Petya Virus eingefangen
Hallo zusammen,
ein Kunde von mir hat den Petya Virus, also sein Laptop. Jetzt habe ich folgende Konstellation:
Ich hänge die Platte aus dem Laptop an meinen PC, wird im RAW-Format erkannt. Ich lass dieses Petya Tool, wie auf heise.de erklärt, drüberlaufen.
Ich bekomme einen Key zum entsperren. Ich klemm die Platte wieder am Laptop an..."a disk read error occured"...
Bin grad mächtig am verzweifeln, kann mir jemand helfen?
edit: Testdisk findet keinerlei Partitionen, diskpart schon.
ein Kunde von mir hat den Petya Virus, also sein Laptop. Jetzt habe ich folgende Konstellation:
Ich hänge die Platte aus dem Laptop an meinen PC, wird im RAW-Format erkannt. Ich lass dieses Petya Tool, wie auf heise.de erklärt, drüberlaufen.
Ich bekomme einen Key zum entsperren. Ich klemm die Platte wieder am Laptop an..."a disk read error occured"...
Bin grad mächtig am verzweifeln, kann mir jemand helfen?
edit: Testdisk findet keinerlei Partitionen, diskpart schon.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 301551
Url: https://administrator.de/forum/petya-virus-eingefangen-301551.html
Ausgedruckt am: 02.04.2025 um 16:04 Uhr
14 Kommentare
Neuester Kommentar
Hallo,
vielleicht hilft das weiter:
http://www.heise.de/newsticker/meldung/Erpressungs-Trojaner-Petya-gekna ...
https://github.com/leo-stone/hack-petya
Gruß
SH
vielleicht hilft das weiter:
http://www.heise.de/newsticker/meldung/Erpressungs-Trojaner-Petya-gekna ...
https://github.com/leo-stone/hack-petya
Gruß
SH
"Damals", also als ich für ein Systemhaus gebastelt habe, wurde in solchen und anderen Fällen VOR den Datenrettungsversuchen erstmal, wenn möglich, eigene Backups gezogen. Ansonsten hast du jetzt eventuell ireperablen Schaden angerichtet.
Das RAW-Format resultiert vermutlich aus der Tatsache das Petya, wie ich gelesen habe, auch den MBR verändert.
Quelle: http://www.heise.de/security/meldung/Erpressungs-Trojaner-Petya-riegelt ...
Das RAW-Format resultiert vermutlich aus der Tatsache das Petya, wie ich gelesen habe, auch den MBR verändert.
Quelle: http://www.heise.de/security/meldung/Erpressungs-Trojaner-Petya-riegelt ...
Interessant! Mit welchem Tool hast du es probiert?
Gruß
Ankh
Zitat von @FFSephiroth:
@ ukulele: Datenrettung war in diesem Fall nicht mehr möglich, da die Platte schon durch den Trojaner verschlüsselt wurde
@ ukulele: Datenrettung war in diesem Fall nicht mehr möglich, da die Platte schon durch den Trojaner verschlüsselt wurde
Doch auch eine Verschlüssele Platte kann man klonen. Und Experimente führt man nur dann durch, wenn man eine Sicherungskopie der (verschlüsselten9 Platt egezogen hat!
Noch viel lernen, du mußt, junger Padavan.
lks
PS. Warum habt Ihr den Kuden nicht an einen Fachbetrieb verwiesen?
Dann nimmt man ordentlich forensische Tools un dlowlevel-werkzeuge. Und wenn die Platt egar nciht erkannt wird, habt Ihr wentweder die faklschen treiber ode rdie Platte ist kaputt. In so einem Fall wären Datenretter wie Kroll-Ontrack das richtige gewesen.
Habt Ihr wenigsten di ePlatte aus dem PC ausgebaut und mit HDD-docks gearbeitet? Ansonsten besteht auch di eMöglichkeite, daß der trojaner auch das BIOS infiziert hat, damit man nicht an die Platte kommt.
lks
Hab nix gemacht ist normalerweise die Standardanwort.
Vor mir hat ein Mitarbeiter von ihm am Laptop rumgedoktert. "Er hat im Internet gelesen....". Auf deutsch: Er hat versucht den MBR zu fixen. Deshalb kein Zugriff mehr auf den Petya-Boot. Als ich den Mitarbeiter darauf angesprochen habe, rückte er noch damit raus, dass ihm beim fixen des MBR die Platte vom Gehäuse auf den Tisch gefallen ist und sie dann einfach eingebaut hat und den Laptop zu uns gebracht hat, ohne uns von den ganzen Sachen zu erzählen....
Tja...hätte er nicht fixboot versucht, wäre evtl. noch was zu retten gewesen.
Tja...hätte er nicht fixboot versucht, wäre evtl. noch was zu retten gewesen.
Dann istdas jetzt auf jeden fall ein Fall für Kroll-Ontrack 6 co, wenn man die Daten wiederhaben will.
lks
Zitat von @FFSephiroth:
Hab nochmal mit dem Kunden geredet. Vor mir hat ein Mitarbeiter von ihm am Laptop rumgedoktert. "Er hat im Internet gelesen....". Auf deutsch: Er hat versucht den MBR zu fixen. Deshalb kein Zugriff mehr auf den Petya-Boot. Als ich den Mitarbeiter darauf angesprochen habe, rückte er noch damit raus, dass ihm beim fixen des MBR die Platte vom Gehäuse auf den Tisch gefallen ist und sie dann einfach eingebaut hat und den Laptop zu uns gebracht hat, ohne uns von den ganzen Sachen zu erzählen....
Tja...hätte er nicht fixboot versucht, wäre evtl. noch was zu retten gewesen.
Hab nochmal mit dem Kunden geredet. Vor mir hat ein Mitarbeiter von ihm am Laptop rumgedoktert. "Er hat im Internet gelesen....". Auf deutsch: Er hat versucht den MBR zu fixen. Deshalb kein Zugriff mehr auf den Petya-Boot. Als ich den Mitarbeiter darauf angesprochen habe, rückte er noch damit raus, dass ihm beim fixen des MBR die Platte vom Gehäuse auf den Tisch gefallen ist und sie dann einfach eingebaut hat und den Laptop zu uns gebracht hat, ohne uns von den ganzen Sachen zu erzählen....
Tja...hätte er nicht fixboot versucht, wäre evtl. noch was zu retten gewesen.
Da fehlt dann eigentlich nur noch die Benny-Hill-Musik ;)
schließe mich LKS an, wenn die Daten lieb und teuer sind kann jetzt wohl nur noch der Profi helfen (kroll)