deelite
Goto Top

Virus hat alle Daten verschlüsselt - und jetzt?

Hallo,

ich wurde zu Hilfe gerufen, nachdem auf dem Rechner eines Kunden nichts mehr ging. Auf dem Desktop gab es die Meldung, dass alle Daten verschlüsselt wurden und in einer readme.txt die Anweisungen zur Entschlüsselung zu lesen seien. Dort gab es einen Schlüssel, den man an die Mailadresse filemaker@safe-mail.net schicken soll.
Gesagt getan.
Es gab auch eine Antwort. Die klang individuell auf unsere Anfrage hin beantwortet, sodass es am anderen Ende tatsählich auch Leute geben muss.
Die Erpresser wollen tatsählich 150$ per Paysafecard haben und dann sollte es eine Lösung als "Gegenleistung" geben. Die Paysafecard hat der Kunde in seiner Verzweiflung auch besorgt und wollte die die Codes hinschicken. Zurück gab es jedoch nur die Fehlermeldung, dass es den Mailaccount nicht gäbe (nicht mehr). Und damit schwinden nun die letzten Hoffnungen...

Hat jemand von Euch mit sowas Erfahrung? Kennt jemand von Euch bei sowas eine Lösung?

Ich weiß, der Unterhaltungswert dieser Frage ist groß - deswegen aber trotzdem bitte keine Antworten, die an meinen Fragen komplett vorbeigehen face-wink

Vielen Dank schon mal fürs Lesen.

Content-ID: 157230

Url: https://administrator.de/contentid/157230

Ausgedruckt am: 22.11.2024 um 13:11 Uhr

H41mSh1C0R
H41mSh1C0R 18.12.2010 um 12:40:08 Uhr
Goto Top
Wurden die Daten wirklich verschlüsselt oder nur plump gelöscht?
Rechner uptodate?
Nutzer mit Nutzerrechten oder Adminrechten unterwegs?
2hard4you
2hard4you 18.12.2010 um 12:53:46 Uhr
Goto Top
Moin,

haste die Kiste schon mal mit nem LiveLinux Deiner Wahl gebootet und dort auf Dateinamen und Inhalte geschaut?

was kam da raus?

Gruß

24
csw
csw 18.12.2010 um 13:25:39 Uhr
Goto Top
https://community.mcafee.com/message/162681

Im McAfee-Forum gibt es aktuelle Beiträge zu diesem Problem.

Happened to me a few computers, I say as I have solved. Do not lose the data, the only thing that makes the virus is damaging the MBR (Master Boot Record) and so prevents you from accessing the data.


The first thing you do is make a cd called Hiren's Boot, I have done with version 10.2, this version 12 but not the programs I need.


You turn on your computer with this cd got and when you start the menu to give the "Dos BootCD", then option "Partition tools" and then give the program "Acronis Disk Director Suite 10.0.2160" within this program asks you if put in manual or automatic, manual and put it in OK.
Then select the hard disk (that will put unallocated) with the right button "Advanced" and then option "Recover", then select "Manual" and next, then "Fast" and next, in the table comes out you now have choose the partition list and then leaves you next.
Now you have the option to view the data you had before, one can only recover the MBR.


Restart the computer with the cd menu and choose "mini windows xp." This loads a live version of Windows XP, go to the desktop icon that puts HBCDMenu, then Menu -> Partition/Boot--> MbrFix and the MS-DOS window appears you set this command mbrfix.exe / drive 0 fixmbr "fix the mbr, reboot without the cd and you've got it working.


I hope that helps.
**
deelite
deelite 18.12.2010 um 13:30:35 Uhr
Goto Top
Die Dateien wurden verschlüüselt und die Originale gelöscht.Dazu kommt noch, dass auf der betreffenden Partition nur noch wenige hundert MB frei sind, welche auch schon zwischenzeitlich mal gefüllt, also überschrieben waren...

Der einfachste Workaround wäre ja gewesen, die gelöschten Dateien wieder herzuzuholen.

Livelinux habe ich probiert. die Dateien haben alle die Endung .original.ENCODED bekommen. Umbenennen und öffnen zeigt, dass man mit dem Inhalt nichts anfangen kann.
filippg
filippg 18.12.2010 um 14:50:01 Uhr
Goto Top
Hallo,

eine ausgiebige Internetsuche (z.B. nach dem exakten Text in der readme.txt) könnte sich lohnen. Der Fachbegriff nennt sich "Ransomware", und viele dieser Programme sind schlecht implementiert, so dass es Tools gibt, die Daten wiederherzustellen. Siehe z.B. http://www.heise.de/security/meldung/Scareware-wird-zu-Ransomware-Teil- ...
Bevor du da rumbastelst (z.B. am MBR) solltest du unbedingt ein Image der Partition machen. Und bevor du irgendwelche Entschlüsselungstools aus obskuren Quellen verwendest unbedingt prüfen, ob die nicht selber Schädlinge sind (z.B. hochladen bei virustotal.com)

Gruß

Filipp
sam24
sam24 18.12.2010 um 15:46:06 Uhr
Goto Top
Hallo,

vor allem da der zitierte Lösungsansatz von csw nicht mit dem Problem korrespondiert. Da hat einer mit einem GPG Deine Daten verschlüsselt, die Problemlösung könnte je nach dem schwierig werden.
Aber ich gebe Filipp auf jeden Fall recht, Erst mal ein Image mit einer Live-CD ziehen und Finger weg von der Originalplatte. Das stimmt natürlich nur, wenn Ihr die Maschine seit dem "Angriff" schon mal neu gebootet habt, sonst müsst Ihr vorher noch mehr sichern!

Gruß Sam
dog
dog 18.12.2010 um 15:53:37 Uhr
Goto Top
Meistens benutzen solche Scherzviren ROT13 oder ein ähnlich schlechtes Rotationsverfahren zur Verschlüsselung.
Wenn du den Namen des Virus weißt findest du auch im Internet dazu "Entschlüsselungs"-Programme.
maretz
maretz 18.12.2010 um 16:01:47 Uhr
Goto Top
Moin,

is doch ganz einfach: Backup der Daten nehmen und wiederherstellen...

Gut - jetzt haben wir gelacht und der Kunde weiss ggf. warum er ein Backup haben sollte.

Jetzt folgends: ERSTMAL hör sofort auf an dem Rechner rumzuprobieren! Dann nimmst du die Festplatte und erstellst z.B. mittels DD nen 1:1 Abbild bzw. baust die in einem Rechner ein auf dem du z.B. EasyDataRecovery o.ä. Software hast. Damit stellst du schonmal alles wieder her was du finden kannst! Ggf. reicht das ja schon...

Und: Auf gar keinen Fall bei solchen Leuten zahlen! Das ist das dümmste was du machen kannst! Wer sagt dir denn das die dir das PW wirklich geben?!? Weil die ihre Email-Adresse angeben sind die so vertrauenswürdig? WENN dann auch die Beweise sichern und damit Anzeige gegen unbekannt erstatten. Ist natürlich nicht viel -> aber ohne ne Anzeige kann die Polizei gar nicht anfangen überhaupt mal zu gucken wer auf den Mail-Acc zugreifft u.ä. Und damit zu warten bis der Acc gelöscht wurde ist dann eher schlecht -> weil es eben für die Verfolgung nur problematischer ist...

Wenn gar nichts hilft - so hart es klingt: dann weiss dein Kunde warum man ein Backup haben sollte... Einige lernen nunmal nur aus Verlusten - und grad wenn es z.B. private Fotos usw. sind ist das umso lehrreicher...
miscmike
miscmike 20.12.2010 um 12:05:50 Uhr
Goto Top
Hi,

ich kann mich maretz nur anschließen.

Bring es beim Kunden doch als "Lehrgang" an, warum es Leute gibt, die sich über Datensicherung nebst dazugehörigen Strategien sowie vernünftige Sicherheitssoftware Gedanken machen.

Da der Kunde beides offensichtlich nicht hatte ist dies grob fahrlässig - und am Ende das Problem des Kunden.
schattenhacker
schattenhacker 20.12.2010 um 12:31:57 Uhr
Goto Top
Hallo,

na da frage ich mich manchmal, warum soll man einer normalen Arbeit nachgehen.
Ich würde auf keinen Fall da etwas bezahlen, denn dann provoziert man bei den Gaunern weitere Angriffe.
Entweder ist man es selbst oder die spionieren das Umfeld aus.
Davon ab ist das halt Lehrgeld, was Du da jetzt an Zeit und Elan reinsteckst. Lass Dir das bezahlen, und zwar richtig.
Wenn der Kunde keine Sicherung hat, tja.
Vielleicht hast Du ja mit den Tools Glück.

Sind andere Rechner auch betroffen? Wenn der Virus auch auf USB Sticks rumlungert, sollten alle Beteiligten mal ihre Taschen durchwühlen.

Viel Erfolg

Jo
Tampa2000
Tampa2000 20.12.2010 um 13:13:43 Uhr
Goto Top
Habe von so einem Fall auch schon gehört.
Der verzweifelte Bursche hat Kaspersky Lab. angeschrieben und daraufhin auch eine Lösung präsentiert bekommen.
Vor kurzem ist eine kriminelle Vereinigung in Russland deswegen verurteilt worden.
schilderdoc
schilderdoc 21.12.2010 um 04:50:26 Uhr
Goto Top
Schau dich mal auf

http://www.freedrweb.com/aid_admin/

um.

Hier stehen einige Entschlüsselungsprogramme zur Verfügung.
Da Dr. Web ein russischer Virenscanner ist und die Masche auch aus der Gegend stammt, sind Dr. Web schon länger mit dem Thema vertraut.