Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Cerber Ransomware

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 08.06.2016, 08:42   #1
Debu
 
Cerber Ransomware - Standard

Cerber Ransomware



Hallo Community,

eine Mitarbeiterin aus unserer Firma erhielt eine E-Mail mit einem Bewerbungsschreiben.
In dieser E-Mail war eine zip Datei eingefügt. Diese hat sie entpackt und die Dateien ausgeführt. Es handelte sich dabei um JS (Javascript) Dateien, getarnt als doc.
Nun hat cerber ihre Dokumente auf dem PC verschlüsselt (Endung cerber angehängt) und teilweise ausgeblendet.
Es wurden HTML und txt Dokumente hinzugefügt, wo wir aufgefordert werden, Lösegeld zu bezahlen, um wieder an die Daten zu gelangen.
Ist Euch eine Möglichkeit bekannt, die Daten wiederherzustellen?

Vielen Dank vorab.

Alt 08.06.2016, 09:48   #2
Debu
 
Cerber Ransomware - Standard

Logs



Ausführen von exe Dateien ist leider auch nicht mehr möglich
__________________


Geändert von Debu (08.06.2016 um 09:55 Uhr)

Alt 08.06.2016, 10:06   #3
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Cerber Ransomware - Standard

Cerber Ransomware



Identifizierung der ransoms gibt es da => https://id-ransomware.malwarehunterteam.com/

und falls Entschlüsselung möglich, sollten da auch entsprechende Hinweise stehen. Wenn nicht hast du leider Pech gehabt und musst

a) das jüngste Backup der verschlüsselten Dateien zurückspielen
b) warten warten warten (bis dieser ransom geknackt und Entschlüsselung möglich ist)
c) nur im absoluten Notfall: Lösegeld an Erpresser zahlen und hoffen, dass du von denen den Key zur Entschlüsselung bekommst

Wenn du kein Backup hast, muss man dem Admin und/oder der Mitarbeiterin mal auf die Finger
__________________
__________________

Alt 08.06.2016, 10:12   #4
Debu
 
Cerber Ransomware - Standard

Cerber Ransomware



Zitat:
Zitat von cosinus Beitrag anzeigen
Identifizierung der ransoms gibt es da => https://id-ransomware.malwarehunterteam.com/

und falls Entschlüsselung möglich, sollten da auch entsprechende Hinweise stehen. Wenn nicht hast du leider Pech gehabt und musst

a) das jüngste Backup der verschlüsselten Dateien zurückspielen
b) warten warten warten (bis dieser ransom geknackt und Entschlüsselung möglich ist)
c) nur im absoluten Notfall: Lösegeld an Erpresser zahlen und hoffen, dass du von denen den Key zur Entschlüsselung bekommst

Wenn du kein Backup hast, muss man dem Admin und/oder der Mitarbeiterin mal auf die Finger
Danke für die Antwort.

Zu a) es gibt kein BAckup, da Dateien loakl auf dem Rechner gespeichert wurden
zu b) warten ist eigentlich nicht die Lösung, aid eich mir erhofft habe
zu c) Lösegeld zahlen ist auch keine Alternative.

Und ich sollte der Mitarbeiterin auf die Finger hauen, bin selbst der Admin

Alt 08.06.2016, 10:31   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Cerber Ransomware - Standard

Cerber Ransomware



a) Warum werden in Firmenumgebungen WICHTIGE Dateien lokal gespeichert?? sowas macht man/frau nicht, die Dateien müssen auf Netzlaufwerke, am besten solche die von einem Windows-Server bereitgestellt werden, damit diese über Schattenkopien abgesichert werden und täglich zentral auf ein separates Medium gesichert werden können (zB ganz klassisch auf LTO-Band oder so)

b) ähm ja, dann kannst du ja selbst tätig werden und bruteforcen wenn dir das besser gefällt

c) ist auch nur für den Notfall gedacht weil man die Erpresser damit unterstützt/anspornt

Fazit: du willst die Daten also nicht zurück haben und an der Bereinigung des Rechners bist du anscheinend auch nicht interessiert.

Bevor es an Try&Error mit Recovery-Tools geht: hatte die Mitarbeiterin zum Zeitpunkt der Ausführung des ransoms Adminrechte an ihrem lokalen Rechner?

__________________
Logfiles bitte immer in CODE-Tags posten

Alt 08.06.2016, 10:43   #6
Debu
 
Cerber Ransomware - Standard

Cerber Ransomware



a) Darauf habe ich sie angesprochen, NBetzlaufwerke stellen wir ja bereit.
Ist sie offnebar nicht zu gekommen.
b) Du hast natürlich recht, so lang es noch keine Möglichkeit zu encrypten gibt, müsste man warten. Meine Hoffnung war, dass es hier vielleicht mehr Informationen dazu gibt.
c)Ich möchte die Daten sehr gerne zurückhaben

Interessiert an einer Lösung bin ich selbstverständlich auch
Bereinigung klar, werde ich durchführen, also als letztes Mittel die Neuinstallation.

Adminrechte benötigt sie, um spezielle Software nutzen zu können.

Alt 08.06.2016, 11:11   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Cerber Ransomware - Standard

Cerber Ransomware



Zitat:
Adminrechte benötigt sie, um spezielle Software nutzen zu können.
Ganz großes Tennis
Dann greifen die Schattenkopien auf ihrer lokalen Kiste auch nicht mehr, denn mit Adminrechten gestartet löschen ALLE halbwegs aktuellen ransoms auch alle Schattenkopien.

Also hier wurde so ziemlich alles falsch gemacht was man auch nur falsch machen kann

Dir ist schon klar, dass eine Bereinigung die Daten auch nicht wiederbringt?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 08.06.2016, 11:13   #8
Debu
 
Cerber Ransomware - Standard

Cerber Ransomware



Klar, Daten sind dann weg

Aber eine andere Möglichkeit scheint es momentan nicht zu geben.

Alt 08.06.2016, 11:40   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Cerber Ransomware - Standard

Cerber Ransomware



Die letzten Möglichkeiten, die du noch hast an die Daten heranzukommen. Kann klappen, muss aber nicht.

Vorgängerversionen
  • Rechtsklicke eine verschlüsselte Datei und klicke auf Einstellungen
  • Klicke Vorgängerversionen.
  • Dieser Tab listet alle Kopien der gewählten Datei und wann sie gesichert wurde.
  • Um eine bestimmte Version der Datei wiederherzustellen, klick Kopiere und wähle einen Ordner, in dem die Datei gespeichert werden soll.
  • Falls Du die existierende Datei mit der Version ersetzen willst, klicke Wiederherstellen
  • Falls Du den Inhalt der Datei vorher prüfen möchtest, klicke Öffnen

ShadowExplorer
  • Bitte lade die Datei ShadowExplorer runter und speichere sie auf Deinem Desktop.
  • Rechtsklicke ShadowExplorer-0.9-portable.zip und klicke Alle Extrahieren. Wähle den Desktop und klicke Extrahieren
  • Rechtsklicke ShadowExplorer.exe und wähle Als Administrator ausführen.
  • Du wirst ein Drop-Down-Menü sehen, das Dir die Schattenkopien aller Partitionen und Laufwerke zeigt.
  • Klicke C:\ im Menü.
  • Wähle rechts ein Datum vor der Infektion aus.
  • Um einen ganzen Ordner wiederherzustellen, klicke mit der rechten Maustaste auf den Ordner und klicke Export. Du wirst dann danach gefragt, wohin die wiederhergestellten Dateien gespeichert werden sollen.
Datenwiederherstellungssoftware
Datenwiederherstellungssoftware kann in der Lage sein die Originaldateien wiederherzustellen, welche von der Ransomware gelöscht wurden. Ich empfehle eines der folgenden Programme zu verwenden.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 08.06.2016, 13:00   #10
Debu
 
Cerber Ransomware - Standard

Cerber Ransomware



Danke für die Hilfe.
Vorgängerversion, Shadow Explorer und Recovery Tools haben leider nicht weitergeholfen.

Alt 08.06.2016, 13:17   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Cerber Ransomware - Standard

Cerber Ransomware



Jap, das war zu erwarten. Jetzt kannst du entweder abwarten, die Kohle abdrücken oder die Daten ganz einfach vergessen.

Man kann nur hoffen, dass die Mitarbeiterin durch Schmerzen lernt wer wichtige Daten nicht Netzlaufwerke speichert, darf sich hinterher nicht bei Datenverlust beschweren. Wir sichern auch keine einzelnen Clients (also nicht täglich als normales Backup sondern nur die Server), das wäre einfach zu aufwendig.

Das Admin-Team darf aber gerne mal über restriktivere Maßnahmen nachdenken zB

- jede Mail mit Anhang blockieren und nur auf Nachfrage hin freigeben
- auf jedem Windows-Client bessere Virenscanner einsetzen zB sowas wie Emsisoft, das auch neue Schädlinge durch die Verhaltenserkennung wegschnappt (wenn es noch gar keine Signaturen gibt)
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu Cerber Ransomware
angehängt, bezahlen, cerber, community, datei, dateien, daten, dokumente, e-mail, endung, firma, getarnt, handel, hinzugefügt, html, javascript, lösegeld, möglichkeit, ransomware, teilweise, verschlüsselt, zip datei




Ähnliche Themen: Cerber Ransomware


  1. Cerber eingefangen
    Plagegeister aller Art und deren Bekämpfung - 02.06.2016 (2)
  2. Neben Erpressung nun auch DDoS: Verschlüsselungs-Trojaner Cerber lernt dazu
    Nachrichten - 24.05.2016 (0)
  3. Cerber ransomware entfernen
    Anleitungen, FAQs & Links - 10.04.2016 (2)
  4. Win7 64, Crypto-Ransomware
    Log-Analyse und Auswertung - 10.02.2016 (6)
  5. HYDRACRYPT ransomware entfernen
    Anleitungen, FAQs & Links - 04.02.2016 (2)
  6. Malwarebytes Anti-Ransomware
    Antiviren-, Firewall- und andere Schutzprogramme - 31.01.2016 (4)
  7. XRTN Ransomware Bekämpfung
    Diskussionsforum - 12.01.2016 (3)
  8. Chimera Ransomware
    Log-Analyse und Auswertung - 14.11.2015 (3)
  9. CryptoWall 4.0 ransomware entfernen
    Anleitungen, FAQs & Links - 09.11.2015 (2)
  10. Chimera Ransomware
    Plagegeister aller Art und deren Bekämpfung - 30.10.2015 (4)
  11. Ransomware Virus
    Log-Analyse und Auswertung - 09.06.2015 (5)
  12. Problem mit Ransomware, bzw. GVU- / BSI-Trojaner
    Log-Analyse und Auswertung - 17.07.2013 (10)
  13. GVU-Ransomware / Bin ich sie schon los?
    Log-Analyse und Auswertung - 27.06.2013 (13)
  14. Spamhaus Ransomware entfernen
    Anleitungen, FAQs & Links - 22.05.2013 (2)
  15. Ransomware auf meinem PC :(
    Plagegeister aller Art und deren Bekämpfung - 02.10.2012 (10)

Zum Thema Cerber Ransomware - Hallo Community, eine Mitarbeiterin aus unserer Firma erhielt eine E-Mail mit einem Bewerbungsschreiben. In dieser E-Mail war eine zip Datei eingefügt. Diese hat sie entpackt und die Dateien ausgeführt. Es - Cerber Ransomware...
Archiv
Du betrachtest: Cerber Ransomware auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.