ffsephiroth
12.04.2016, aktualisiert um 12:35:14 Uhr
view2771
view14
0
Goto Top

Petya Virus eingefangen

FrageSicherheitViren, Trojaner
Hallo zusammen,

ein Kunde von mir hat den Petya Virus, also sein Laptop. Jetzt habe ich folgende Konstellation:

Ich hänge die Platte aus dem Laptop an meinen PC, wird im RAW-Format erkannt. Ich lass dieses Petya Tool, wie auf heise.de erklärt, drüberlaufen.
Ich bekomme einen Key zum entsperren. Ich klemm die Platte wieder am Laptop an..."a disk read error occured"...

Bin grad mächtig am verzweifeln, kann mir jemand helfen?

edit: Testdisk findet keinerlei Partitionen, diskpart schon.
ShareTeilen
Auf Facebook teilen Auf X (Twitter) teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 301551

Url: https://administrator.de/forum/petya-virus-eingefangen-301551.html

Ausgedruckt am: 02.04.2025 um 16:04 Uhr

14 Kommentare
Neuester Kommentar
Goto Top
ukulele-7
ukulele-7 12.04.2016 aktualisiert um 12:40:02 Uhr
Goto Top
Nimm das 1:1 Backup das du zuvor erstellt hast und klone es erneut.

War in dem Notebook eine gewollte Verschlüsselung der HDD aktiv?
FFSephiroth
FFSephiroth 12.04.2016 um 12:44:28 Uhr
Goto Top
Backup hat der Kunde keines...das ist ja das Problem. Ist quasi durch den Virus ein Kunde von uns geworden.

Es war keine gewollte Verschlüsselung aktiv.

Was mich wundert ist das RAW-Format bzw. der Read Error.
SachsenHessi
SachsenHessi 12.04.2016 um 12:52:06 Uhr
Goto Top
Hallo,

vielleicht hilft das weiter:
http://www.heise.de/newsticker/meldung/Erpressungs-Trojaner-Petya-gekna ...
https://github.com/leo-stone/hack-petya

Gruß
SH
ukulele-7
ukulele-7 12.04.2016 aktualisiert um 12:53:05 Uhr
Goto Top
"Damals", also als ich für ein Systemhaus gebastelt habe, wurde in solchen und anderen Fällen VOR den Datenrettungsversuchen erstmal, wenn möglich, eigene Backups gezogen. Ansonsten hast du jetzt eventuell ireperablen Schaden angerichtet.

Das RAW-Format resultiert vermutlich aus der Tatsache das Petya, wie ich gelesen habe, auch den MBR verändert.
Quelle: http://www.heise.de/security/meldung/Erpressungs-Trojaner-Petya-riegelt ...
FFSephiroth
FFSephiroth 12.04.2016 aktualisiert um 12:53:21 Uhr
Goto Top
@ SachsenHessi:
Hab ich schon gemacht, aber die Platte bootet ja nicht mehr.
FFSephiroth
FFSephiroth 12.04.2016 um 12:54:25 Uhr
Goto Top
@ ukulele: Datenrettung war in diesem Fall nicht mehr möglich, da die Platte schon durch den Trojaner verschlüsselt wurde
FFSephiroth
FFSephiroth 12.04.2016 um 12:57:14 Uhr
Goto Top
Platte war nicht einmal klonbar...anscheinend hat hier Petya richtig gewütet
AnkhMorpork
AnkhMorpork 12.04.2016 um 13:52:12 Uhr
Goto Top
Zitat von @FFSephiroth:

Platte war nicht einmal klonbar...anscheinend hat hier Petya richtig gewütet

Interessant! Mit welchem Tool hast du es probiert?

Gruß

Ankh
FFSephiroth
FFSephiroth 12.04.2016 aktualisiert um 14:23:51 Uhr
Goto Top
Clonezilla, Acronis und Easeus
Platte wird da erst gar nicht erkannt.
Lochkartenstanzer
Lochkartenstanzer 12.04.2016 aktualisiert um 14:30:13 Uhr
Goto Top
Zitat von @FFSephiroth:

@ ukulele: Datenrettung war in diesem Fall nicht mehr möglich, da die Platte schon durch den Trojaner verschlüsselt wurde

Doch auch eine Verschlüssele Platte kann man klonen. Und Experimente führt man nur dann durch, wenn man eine Sicherungskopie der (verschlüsselten9 Platt egezogen hat!

Noch viel lernen, du mußt, junger Padavan.

lks

PS. Warum habt Ihr den Kuden nicht an einen Fachbetrieb verwiesen?
Lochkartenstanzer
Lochkartenstanzer 12.04.2016 aktualisiert um 14:35:47 Uhr
Goto Top
Zitat von @FFSephiroth:

Clonezilla, Acronis und Easeus
Platte wird da erst gar nicht erkannt.

Dann nimmt man ordentlich forensische Tools un dlowlevel-werkzeuge. Und wenn die Platt egar nciht erkannt wird, habt Ihr wentweder die faklschen treiber ode rdie Platte ist kaputt. In so einem Fall wären Datenretter wie Kroll-Ontrack das richtige gewesen.


Habt Ihr wenigsten di ePlatte aus dem PC ausgebaut und mit HDD-docks gearbeitet? Ansonsten besteht auch di eMöglichkeite, daß der trojaner auch das BIOS infiziert hat, damit man nicht an die Platte kommt.

lks
FFSephiroth
FFSephiroth 12.04.2016 aktualisiert um 18:46:30 Uhr
Goto Top
Hab nochmal mit dem Kunden geredet. Vor mir hat ein Mitarbeiter von ihm am Laptop rumgedoktert. "Er hat im Internet gelesen....". Auf deutsch: Er hat versucht den MBR zu fixen. Deshalb kein Zugriff mehr auf den Petya-Boot. Als ich den Mitarbeiter darauf angesprochen habe, rückte er noch damit raus, dass ihm beim fixen des MBR die Platte vom Gehäuse auf den Tisch gefallen ist und sie dann einfach eingebaut hat und den Laptop zu uns gebracht hat, ohne uns von den ganzen Sachen zu erzählen....
Tja...hätte er nicht fixboot versucht, wäre evtl. noch was zu retten gewesen.
Lochkartenstanzer
Lochkartenstanzer 12.04.2016 um 19:03:51 Uhr
Goto Top
Zitat von @FFSephiroth:

Hab nochmal mit dem Kunden geredet.

Hab nix gemacht ist normalerweise die Standardanwort. face-smile

Vor mir hat ein Mitarbeiter von ihm am Laptop rumgedoktert. "Er hat im Internet gelesen....". Auf deutsch: Er hat versucht den MBR zu fixen. Deshalb kein Zugriff mehr auf den Petya-Boot. Als ich den Mitarbeiter darauf angesprochen habe, rückte er noch damit raus, dass ihm beim fixen des MBR die Platte vom Gehäuse auf den Tisch gefallen ist und sie dann einfach eingebaut hat und den Laptop zu uns gebracht hat, ohne uns von den ganzen Sachen zu erzählen....
Tja...hätte er nicht fixboot versucht, wäre evtl. noch was zu retten gewesen.

Dann istdas jetzt auf jeden fall ein Fall für Kroll-Ontrack 6 co, wenn man die Daten wiederhaben will.

lks
cptkrabbe
cptkrabbe 13.04.2016 um 10:41:41 Uhr
Goto Top
Zitat von @FFSephiroth:

Hab nochmal mit dem Kunden geredet. Vor mir hat ein Mitarbeiter von ihm am Laptop rumgedoktert. "Er hat im Internet gelesen....". Auf deutsch: Er hat versucht den MBR zu fixen. Deshalb kein Zugriff mehr auf den Petya-Boot. Als ich den Mitarbeiter darauf angesprochen habe, rückte er noch damit raus, dass ihm beim fixen des MBR die Platte vom Gehäuse auf den Tisch gefallen ist und sie dann einfach eingebaut hat und den Laptop zu uns gebracht hat, ohne uns von den ganzen Sachen zu erzählen....
Tja...hätte er nicht fixboot versucht, wäre evtl. noch was zu retten gewesen.

Da fehlt dann eigentlich nur noch die Benny-Hill-Musik ;)

schließe mich LKS an, wenn die Daten lieb und teuer sind kann jetzt wohl nur noch der Profi helfen (kroll)
FrageSicherheitViren, Trojaner
Mehr von FFSephirothFFSephirothProblem mit Digibox, VPN und RDPFFSephiroth - 6 KommentareFFSephirothServer 2019 Standard Eval in Vollversion umwandelnFFSephiroth - 7 KommentareFFSephirothO365 JournalpostfachFFSephiroth - 2 KommentareFFSephirothUpgrade von Windows 10 Enterprise 1607 LTSB auf LTSC 1809FFSephiroth - 5 Kommentare
Heiß diskutiert
r2d2r3poNetzwerk Ausfäller2d2r3po - 46 KommentareTschakalakaNetzwerkscan - Suche nach inkompatiblen Windows 10 Clients für Windows 11 UpgradeTschakalaka - 41 Kommentareratzekahl1Batch-Datei mit Admin-Rechten ausführen ohne das Passwort raus zu gebenratzekahl1 - 41 KommentarepanguuRouter gesucht (Mikrotik, OPNsense)panguu - 33 KommentareTenniscrackTablet sagt: Nicht genügend SpeicherplatzTenniscrack - 31 KommentarejimmmySFP-Ports adaptieren?jimmmy - 30 KommentareaxlemoxleDeutsche Telefon, 3cx, Wildix, Yeastar Easybell, Peoplefone, was ist das richtigeaxlemoxle - 25 KommentarekreuzbergerUbuntu 24 Desktop 64Bit Installation bleibt stehenkreuzberger - 23 Kommentarefatih.yaylaSBLenovo Notebook friert immer wieder einfatih.yaylaSB - 19 KommentarekpunktWelche Applikation will nach 199.59.243.228?kpunkt - 19 KommentarekpunktMicrosoft entfernt BypassNRO.cmdkpunkt - 19 KommentaremaddocPlötzlich keinen Sound mehr, neue Soundkarte keine Besserungmaddoc - 17 Kommentaretouro411PFsense Outbound NAT (S-NAT)touro411 - 16 Kommentare