Mischa Trojaner. Was nun
Hi Leute,
und nun bin ich verzweifelt.
Ich habe einen Kunden der hat sich nen Mischa im gesamten Netzwerk eingefangen. Dieser kam per Bewerbungsmail mit Link zu einer Cloud Plattform in dem die Bewerbungsunterlagen angeblich liegen sollten. Dort befand sich eine "Bewerbungsmappe". die wenn man sie gedownloadet hat. "PDF Bewerbungsmappe" hies. Diese wurde geöffnet da auch das Symbol von Adobe geklaut wurde. Im nachhinein konnte ich dann feststellen dass die Dateiendung .exe ist. Nun ist meine Kundin total aufgeschmissen und hat absolut keine Daten mehr weil das Backup ist auch infiziert. Nun versuche ich die bPvK Dateien zu entschlüsseln.
Die Dateien die auf C: lagen habe ich mit einem Shadow Explorer wieder bekommen. Die Daten die auf den Externen Datenträgern lagen habe ich zu 10% ca mit Data Recovery Pro wiederherstellen können.
Hat jemand von euch mal ähnliches gehabt und kennt noch ein tool?
liebe Grüße
und nun bin ich verzweifelt.
Ich habe einen Kunden der hat sich nen Mischa im gesamten Netzwerk eingefangen. Dieser kam per Bewerbungsmail mit Link zu einer Cloud Plattform in dem die Bewerbungsunterlagen angeblich liegen sollten. Dort befand sich eine "Bewerbungsmappe". die wenn man sie gedownloadet hat. "PDF Bewerbungsmappe" hies. Diese wurde geöffnet da auch das Symbol von Adobe geklaut wurde. Im nachhinein konnte ich dann feststellen dass die Dateiendung .exe ist. Nun ist meine Kundin total aufgeschmissen und hat absolut keine Daten mehr weil das Backup ist auch infiziert. Nun versuche ich die bPvK Dateien zu entschlüsseln.
Die Dateien die auf C: lagen habe ich mit einem Shadow Explorer wieder bekommen. Die Daten die auf den Externen Datenträgern lagen habe ich zu 10% ca mit Data Recovery Pro wiederherstellen können.
Hat jemand von euch mal ähnliches gehabt und kennt noch ein tool?
liebe Grüße
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 305441
Url: https://administrator.de/contentid/305441
Ausgedruckt am: 25.11.2024 um 06:11 Uhr
5 Kommentare
Neuester Kommentar
Hol Dir ein paar Flaschen Single-Malt und leere die zusammenmit Deiner Kundin bei Trinkspielen.
Ich habe einen Kunden der hat sich nen Mischa im gesamten Netzwerk eingefangen. Dieser kam per Bewerbungsmail mit Link zu einer Cloud Plattform in dem die Bewerbungsunterlagen angeblich liegen sollten. Dort befand sich eine "Bewerbungsmappe". die wenn man sie gedownloadet hat. "PDF Bewerbungsmappe" hies. Diese wurde geöffnet da auch das Symbol von Adobe geklaut wurde. Im nachhinein konnte ich dann feststellen dass die Dateiendung .exe ist.
Was für eine Überraschung warum zeigst Du Deinen Kunden nciht, wie man die Defaulteinstellungen übergeht und sich die Dateiendungen imemr anzeigen läßt. Ein Großteil der "bewerbungen" und "rechnungen" fällt allein dadurch auf, wenn man sich die Dateiendungen anzeigen läßt.
Nun ist meine Kundin total aufgeschmissen und hat absolut keine Daten mehr weil das Backup ist auch infiziert.
Backups die auch infiziert werden können, sind keine Backups. Eingeschaften von Backups ist z.b. daß wenn das ganze haus abfackelt, man imme rnoch die Daten hat, die also entweder in einem sicheren Safe außer reichweite von Feuer udn Trojanern liegen oder gelcih ganz außer Haus sind.
Lerne udn bringe es Deiner Kundin bei, wie man richtige backups macht.
Nun versuche ich die bPvK Dateien zu entschlüsseln.
Viel Spaß.
Die Dateien die auf C: lagen habe ich mit einem Shadow Explorer wieder bekommen. Die Daten die auf den Externen Datenträgern lagen habe ich zu 10% ca mit Data Recovery Pro wiederherstellen können.
Da warst Du schon recht erfolgreich und hast Glück gehabt, daß das Ding die Schattenkopien noch nicht über den Jordan geschickt hat.
Hat jemand von euch mal ähnliches gehabt und kennt noch ein tool?
Meine Erfahrung mit solchen Programmen ist, daß Du i.d.R. keien Chance hast, wenn Du kein ordentliches Backup gemacht hast. und es noch kein Tool für das Entschlüsseln gibt. Und für Mischa wäre mir nicht bekannt, daß es schon eines gäbe.
Mögliche Schritte die Du unternehmen kannst:
- Datenrettungsunternehmen beauftragen -> Recht teuer.
- Lösegeld zahlen. Auch teuer, hilft aber oft.
- Images aller Kisten ziehen zum aufbewahren. Alles (!!!einself!!) frisch installeiren, ordentliches Backup einrichten mit mindestens 3 offlinemedien und bis zu 14 tagen zurück. danach warten, bis irgendwann ein Tool herausgegeben wird, daß Mischa entschlüsseln kann.
lks
Hallo,
ich hab einen Kunden in Deutschland - der hat beim Forum der Agentur für Arbeit einen Job ausgeschrieben.
Er hat dann exakt auf diese Ausschreibung eine Bewerbung erhalten, in korrektem Deutsch und mit dem erwähntem Anhang.
Cloud: jottacloud.com
Absender: Andreas.Ric......@maills.de
Wie ist der denn zu euch ins Netz gekommen? Hat der Kunde auch eine Ausschreibung gemacht?
lG,
Stefan
ich hab einen Kunden in Deutschland - der hat beim Forum der Agentur für Arbeit einen Job ausgeschrieben.
Er hat dann exakt auf diese Ausschreibung eine Bewerbung erhalten, in korrektem Deutsch und mit dem erwähntem Anhang.
Cloud: jottacloud.com
Absender: Andreas.Ric......@maills.de
Wie ist der denn zu euch ins Netz gekommen? Hat der Kunde auch eine Ausschreibung gemacht?
lG,
Stefan
^^Zitat von @Epixc0re:
ich hab einen Kunden in Deutschland - der hat beim Forum der Agentur für Arbeit einen Job ausgeschrieben.
Cloud: jottacloud.com
Absender: Andreas.Ric......@maills.de
ich hab einen Kunden in Deutschland - der hat beim Forum der Agentur für Arbeit einen Job ausgeschrieben.
Cloud: jottacloud.com
Absender: Andreas.Ric......@maills.de
Ein Kunde von mir hatte eine ähnliche mail. Die hatte aber zum Glück nicht auf die Stellenausschreibung gepasst und somit Misstrauen erweckt.
Absender war ein anderer, Link war aber auch die jottacloud.