ffsephiroth
12.04.2016, aktualisiert um 12:35:14 Uhr
view2788
view14
0
Beitrags-Menü
  • Ausdrucken
  • Internen Beitrags-Link kopieren
  • Externen Beitrags-Link kopieren

Petya Virus eingefangen

FrageSicherheitViren, Trojaner
Hallo zusammen,

ein Kunde von mir hat den Petya Virus, also sein Laptop. Jetzt habe ich folgende Konstellation:

Ich hänge die Platte aus dem Laptop an meinen PC, wird im RAW-Format erkannt. Ich lass dieses Petya Tool, wie auf heise.de erklärt, drüberlaufen.
Ich bekomme einen Key zum entsperren. Ich klemm die Platte wieder am Laptop an..."a disk read error occured"...

Bin grad mächtig am verzweifeln, kann mir jemand helfen?

edit: Testdisk findet keinerlei Partitionen, diskpart schon.
Share articleTeilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 301551

Url: https://administrator.de/forum/petya-virus-eingefangen-301551.html

Ausgedruckt am: 30.04.2025 um 01:04 Uhr

14 Kommentare
Neuester Kommentar
Goto Top
ukulele-7
ukulele-7 12.04.2016 aktualisiert um 12:40:02 Uhr
Goto Top
Nimm das 1:1 Backup das du zuvor erstellt hast und klone es erneut.

War in dem Notebook eine gewollte Verschlüsselung der HDD aktiv?
FFSephiroth
FFSephiroth 12.04.2016 um 12:44:28 Uhr
Goto Top
Backup hat der Kunde keines...das ist ja das Problem. Ist quasi durch den Virus ein Kunde von uns geworden.

Es war keine gewollte Verschlüsselung aktiv.

Was mich wundert ist das RAW-Format bzw. der Read Error.
SachsenHessi
SachsenHessi 12.04.2016 um 12:52:06 Uhr
Goto Top
Hallo,

vielleicht hilft das weiter:
http://www.heise.de/newsticker/meldung/Erpressungs-Trojaner-Petya-gekna ...
https://github.com/leo-stone/hack-petya

Gruß
SH
ukulele-7
ukulele-7 12.04.2016 aktualisiert um 12:53:05 Uhr
Goto Top
"Damals", also als ich für ein Systemhaus gebastelt habe, wurde in solchen und anderen Fällen VOR den Datenrettungsversuchen erstmal, wenn möglich, eigene Backups gezogen. Ansonsten hast du jetzt eventuell ireperablen Schaden angerichtet.

Das RAW-Format resultiert vermutlich aus der Tatsache das Petya, wie ich gelesen habe, auch den MBR verändert.
Quelle: http://www.heise.de/security/meldung/Erpressungs-Trojaner-Petya-riegelt ...
FFSephiroth
FFSephiroth 12.04.2016 aktualisiert um 12:53:21 Uhr
Goto Top
@ SachsenHessi:
Hab ich schon gemacht, aber die Platte bootet ja nicht mehr.
FFSephiroth
FFSephiroth 12.04.2016 um 12:54:25 Uhr
Goto Top
@ ukulele: Datenrettung war in diesem Fall nicht mehr möglich, da die Platte schon durch den Trojaner verschlüsselt wurde
FFSephiroth
FFSephiroth 12.04.2016 um 12:57:14 Uhr
Goto Top
Platte war nicht einmal klonbar...anscheinend hat hier Petya richtig gewütet
AnkhMorpork
AnkhMorpork 12.04.2016 um 13:52:12 Uhr
Goto Top
Zitat von @FFSephiroth:

Platte war nicht einmal klonbar...anscheinend hat hier Petya richtig gewütet

Interessant! Mit welchem Tool hast du es probiert?

Gruß

Ankh
FFSephiroth
FFSephiroth 12.04.2016 aktualisiert um 14:23:51 Uhr
Goto Top
Clonezilla, Acronis und Easeus
Platte wird da erst gar nicht erkannt.
Lochkartenstanzer
Lochkartenstanzer 12.04.2016 aktualisiert um 14:30:13 Uhr
Goto Top
Zitat von @FFSephiroth:

@ ukulele: Datenrettung war in diesem Fall nicht mehr möglich, da die Platte schon durch den Trojaner verschlüsselt wurde

Doch auch eine Verschlüssele Platte kann man klonen. Und Experimente führt man nur dann durch, wenn man eine Sicherungskopie der (verschlüsselten9 Platt egezogen hat!

Noch viel lernen, du mußt, junger Padavan.

lks

PS. Warum habt Ihr den Kuden nicht an einen Fachbetrieb verwiesen?
Lochkartenstanzer
Lochkartenstanzer 12.04.2016 aktualisiert um 14:35:47 Uhr
Goto Top
Zitat von @FFSephiroth:

Clonezilla, Acronis und Easeus
Platte wird da erst gar nicht erkannt.

Dann nimmt man ordentlich forensische Tools un dlowlevel-werkzeuge. Und wenn die Platt egar nciht erkannt wird, habt Ihr wentweder die faklschen treiber ode rdie Platte ist kaputt. In so einem Fall wären Datenretter wie Kroll-Ontrack das richtige gewesen.


Habt Ihr wenigsten di ePlatte aus dem PC ausgebaut und mit HDD-docks gearbeitet? Ansonsten besteht auch di eMöglichkeite, daß der trojaner auch das BIOS infiziert hat, damit man nicht an die Platte kommt.

lks
FFSephiroth
FFSephiroth 12.04.2016 aktualisiert um 18:46:30 Uhr
Goto Top
Hab nochmal mit dem Kunden geredet. Vor mir hat ein Mitarbeiter von ihm am Laptop rumgedoktert. "Er hat im Internet gelesen....". Auf deutsch: Er hat versucht den MBR zu fixen. Deshalb kein Zugriff mehr auf den Petya-Boot. Als ich den Mitarbeiter darauf angesprochen habe, rückte er noch damit raus, dass ihm beim fixen des MBR die Platte vom Gehäuse auf den Tisch gefallen ist und sie dann einfach eingebaut hat und den Laptop zu uns gebracht hat, ohne uns von den ganzen Sachen zu erzählen....
Tja...hätte er nicht fixboot versucht, wäre evtl. noch was zu retten gewesen.
Lochkartenstanzer
Lochkartenstanzer 12.04.2016 um 19:03:51 Uhr
Goto Top
Zitat von @FFSephiroth:

Hab nochmal mit dem Kunden geredet.

Hab nix gemacht ist normalerweise die Standardanwort. face-smile

Vor mir hat ein Mitarbeiter von ihm am Laptop rumgedoktert. "Er hat im Internet gelesen....". Auf deutsch: Er hat versucht den MBR zu fixen. Deshalb kein Zugriff mehr auf den Petya-Boot. Als ich den Mitarbeiter darauf angesprochen habe, rückte er noch damit raus, dass ihm beim fixen des MBR die Platte vom Gehäuse auf den Tisch gefallen ist und sie dann einfach eingebaut hat und den Laptop zu uns gebracht hat, ohne uns von den ganzen Sachen zu erzählen....
Tja...hätte er nicht fixboot versucht, wäre evtl. noch was zu retten gewesen.

Dann istdas jetzt auf jeden fall ein Fall für Kroll-Ontrack 6 co, wenn man die Daten wiederhaben will.

lks
cptkrabbe
cptkrabbe 13.04.2016 um 10:41:41 Uhr
Goto Top
Zitat von @FFSephiroth:

Hab nochmal mit dem Kunden geredet. Vor mir hat ein Mitarbeiter von ihm am Laptop rumgedoktert. "Er hat im Internet gelesen....". Auf deutsch: Er hat versucht den MBR zu fixen. Deshalb kein Zugriff mehr auf den Petya-Boot. Als ich den Mitarbeiter darauf angesprochen habe, rückte er noch damit raus, dass ihm beim fixen des MBR die Platte vom Gehäuse auf den Tisch gefallen ist und sie dann einfach eingebaut hat und den Laptop zu uns gebracht hat, ohne uns von den ganzen Sachen zu erzählen....
Tja...hätte er nicht fixboot versucht, wäre evtl. noch was zu retten gewesen.

Da fehlt dann eigentlich nur noch die Benny-Hill-Musik ;)

schließe mich LKS an, wenn die Daten lieb und teuer sind kann jetzt wohl nur noch der Profi helfen (kroll)
FrageSicherheitViren, Trojaner
Mehr von FFSephirothFFSephirothMicrosoft365 Wechsel zu anderem DienstleisterFFSephiroth - 3 KommentareFFSephirothProblem mit Digibox, VPN und RDPFFSephiroth - 6 KommentareFFSephirothServer 2019 Standard Eval in Vollversion umwandelnFFSephiroth - 7 KommentareFFSephirothO365 JournalpostfachFFSephiroth - 2 Kommentare
Heiß diskutiert
Surfer12Neue Telefonanlage konventionell oder IPSurfer12 - 28 Kommentareopc123Kostenloser Hypervisoropc123 - 28 KommentareStefanKittelMail-Server mit IPv6 sind kein Standard?StefanKittel - 26 KommentareYan2021Mauszeiger springt während Backup od. Programm-Installation etcYan2021 - 24 Kommentarebloodstix2560x1080 Auflösung komischer Rand bei Spielenbloodstix - 21 KommentareStefanKittelSMTP Relay gesuchtStefanKittel - 18 KommentareLordReaperRDP Sessions trennen sich 1-2x täglichLordReaper - 17 KommentarespinnifexMein Explorer bringt mich zum Wahnsinn (Einstellungen merken)spinnifex - 14 KommentarekeineahnungcomputerProfi Notebook CAD Autocadkeineahnungcomputer - 13 KommentarekreuzbergerMB pro min und MB pro s umrechnenkreuzberger - 13 KommentareTwistedAirNetzwerkgeräte bei Ransomware - Austausch oder Reset?TwistedAir - 12 KommentarekreuzbergerRDP auf dem iPadkreuzberger - 11 KommentareKauzigUser wird immer mit Temporären Profil angemeldetKauzig - 11 Kommentare