Virus hat Dateien verschlüsselt

Mitglied: bertburger

bertburger (Level 1) - Jetzt verbinden

22.12.2015 um 15:59 Uhr, 3507 Aufrufe, 29 Kommentare, 1 Danke

Guten Tag,

habe von einem Bekannten (Windows7prof32bit) einen Anruf erhalten, dass er seine Daten (pdf, dtf, doc usw) auf einem ext Zyxel (NSA310S)Laufwerk nicht mehr lesen kann, weil alle in der Endung und im Namen unkenntlich verändert wurden.
Das Laufwerk war per Netzlaufwerk mit dem Rechner verbunden. Die vorhandene Sicherung ist leider etwas älter.

Offenbar hat er einen Virus/Trojaner gefangen (er weiss nicht wie) mit Namen HELP_YOUR_FILES. Im Internet habe ich gegoogelt.
Dort wurde erklärt , man müsse an CRYPTOWALL Geld zahlen um eine Entschlüsselung vorzunehmen.

Weiß jemand etwas über diesen Virus/Trojaner? Der Virenscanner Avast hat nichts gefunden.
Gibt es eine Lösung diese Dateien wiederherzustellen?

Vielen Dank für eine Antwort.
Gruss Bertburger
29 Antworten
Mitglied: AlFalcone
22.12.2015 um 16:12 Uhr
Kommt auf die Version des Cryptowall Viruses an.
Bitte warten ..
Mitglied: kontext
22.12.2015 um 16:13 Uhr
Hallo @bertburger,

die Suchfunktion hier auf Administrator.de ist dein Freund.
Du bist nicht der erste bzw. einzige der dieses Problem hat.

Lösung für die Datenrettung: Backup wieder einspielen
Du kannst auch versuchen von Kaspersky mit einem Tool drüber zu gehen

Alternativ kannst du versuchen das "Lösegeld" zu zahlen ...
... wobei die Wahrscheinlichkeit sehr gering ist, dass du den Schlüssel bekommst.

Ansonsten musst du Abwarten und Hoffen das der Schlüssel bekannt wird ...
... danach ist die Wahrscheinlichkeit groß, dass du die Daten entschlüsseln kannst.

Gruß
@kontext
Bitte warten ..
Mitglied: michi1983
22.12.2015 um 16:15 Uhr
Hallo,

du hast 3 Möglichkeiten.

  • Hoffen, dass der Key bekannt ist. Hier oder hier z.B.
  • Backup der Daten einspielen wenn er damit leben kann, dass es etwas älter ist (das nächste Mal wird er das Backup sicher aktuell halten ;-) face-wink)
  • Geld zahlen und hoffen, dass am anderen Ende gutgesinnte Menschen stehen

Gruß
Bitte warten ..
Mitglied: Pjordorf
22.12.2015 um 16:38 Uhr
Hallo,

Zitat von @bertburger:
Offenbar hat er einen Virus/Trojaner gefangen (er weiss nicht wie)
Nein, hat er eigentlich nicht. Da werden ganz normale Programme und Prozesse zum Verschlüsseln genutzt welche meistens eh schon auf dein Rechner im OS sind. Kein Virus - Kein Trojaner - Kein Schadcode. Nur blöd das als Ergebnis dir der Schlüssel zum entschlüsseln nur gegen Bares raus gerückt werden könnte. Nennt sich Erpressung und es ist nicht sicher das der Schlüssel dann passt. Wenn du selbst Dateien Verschlüßelst würdest du die gleichen Prozeduren anwenden, nur das du den Schlüssel selbst kontrollierst. Da kann eher kein Antiviren etwas böses erkennen. Hier wird das "Ich klick mal, wird schon nichts schlimmes sein, hab ja ein Antivirus" Verhalten von Anwender erfolgreich genutzt.

Dort wurde erklärt , man müsse an CRYPTOWALL Geld zahlen um eine Entschlüsselung vorzunehmen.
Wie heißt es doch immer "Wir verhandeln nicht mit Erpressern"

Der Virenscanner ... hat nichts gefunden.
Gib denen jetzt nicht die Schuld.

Lösung diese Dateien wiederherzustellen?
Neben einer Datensicherung - keine.

https://malwaretips.com/blogs/remove-help-your-files-virus/

http://www.bleepingcomputer.com/forums/t/572146/cryptomonitor-stop-all- ...
https://blog.malwarebytes.org/intelligence/2013/10/cryptolocker-ransomwa ...
https://malwaretips.com/blogs/remove-cryptolocker-virus/

https://blogs.sophos.com/2014/06/03/staying-secure-against-gameover-and- ...
https://community.spiceworks.com/topic/393209-does-sophos-protect-from-i ...
https://blogs.sophos.com/tag/cryptolocker/
https://blogs.sophos.com/2015/03/03/anatomy-of-a-ransomware-attack-crypt ...
http://www.systemssolutions.com/sophos-protect-your-files-from-cryptolo ...


Gruß,
Peter
Bitte warten ..
Mitglied: 117643
117643 (Level 2)
22.12.2015, aktualisiert um 16:58 Uhr
Haben diese Fälle jede Woche bei Endkunden...
michi1983 hat die Möglichkeiten schön einfach zusammengefasst :-) face-smile
Das Geld zahlen kann man ausprobieren, aber erst Kontakt zum "Täter" aufnehmen -> ist eine Verhandlungsbasis
Bitte warten ..
Mitglied: Lochkartenstanzer
22.12.2015, aktualisiert um 18:12 Uhr
Zitat von @117643:

Das Geld zahlen kann man ausprobieren, aber erst Kontakt zum "Täter" aufnehmen -> ist eine Verhandlungsbasis

Das gestaltet sich nicht so einfach. Denn der will i.d.R. nicht geschnappt werden. :-) face-smile

lks
Bitte warten ..
Mitglied: bertburger
22.12.2015, aktualisiert um 18:16 Uhr
Hallo an alle die mir helfen!

Danke für die/alle Zuschriften. Dann muss ich mal sehen, wie ich weiterkomme.
Werde es mal mit den Schlüsseln oder Verhandlungen machen.
Das mit Zahlen kann ich offenbar nicht weiterempfehlen.

Kann man sagen wie denn das passieren kann um in Zukunft dies zu vermeiden?

Einen schönen Abend und Danke
Bertburger
Bitte warten ..
Mitglied: michi1983
22.12.2015 um 20:05 Uhr
Zitat von @bertburger:
Kann man sagen wie denn das passieren kann um in Zukunft dies zu vermeiden?
Nicht alles anklicken was blinkt und Gewinne verspricht.
Keine E-Mail Anhänge öffnen von denen man 100% weiß, dass sie nicht kompromittiert sind.
etc.

Einen schönen Abend und Danke
Bitte, ebenso
Bitte warten ..
Mitglied: StefanKittel
23.12.2015 um 09:17 Uhr
Zitat von @michi1983:
  • Geld zahlen und hoffen, dass am anderen Ende gutgesinnte Menschen stehen
Hallo,

wenn das am anderen Ende gutgesinnte Menschen wären hätte man das Problem ja eigentlich gar nicht.
Aber wenn die nie die Daten rausgeben, würde auch keiner mehr zahlen....

Stefan
Bitte warten ..
Mitglied: michi1983
23.12.2015 um 09:19 Uhr
Zitat von @StefanKittel:

Zitat von @michi1983:
  • Geld zahlen und hoffen, dass am anderen Ende gutgesinnte Menschen stehen
Hallo,

wenn das am anderen Ende gutgesinnte Menschen wären hätte man das Problem ja eigentlich gar nicht.
Aber wenn die nie die Daten rausgeben, würde auch keiner mehr zahlen....

Stefan
Dieser Tipp war eher ironisch gemeint von mir ;-) face-wink
Außerdem glaube ich nicht, dass die Leute Zahlen weil sie gehört haben, dass irgender schon mal die Daten wieder bekommen hat, sondern einfach aus Angst.

Gruß
Bitte warten ..
Mitglied: 117643
117643 (Level 2)
23.12.2015 um 10:41 Uhr
WIr haben einen Kunden der sich freigekauft hat, war aber nicht günstig :-) face-smile
Bitte warten ..
Mitglied: 122990
122990 (Level 2)
23.12.2015, aktualisiert um 11:05 Uhr
Kann man sagen wie denn das passieren kann um in Zukunft dies zu vermeiden?
Regelmäßige Offsite-Backups machen.
Ist wie immer ein schönes Druckmittel/Denkzettel das derjenige nun mal über eine vernünftige Backupstrategie nachdenkt.

Flash/Java aus den Browsern endgültig verbannen und Mails mit unangeforderten Attachments direkt in den Papierkorb befördern und bei Zweifel in den Header der Mail schauen,also Köpfchen einschalten, das bringt mehr als jeder Virenscanner dem man blind vertraut.

Gruß und frohes Fest.
grexit
Bitte warten ..
Mitglied: maretz
23.12.2015 um 12:19 Uhr
Was kannst du machen? Ein regelmäßiges Backup - wie wäre es damit? Und möglichst die Backup-Datenträger nicht dauerhaft am Rechner lassen (sonst ist das Sinnlos - auch bei einer überspannung o.ä. würden die ggf. mit gegrillt werden!). Dann hast du das Problem nicht erst... Wie häufig das Backup gemacht werden muss hängt von den Anforderungen ab - es gibt durchaus Leute da reicht "alle 4 Wochen einmal manuell" bis hin zu "alle paar Stunden automatisch"...
Bitte warten ..
Mitglied: VGem-e
23.12.2015 um 13:11 Uhr
Zitat von @122990:

Kann man sagen wie denn das passieren kann um in Zukunft dies zu vermeiden?
Regelmäßige Offsite-Backups machen.
Ist wie immer ein schönes Druckmittel/Denkzettel das derjenige nun mal über eine vernünftige Backupstrategie nachdenkt.

Flash/Java aus den Browsern endgültig verbannen und Mails mit unangeforderten Attachments direkt in den Papierkorb befördern und bei Zweifel in den Header der Mail schauen,also Köpfchen einschalten, das bringt mehr als jeder Virenscanner dem man blind vertraut.

Gruß und frohes Fest.
grexit

Sers Kollege,

gibt es denn sichere Alternativen zu Java??

Dass Flash inzwischen nicht mehr sicher ist, sollte inzw. jedem DAU bekannt sein! Bei uns hat der inzwischen nichts mehr zu suchen.

Gruß
VGem-e
Bitte warten ..
Mitglied: Lochkartenstanzer
23.12.2015 um 13:56 Uhr
Zitat von @VGem-e:

gibt es denn sichere Alternativen zu Java??

Kein Java! :-) face-smile

Und Anwendunge die auf Java bestehen verbannen. :-) face-smile


lks
Bitte warten ..
Mitglied: VGem-e
23.12.2015, aktualisiert um 14:55 Uhr
Servus,

@ lks:

Dumm nur, wenn Du bei einem großen Systemanbieter bist und dessen Software tlw. Java zwingend voraussetzt.

Oder die nette Trassenauskunft der Telekom, die auch ohne Java nicht läuft?

Oder ein GIS-Verfahren, das ebenfalls Java zwingend benötigt!

Hier hat man(n) als Admin die A...karte gezogen.

Gruß
VGem-e
Bitte warten ..
Mitglied: 122990
122990 (Level 2)
23.12.2015, aktualisiert um 15:02 Uhr
Du kannst Java ja auch nur im Browser deaktivieren oder mindestens die Plugins auf Bestätigung stellen wenn sie doch auf irgendwelchen Seiten gebraucht werden, das hilft schon mal den meisten automatisierten Java-Trojaner-Müll abzuweisen.
Zusätzlich kann man über Deployment-Regeln nur bestimmte Applets etc freigeben
https://www.administrator.de/wissen/explizites-freigeben-bestimmten-java ...
Bitte warten ..
Mitglied: Pjordorf
24.12.2015 um 11:17 Uhr
Hallo,

Zitat von @bertburger:
Weiß jemand etwas über diesen Virus/Trojaner?
Nochmal etwas Info als PDF von Sophos zum Thema der Cryptolocker und Co.s
https://nakedsecurity.sophos.com/2015/12/22/the-current-state-of-ransomw ... und dort das PDF holen https://www.sophos.com/en-us/medialibrary/PDFs/technical%20papers/sophos ...

Gruß,
Peter
Bitte warten ..
Mitglied: bertburger
26.12.2015 um 11:46 Uhr
Hallo nochmal an alle, die sich mit diesem Thema befasst haben.

Irgendwo habe ich gelesen, dass bei der Verschlüsselung von Cryptowall, dieser die Daten löscht und dann neue verschlüsselte Daten erzeugt.
Nun ist meine Idee, diese gelöschten Daten mittels Recovery-Programm wiederherzustellen.
Ich weiß aber nicht, was dieses NSA 310S (um das es sich handelt, siehe meinen Beitrag ganz oben) für eine Platten-Formatierung hat.
Vermute mal ext4 oder XFS.
Gibt es ein Programm für ext4, vorausgesetzt das mit dem Löschen stimmt, das auf der Platte nach den gelöschten Daten suchen kann?
Bei FAT oder NTFS (bin mir nicht mehr sicher) habe ich so was schon mal über Nacht laufen lassen mit Erfolg. Solche Programme suchen ja unten in der Magnetisierung nach.

Was meint Ihr zu dieser vielleicht falschen Idee?

Gruss Bertburger
Bitte warten ..
Mitglied: Pjordorf
26.12.2015 um 13:27 Uhr
Hallo,

Zitat von @bertburger:
Irgendwo habe ich gelesen
Dann prüfe deine Quellenangaben.

dass bei der Verschlüsselung von Cryptowall, dieser die Daten löscht und dann neue verschlüsselte Daten erzeugt.
Erzeugen einer Kopie mit etwas anderen Namen
Erzeugen der Verschlüsselten Datei
Überschreiben der Original Datei mit den nun verschlüsselten Dateninhalt
Überschreiben der Kopierten Datei mit Nullen oder so
Löschen der Kopie

Ich weiß aber nicht, was dieses NSA 310S (um das es sich handelt, siehe meinen Beitrag ganz oben) für eine Platten-Formatierung hat.
Platte an einen Rechner hängen und mal (nur lesend) nachschauen z.B. mit Testdisk

Solche Programme suchen ja unten in der Magnetisierung nach.
In der Magnetisierung sucht nun wirklich keiner, aber in Inhaltsverzeichnisse (auch Fragmente davon) sowie einzelne Sektoren sowie zusammenhängende Sektoren und so weiter. Aber im Magnetismus.....

Beispiel FAT (File Allocation Table) siehe mal hier. https://technet.microsoft.com/en-us/library/cc776720(v=ws.10).aspx
Im Inhaltsverzeichnis steht z.B. der Dateiname, dessen Größe und in welchem Cluster die Datei anfängt. Am ende vom ersten Cluster ist allerdings der Zeiger(Clusternummer) auf den nächsten verwendeten Cluster der Datei zu finden. Das nennt sich Verkettete Liste und wenn diese reißt ist eben diese Datei nicht mehr rekonstruierbar. Sollte also ein Cryptolocker und Co. die Cluster am ende alle auf 0 setzten oder im Inhaltsverzeichnis (FAT) den Startcluster auf 0 setzen dann wird es schon deutlich schwieriger und langwieriger. Ganz unmöglich nicht, aber der Aufwand ist immens.

Was meint Ihr zu dieser vielleicht falschen Idee?
Ausprobieren....

https://technet.microsoft.com/en-us/library/cc938947.aspx
Und FAT ist noch das einfachste ....

Gruß,
Peter
Bitte warten ..
Mitglied: bertburger
28.12.2015 um 22:23 Uhr
Hallo Pjordorf / Peter,
wahrscheinlich habe ich mich sehr unklar ausgedrückt was ich meine (Maxwell und Magnetismus sind mir eigentlich klar).

Ich habe folgendes gemeint (Quellenangabe habe ich mir durch schnelles Lesen leider nicht gemerkt!) :
Die Daten einer Festplatte werden auf der Magnetscheibe (ich nenne sie mal so) gespeichert. Durch einfaches Überschreiben kann man diese Daten nicht einfach löschen. (mal ganz abgesehen vom Austragen aus der FAT o.ä.), sondern man muß ein mehrfaches!!! Überschreiben z.B. mit Nullen vornehmen.
Wenn jetzt der Cryptowall die Verschlüsselung vornimmt, so habe ich gelesen, verschlüsselt er die Datei und löscht oder überschreibt die ursprüngliche.
Da es mit Wiederherstellungsprogrammen möglich ist, auch im Restmagnetismus noch Daten zu erkennen, sollte man diese auch wiederherstellen können. Das ist doch der Grund warum man Daten-Festplatten nicht in fremde Hände geben soll.
Mit den Programmen R-Studio, Recuva und Recover My Files habe ich deshalb tatsächlich etwa 90% der Daten wiederherstellen können. Die ext4 Platte aus dem NAS über einen SATA USB Adapter an einen Windows7-Rechner angeschlossen und los! Die Programme haben teilweise bis zu 15h am Stück gesucht.
Nochmals Danke an alle für die rege Diskussion, damit schliesse ich meine Frage an Euch.
Schönes Neues Jahr, das alte steckt im Magnetismus.
Bertburger
Bitte warten ..
Mitglied: StefanKittel
28.12.2015 um 22:27 Uhr
Hallo,

das Thema Restmagnetismus ist ein Mythos aus Zeit der 8" Disketten.
Dort waren die Datenfelder noch ziemlich groß.

Bei aktuelle Platten wird schon die NSA richtig schwierigkeiten bei nur einem überschreiben mit Zufallsdaten zu bekommen.

Bei SSDs sieht das ganze nun wieder ganz anders aus wegen deren Logik.

Wenn Du dort was wiederherstellen konntest wurden die Daten nur gelöscht und nicht überschrieben.

Viele Grüße

Stefan
Bitte warten ..
Mitglied: Lochkartenstanzer
28.12.2015 um 22:31 Uhr
Moin,

Zitat von @bertburger:

Die Daten einer Festplatte werden auf der Magnetscheibe (ich nenne sie mal so) gespeichert. Durch einfaches Überschreiben kann man diese Daten nicht einfach löschen. (mal ganz abgesehen vom Austragen aus der FAT o.ä.), sondern man muß ein mehrfaches!!! Überschreiben z.B. mit Nullen vornehmen.

Falsch.

Wenn jetzt der Cryptowall die Verschlüsselung vornimmt, so habe ich gelesen, verschlüsselt er die Datei und löscht oder überschreibt die ursprüngliche.
Da es mit Wiederherstellungsprogrammen möglich ist, auch im Restmagnetismus noch Daten zu erkennen, sollte man diese auch wiederherstellen können.

Auch falsch.

Das ist doch der Grund warum man Daten-Festplatten nicht in fremde Hände geben soll.

Nein. Das ist der Grund, warum man Festplatten schreddert, wenn man sichergehen will, daß Leute mit sehr viel Geld Deine Daten nicht bekommen. Für das normale Budget reicht ein komplettes einmaliges überschreiben mit Nullen (oder anderen Werten) . Das einzige Problem dabei ist, daß reloziierte Sektoren nicht überschrieben werden und man da Daten extrahieren könnte.

Mit den Programmen R-Studio, Recuva und Recover My Files habe ich deshalb tatsächlich etwa 90% der Daten wiederherstellen können.

Das hat aber nichts mit der Magnetisierungnach dem überschreiben zu tun, sondern einfach nur nicht gelöschte Daten, weil nur die Verwaltunsstrukturen übreschreiben wurden und nicht mehr.

Die ext4 Platte aus dem NAS über einen SATA USB Adapter an einen Windows7-Rechner angeschlossen und los! Die Programme haben teilweise bis zu 15h am Stück gesucht.

Das ist bei defekten Platten normal, manchmal dauert es sogar Tage.


lks
Bitte warten ..
Mitglied: Pjordorf
28.12.2015 um 23:48 Uhr
Hallo,

Zitat von @bertburger:
Durch einfaches Überschreiben kann man diese Daten nicht einfach löschen
Aber erfolgreich überschreiben.... Füll einen Sektor deiner Festplatte mit Nullen, dann schreibt ein kleines Gedicht und Speicher es dort im Sektor welcher voll mit Nullen ist. Stehen dann anschließend beim lesen Nullen im Raum oder kannst du dein Gedicht lesen? Wie gesagt ein und der gleiche Sektor

Wenn jetzt der Cryptowall die Verschlüsselung vornimmt, so habe ich gelesen, verschlüsselt er die Datei und löscht oder überschreibt die ursprüngliche.
Si - und weg ist dein Gedicht.

Da es mit Wiederherstellungsprogrammen möglich ist, auch im Restmagnetismus noch Daten zu erkennen
Alleine auf einer nie benutzen Platte welche nur Nullen enthält nach dem schreiben von Einsen dort noch vorhergehende Nullen zu erkennen ist schon eine Forschungsarbeit welche auch noch sehr viel Zeit in Anspruch nimmt. Von den Kosten ganz zu schweigen.
Natürlich ist bei CSI das alles einfacher dargestellt :-) face-smile

> Mit den Programmen R-Studio, Recuva und Recover My Files habe ich deshalb tatsächlich etwa 90% der Daten wiederherstellen können.
Gelöscht bzw. überschrieben ist gelöscht bzw. überschrieben. Auch diese Programme können weder zaubern noch ohne Flügel fliegen. @Lochkartenstanzer hat es ja schon gesagt warum angeblich gelöschtes wieder erscheinen kann.

Gruß,
Peter
Bitte warten ..
Mitglied: bertburger
29.12.2015 um 15:16 Uhr
Eine schönen Nachmittag,

Zitat von Pjordorf:
Aber erfolgreich überschreiben.... Füll einen Sektor deiner Festplatte mit Nullen, dann schreibt ein kleines Gedicht und Speicher es dort im Sektor welcher voll mit Nullen ist. Stehen dann anschließend beim lesen Nullen im Raum oder kannst du dein Gedicht lesen? Wie gesagt ein und der gleiche Sektor

Das heisst doch im Klartext, einmal mit Nullen alle Sektoren und alles ist total gelöscht. Wenn das so einfach ist.
Wenn das stimmt, frage ich mich , warum z.B. die Gutman-Methode 35x! überschreibt, oder das US-Verteidigungsministerium
Bitfolgen 101010... und dann umgekehrt 010101.. einige Male, und dann noch beliebige Folgen auf die Sektoren schreibt.

Mit Grüssen Bertburger
Bitte warten ..
Mitglied: 122990
122990 (Level 2)
29.12.2015, aktualisiert um 15:27 Uhr
Wenn das stimmt, frage ich mich , warum z.B. die Gutman-Methode 35x! überschreibt, oder das US-Verteidigungsministerium
Es war einmal, das Steinzeit-Diskettenzeitalter ...
Sicheres Löschen: Einmal überschreiben genügt
Zitat

Bitte warten ..
Mitglied: maretz
29.12.2015 um 15:35 Uhr
Naja - reine Zeitverschwendung: nein. Es ist ggf. mit genügend Aufwand möglich noch eine Restinformation zu finden wenn das nur mit ner "0" überschrieben wurde. ABER ganz ehrlich: DAS erfordert sicher mehr Möglichkeiten als der normale Bürger in seinem Bereich hat. Wenn du z.B. das US-Verteidigungsministerium hast dann sind sicher da andere Informationen zu finden als auf deiner Festplatte zuhause. Da will man sicher sein das wirklich jeder Sektor wegradiert ist und auch ohne rest-spur (es könnte ja sein das deine Platte beim einmaligen Überschreiben den Sektor nicht erwischt oder dieser Sektor als defekt markiert wurde ohne das er das wirklich ist).

Und ich wage mal zu behaupten das solche Informationssicherheit bei den wenigsten hier gefordert ist. Wenn jemand an die Informationen eines normalen Privatbürgers oder eine Firma möchte und entsprechende Mittel hat dann gibt es sicher bessere und elegantere Wege als die Datenwiederherstellung aus einer gelöschten Festplatte.
Bitte warten ..
Mitglied: Lochkartenstanzer
29.12.2015 um 15:55 Uhr
Zitat von @bertburger:

Das heisst doch im Klartext, einmal mit Nullen alle Sektoren und alles ist total gelöscht.

Jein. Beachte, dalß es reloziiierte Sektoren gibt, die nicht pberschrieben werden!

Wenn das so einfach ist. Wenn das stimmt, frage ich mich , warum z.B. die Gutman-Methode 35x! überschreibt, oder das US-Verteidigungsministerium Bitfolgen 101010... und dann umgekehrt 010101.. einige Male, und dann noch beliebige Folgen auf die Sektoren schreibt.

Ganz einfach das ist eine Behörde udn da wird alles nach Vorschrift gemacht, auch wenn die Jahrzehnte alt sind und der Grund warum das mal gemacht wurde, inzwischen weg ist.

Auch bei heutigen Platten hast Du zwar prinzipiell Restmagnetisierungen, aus dennen man mit exorbitantem Aufwand vielleicht ein wenig Daten herauslesen könnte. Doch durch die heutigen Strukturen, bei denen schon die regulären Bits "ineinanderlaufen" und durch komplizierte mathematische Verfahren wieder "herausgerechnet" werden müssen, braucht man schon sehr viel Geld und Zeit, um wieder da etwas brauchbares herausextrahieren zu können, wenn überhaupt. Die größere Gefahr ist heutztage, daß Laufwerke ohne großen Umstand einfach mal sektoren reloziieren und daher daten, die auf einem "defekten" Sektor gelandet sind, nicht mehr gelöscht/überschrieben werden können.

Deswegen müssen solche Platten geschreddert werden, wenn da wichtige Daten drauf waren, die nicht in falsche Hände geraten sollen.

lks
Bitte warten ..
Mitglied: bertburger
01.01.2016 um 13:33 Uhr
Prost Neujahr an alle
die sich dankenswerter Weise mit meinen Problemen beschäftigt haben.
Fazit für mich:
Wie man trotz Cryptowall-Verschlüsselung, zumindest in meinem Fall, die Daten wiederherstellen kann, habe ich im Beitrag oben v. 28.12.2015 beschrieben.
Zum Thema Festplatte:
Ich habe jetzt eine Festplatte, die vorher mit nicht mehr benutzten Daten voll war, total mit Nullen beschrieben (Sektoren mit einem Editor nachgeprüft).
Dann wie gehabt mit den Wiederherstellungsprogrammen getestet, ob noch was da war. NICHTS MEHR GEFUNDEN!
Das heißt, dass einfaches Löschen (beschreiben mit Nullen) vorerst ausreicht.
Das Plattenprinzip beruht auf der Remanenz (einfach gesagt verbleibende Magnetisierung). Mit großem! Aufwand, wie Ihr auch teilweise beschrieben habt, wird man möglicherweise noch was finden.
Daher ist schreddern die wirklich totale Lösung. Oder: Ich habe mir aus 20 Magnetscheiben einen Spiegel gebaut. :-) face-smile
Gruß Bertburger
Bitte warten ..
Heiß diskutierte Inhalte
Exchange Server
Sicherheits-Update KB5001779 für Exchange 2013-2019
kgbornVor 1 TagInformationExchange Server8 Kommentare

Microsoft hat zum 13. April 2021 das Sicherheitsupdate KB5001779 für Exchange 2013-2019 veröffentlicht, um vier RCE-Schwachstellen zu schließen. Das Update sollte zeitnah installiert werden. ...

Datenschutz
Regierung testet Einsatz von Microsoft Azure-Cloud für die Bundescloud
VisuciusVor 1 TagInformationDatenschutz34 Kommentare

LÄUFT! Deutschland will Microsoft für die Bundescloud testen Ich hätts ja beinahe unter dem Topic "Humor" veröffentlicht. Aber der 1. April ist ja durch ...

Server
Server Anbieter mit 2 NICs gesucht
gelöst SilvergreenVor 1 TagFrageServer16 Kommentare

Hallo Community, ich bin auf der Suche nach einem Serveranbieter, der VPS/Cloud Server mit 2 Netzwerkkarten anbietet. Eine Internetsuche brache mich da leider nicht ...

Festplatten, SSD, Raid
Festplatte aus defekten Notebook ausgebaut - wird nicht erkannt - Wie gelange ich an meine Daten?
1nCoreVor 18 StundenFrageFestplatten, SSD, Raid11 Kommentare

Hallo liebe Community, nach 7 Jahren hat mein XMG Notebook seinen Geist aufgegeben In dem Notebook waren zwei Festplatten verbaut (eine für System und ...

Internet
Woher holt sich Android die Kontaktdaten von unbekannten Rufnummern?
gelöst anteNopeVor 21 StundenFrageInternet8 Kommentare

Hallo zusammen, seit einiger Zeit merke ich, dass mir mein Android Gerät Namen und Informationen zu mir unbekannten Teilnehmern präsentiert. Soll heißen eine nicht ...

Exchange Server
Exchange Update CU19 auf CU20 Fehler - Eine weitere Version dieses Produkts ist bereits installiert
gelöst StefanKittelVor 18 StundenFrageExchange Server6 Kommentare

Hallo, ich habe hier einen Exchange 2016 mit CU19 (15.1.2176.2). Darauf wollte ich nun CU20 installiert. Download Es erscheint Eine weitere Version dieses Produkts ...

Windows Netzwerk
MS Lizenzierung - externe Scandienstleistung
monstermaniaVor 20 StundenFrageWindows Netzwerk9 Kommentare

Hallo Allerseits, ich habe da mal eine Frage an die MS Lizenzspeziallisten. Eine externe Firma soll Scandienstleistungen für uns erledigen. Dazu ist angedacht, dass ...

Router & Routing
Lokale Subnetze für VLANs unterbinden
fnbaluVor 1 TagFrageRouter & Routing8 Kommentare

Hallo zusammen, die letzten Tage hatte ich vor mein Netzwerk über die pfSense weiter abzusichern, indem ich die "Gäste" gegenüber den anderen Subnetzen sperre, ...