 Kommentar

automatisch kommt da nichts an im WSUS und auch nicht im SCCM. Siehe Hinweise zum Bezug der jeweils neuesten ...

Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 3 TagenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Preis für Wartungsvertrag ok?
gelöst Frage von a-za-zNetzwerkmanagement22 Kommentare

Hallo! Mal ne Frage, weil ich mich mit dem akzeptablen Preis für einen Reaktionszeitvertrag nicht auskenne. Meine Firma hat ...

Windows Netzwerk
Ist ein Portforwarding auf einen PC ohne lauschendes Programm ein (großes) Sicherheitsproblem?
Frage von PluwimWindows Netzwerk13 Kommentare

Hallo zusammen, zur Fernwartung eines Rechners an einem anderen Ort nutze ich VNC. Da dieser Rechner einfach nur eine ...

Windows Server
Terminal Server 2016 erkennt Berechtigungen nicht
gelöst Frage von Thomas2Windows Server10 Kommentare

Hallo Administratoren, folgendes Problem stellt sich dar: Es gibt zwei Windows Server 2016, die als Terminal Server fungieren. Jetzt ...

Sonstige Systeme
7-zip: Programm frägt nach Passwort erst bei einzelnen Dateien
Frage von freeskierchrisSonstige Systeme7 Kommentare

Guten Morgen, ich habe ein Problem beim Arbeiten mit 7-zip: Wenn ich die einzelnen Dateien zu einem Archiv verpacke ...