lord-icon
13.09.2016
view2218
view10
0
Goto Top

PC von Supportfriend(AT)india.com Ransomware befallen, Datein verschlüsselt

FrageSicherheitVerschlüsselung, Zertifikate
Hi,

ein Bekannter kann sein PC nicht mehr nutzen, weil dieser von Supportfriend@india.com befallen ist.
Da der Rechner nicht mehr hochfährt ohne Geld zu erpressenhabe ich die Platte an einen offline PC gemountet.

Das da nun Schadsoftware drauf ist war klar... nur diese Schadsoftware hat alle Datein verschlüsselt (pdf's, bilder, docs etc.)

Spyhunter kann sicherlich was gegen das Programm machen (was mir eigendlich egal ist, da das System eh neu aufgesetzt wird);
nur wie kann ich ein Backup der Datein machen... bzw. wie kann ich diese wieder entschlüsseln ?

Im web nach "Supportfriend@india.com Ransomware decypter" zu suchen bringt nicht viele Treffer die zu ein tool führen.
Überall werden Anleitungen zum deinstallieren des Programmes angeboten... aber das ist ja hier erher 2t rangig. Ich soll nur die Daten sichern, was aktuell im verschlüsselten Zustand wenig Sinn macht.

Hat einer eine Idee wie ich hier weiter machen kann ?

Vielen Dank
ShareTeilen
Auf Facebook teilen Auf X (Twitter) teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 315156

Url: https://administrator.de/forum/pc-von-supportfriendatindia-com-ransomware-befallen-datein-verschluesselt-315156.html

Ausgedruckt am: 05.04.2025 um 01:04 Uhr

10 Kommentare
Neuester Kommentar
Goto Top
StefanKittel
StefanKittel 13.09.2016 um 21:26:57 Uhr
Goto Top
Hallo,

wenn Du keine Programme zum entschlüsseln findest sind die Daten verloren.
Außer Du bezahlt und hoffst, dass Due die Daten dann entschlüsselst bekommst.

Vermutlich gibt es kein Backup oder? Na nächstes Mal.

Viele Grüße

Stefan
Vision2015
Vision2015 13.09.2016 um 21:29:17 Uhr
Goto Top
Zitat von @StefanKittel:


Vermutlich gibt es kein Backup oder? Na nächstes Mal.
face-smile

Viele Grüße

Stefan
Frank
fognet
fognet 13.09.2016 aktualisiert um 21:31:23 Uhr
Goto Top
Hi
Zitat von @lord-icon:
ein Bekannter kann sein PC nicht mehr nutzen, weil dieser von Supportfriend@india.com befallen ist.
Okey.. Heißt der Trojaner wirklich so? Normalerweise ist der Name einer Malware nicht eine Mail Adresse;)
Da der Rechner nicht mehr hochfährt ohne Geld zu erpressenhabe ich die Platte an einen offline PC gemountet.
Das hätte ich nicht gemacht, insbesondere nicht an einen Windows;)
Spyhunter kann sicherlich was gegen das Programm machen (was mir eigendlich egal ist, da das System eh neu aufgesetzt wird);
nur wie kann ich ein Backup der Datein machen... bzw. wie kann ich diese wieder entschlüsseln ?
Mit einem Key, bzw. Decriptor für diesen Trojaner kannst du die Daten entschlüsseln

Überall werden Anleitungen zum deinstallieren des Programmes angeboten... aber das ist ja hier erher 2t rangig. Ich soll nur die Daten sichern, was aktuell im verschlüsselten Zustand wenig Sinn macht.
Wenn die Daten verschlüsselt sind und es keine Keys gibt wirst du auch keine Daten sichern können.
Ohne Keys und Tools kannst du entweder: Zahlen oder Warten bis Keys auftauchen.

Hat einer eine Idee wie ich hier weiter machen kann ?
Backup einspielenface-smile


LG PPR

EDIT: Die Kollegen wahren wiedereinmal schneller im Tippen als ich..
lord-icon
lord-icon 13.09.2016 um 21:35:15 Uhr
Goto Top
Zitat von @fognet:
Das hätte ich nicht gemacht, insbesondere nicht an einen Windows;)

Sondern? Das Geld bezahlt ?
Es ging nix... nicht mal der Affengriff hat mir den Taskmanager gezeigt

Backup einspielen
Drei mal... aber auch wirklich nur 3 mal darf du raten was ich darauf antworten könnte.
(Nu wirs zukünftig eins geben)
michi1983
michi1983 13.09.2016 aktualisiert um 21:41:46 Uhr
Goto Top
Zitat von @lord-icon:
Sondern?
Linix booten, Image der Platte erstellen und dann mit dem Image weiter arbeiten.

Aber hilft dir in deinem Fall jetzt speziell auch nix.

Gruß
Vision2015
Vision2015 13.09.2016 um 21:41:09 Uhr
Goto Top
Zitat von @lord-icon:

Zitat von @fognet:
Das hätte ich nicht gemacht, insbesondere nicht an einen Windows;)

Sondern? Das Geld bezahlt ?
wie wäre es mit einer Linux Live cd.. bzw. Knopix etc... !
sowas macht man nicht mit seinem PC/ Windows... nich das du morgen schreibst das deine kiste
auch verschlüsselt ist ... face-smile ach ja.. hast du ein Backup von deiner Kiste ?
Es ging nix... nicht mal der Affengriff hat mir den Taskmanager gezeigt
warum sollte er auch ?


Backup einspielen
Drei mal... aber auch wirklich nur 3 mal darf du raten was ich darauf antworten könnte.
(Nu wirs zukünftig eins geben)
face-smile
fognet
fognet 13.09.2016 um 21:45:28 Uhr
Goto Top
Hi


Zitat von @lord-icon:

Zitat von @fognet:
Das hätte ich nicht gemacht, insbesondere nicht an einen Windows;)

Sondern? Das Geld bezahlt ?
Es ging nix... nicht mal der Affengriff hat mir den Taskmanager gezeigt
An ein Linux, du weißt ja nicht WIE sich die Malware weiterverbreitet.. Das sich Malware von einem Stick oder externer HDD auf den PC schmuggelt ist nicht neu.

Wenn die Daten wichtig sind:
- 1 zu 1 Kopie der HDD machen
- Malware probieren wegzukriegen.
- Falls das nichts bring: Zahlen (Das FBI rät auch dazu)
- Sonst kannst du wie gesagt warten bis die Keys auftauchen.

Zitat von lord-icon:
ein Bekannter kann sein PC nicht mehr nutzen, weil dieser von Supportfriend@india.com befallen ist.
Okey.. Heißt der Trojaner wirklich so? Normalerweise ist der Name einer Malware nicht eine Mail Adresse;)
?

LG PPR
lord-icon
lord-icon 13.09.2016 um 21:49:50 Uhr
Goto Top
Hab ich doch getan.

Hab die Platte an Debian PC dran. Der ist offline.
Image brauch ich nicht. Der PC wird mit Win7 neu aufgesetzt.

Es eght nur noch um das decrypten der verschlüsselten Daten. Hierzu finde ich nichts.
Die Datein haben alle die Endung. xtbl
BassFishFox
BassFishFox 14.09.2016 um 01:01:56 Uhr
Goto Top
Hallo,

Ohne das genaue Wissen wer nun die *xtbl erzeugt hat, wirst Du nicht weiter kommen.
Eventuell hilft Dir aber das hier :
http://www.bleepingcomputer.com/forums/t/607680/crysis-extensionid-numb ...
http://now.avg.com/dont-pay-the-ransom-avg-releases-six-free-decryption ...

Gruss Ralf
schicksal
schicksal 15.09.2016 um 11:50:44 Uhr
Goto Top
Hast du eine Heise Desinfekt CD zur Hand?
Von dieser Bootest du dort ist ein WebTool dies kann dir sagen welche Verschlüsselung verwendet wurde und ob diese umgegbar ist.

Ich würde den Rechner mit einer neuen HDD neu aufsetzen, die alte Disk aufheben und mit der nötigen Geduld dann einen Enschlüsselungsversuch starten.
FrageSicherheitVerschlüsselung, Zertifikate
Mehr von lord-iconlord-iconWindows 11 Taskleistenhöhe ändernlord-icon - 7 Kommentarelord-iconNetzwerkprobleme nach Umstellung auf 10GBlord-icon - 4 Kommentarelord-iconFirewall in Fortinet 124F gesuchtlord-icon - 4 Kommentarelord-iconFW für FortiSwitch 124F gesuchtlord-icon - 5 Kommentare
Heiß diskutiert
kreuzbergerUbuntu 24 Desktop 64Bit Installation bleibt stehenkreuzberger - 42 KommentareU08154711Firewall Regeln für TravelrouterU08154711 - 34 KommentarekpunktWelche Applikation will nach 199.59.243.228?kpunkt - 23 KommentareDerWoWussteImport eines p12-Zertifikates auf einen YubikeyDerWoWusste - 20 KommentarekpunktMicrosoft entfernt BypassNRO.cmdkpunkt - 19 Kommentareem-pieVMware: Mindestens 72 Cores für Lizenzierung erforderlichem-pie - 18 KommentareanteNopeVeeam Agent on-VM-Backup?anteNope - 16 Kommentaretouro411PFsense Outbound NAT (S-NAT)touro411 - 16 KommentareMegaadwwhOPNSense, Proxmox, eine weitere Firewall, Ubiquiti, Cisco und NetgearMegaadwwh - 15 KommentarexpehbamKaufberatung-Empfehlung: Überwachungskamera für eine Hallexpehbam - 15 KommentarekreuzbergerTrueNAS-13.3-U1.1, Plugin Installation schlägt fehlkreuzberger - 15 Kommentarebm-magicWindows Bootlader Problembm-magic - 15 KommentarecoltseaversDebian Linux Fileserver mit ZFS, openZFS oder BTRFS?coltseavers - 14 Kommentare