Das ist ja ein Ding.
Und was soll der Herr Undertaker jetzt machen?

Hi,
beim rechner meiner freundin hat die neueste variante zugeschlagen. allerdings nur auf files mit ihrer ownership. dafür aber auch auf ihrem backup to disk folder.
ich habe alle üblichen tools schon durch, ich bekomme nicht mal die jpg's entschlüsselt, obwohl ich einige orginale noch habe, shadow copies sind keine vorhanden. ist jemand an ein paar jpg interressiert, sowohl original und encrypted?

Zitat:

Zitat von sonshice

Das ist ja ein Ding.
Und was soll der Herr Undertaker jetzt machen?

Wieso der Herr Undertaker? Nimmt da mal jmd die Virenscannerhersteller in Pflicht? Können die für den ganzen Schaden nicht mal aufkommen wenn manche schon von ihnen wie (sinngemäß) "unknackberer Schutz", "triple-Scan-Technology" marketingmäßige Sprüche reißen, bei dem jedem Admin eigenlich schlecht wird weil's schlicht dummfug ist?

Oder hat der arme User letzenendes doch allein Schuld weil er niemals Backups für nötig hielt?

@ cosinus

Das sollte eine Antwort an @reval sein. Da ich meinen eigenen Beitrag komischerweise nicht mehr ändern kann, war es mir nicht möglich, das Zitat von dem User noch einzufügen.

Tut mir leid, wenn es missverständlich rüberkam. Der Herr Undertaker macht hier einen guten Job. Leider muß er sich oft wiederholen, weil einige User offenbar nicht aufmerksam genug lesen. Dafür auf jeden Fall meinen Respekt, denn ich könnte das nicht.

Hallo sonshice

Ist auch echt so ein scheiss mit dem Verschlüsselungstrojaner
Ich wollte nur meine persönliche rhetorische Note dazugeben zu einem Text von dir, den ich vorhin nicht richtig einordnen konnte. Ist schon völlig ok was du hier machst, weiter so!

Und Herr Undertaker ja dem kann man garnicht genügend danken

Zitat:

Zitat von cosinus

Wieso der Herr Undertaker? Nimmt da mal jmd die Virenscannerhersteller in Pflicht? Können die für den ganzen Schaden nicht mal aufkommen wenn manche schon von ihnen wie (sinngemäß) "unknackberer Schutz", "triple-Scan-Technology" marketingmäßige Sprüche reißen, bei dem jedem Admin eigenlich schlecht wird weil's schlicht dummfug ist?

Oder hat der arme User letzenendes doch allein Schuld weil er niemals Backups für nötig hielt?

Schuld sind alle und niemand. Das ist am bequemsten. Allerdings sind die AV-Hersteller relativ flott. Bei einigen Versionen dieses Trojaner erfolgt Erkennung schon nach ein bis zwei Tagen. Leider nicht schnell genug fuer den Anwender. Allerdings wird von einigen kostenpflichtigen AVs der CC-Serververkehr unterbunden und damit zumindestens die Verschluesselung verhindert.

Zitat:

Zitat von bombinho

Allerdings wird von einigen kostenpflichtigen AVs der CC-Serververkehr unterbunden und damit zumindestens die Verschluesselung verhindert.

Ja?
Wie?
Über die hosts?
Monitoring?

Hallo,

bei einem meiner Kunden hatte ebenfalls dieser virus (v70) zugeschlagen. Nach langer Recherche und vielem probieren ist mir aufgefallen, das die Dateien scheinbar gar nicht SOOOO verschlüsselt sind, wie man denkt.
Das Erste was auffiel, die MFT ist defekt. OK, Testdisk konnte da auch nix weiter ausrichten.

Im Anschluss die suche nach Recovery-tools. Gefunden hatte ich recoverMyFiles von GetData. Das ganze über die Dateien mit maximalen Sucheinstellungen gejagt, und siehe da, mindestens 90% der Files gefunden (habe es nicht einzeln überprüft, daher keine 100%) und diese auf ein anderes Medium gesichert. Der anschließende Test ergab: Falls alle Dateiendungen (pptx waren ZIP, einige Textfiles sahen komisch aus) wurden richtig erkannt und konnten nach dem Sichern wieder ohne Probleme genutzt werden.

Eventuell hilft das ja jemanden. Man sollte das glaub erstmal mit der Trial des Programmes versuchen... oder ein anderes Rettungstool nehmen..

Grüße

Student

Zitat:

Zitat von bombinho

Schuld sind alle und niemand. Das ist am bequemsten. Allerdings sind die AV-Hersteller relativ flott. Bei einigen Versionen dieses Trojaner erfolgt Erkennung schon nach ein bis zwei Tagen. Leider nicht schnell genug fuer den Anwender.

...
Aber die Anwender, die Emails mit Anhang einfach mal so öffnen, haben keine schuld ?
Ich mein, wenn man sich in der heutigen Zeit nicht mal ein wenig Zeit nimmt, die Sachen eher zu kontrollieren und nicht einfach alles und jedes anklickt, hätten die Leute viel weniger Probleme....

Hallo studentl,
Ich habe hier Testordner mit verschlüsselten Dateien der unterschiedlichsten Formate.
Alle verschlüsselt in der Form erTGGbHzuGNHJ.

AVI, BMP, DOC, DWG, DXF, EXE, JPG, TXT, XLS und ZIP

Ich habe eben recoverMyFiles von GetData auf diese Ordner losgelassen.
Nicht eine einzige Datei wurde erkannt, geschweige denn wiederhergestellt.
Selbst nachdem ich den Dateien die entsprechende Extension verpasst habe, lief recoverMyFiles drüber weg.

Testweise habe ich dann einen Scan auf dem gesamten Laufwerk gemacht.
Dabei wurden jede Menge gelöschter Dateien gefunden, aber eben nur gelöschte.

Zur Kontrolle habe ich dann den gesamten Order der verschlüsselten Dateien, einschließlich Unterordner, auf einen Stick kopiert und wieder gelöscht.
Auf diesen Stick habe ich nochmals recoverMyFiles gehetzt.
Das Ergebnis:
Im root waren zwei verschlüsselte Dateien, recoverMyFiles hat beide wieder angezeigt, allerdings nach wie vor verschlüsselt.
Weiterhin wurden über 12000 verlorene Dateiengefunden und als TXT deklariert, keine größer als 1MB.
Aus dem Inhalt einiger dieser Textdateien kann man erkennen, dass sie Bestandteil einer AutoCAD DWG-Datei waren. Einige enthielten Textpassagen aber die meisten nur kryptische UDF8- und UDF16-Zeichen.
Meines Erachtens handelt es sich hier um die Inhalte der einzelnen Sektoren, ohne Zusammenhang.
recoverMyFiles tut ja in dem Modus auch nix anderes als andere RAW-Recovery Tools.

Wenn Du 90% der Dateien wiederbeleben konntest, mache mal einen Step by Step Beitrag, am besten mit Screenshots.
Bist Du Dir überhaupt sicher, dass es sich bei den wiederhergestellten Dateien um die Verschlüsselten handelt?
Oder kann es sein, dass das vorher gelöschte Vorversionen waren?

Irgendwie fehlt mir der Glaube, dass RAW.Recoverer die modifizierten 12k am Anfang einer jeden Datei so einfach wegstecken.
Es sei denn, die Daten haben eine Blockstruktur und man findet Einspungpunkte in den Blöcken, wie beispielsweise bei MP3s und JPGs.
Aber das ist ja bekannt und dafür gibt es schon Tools.

Wirklich wichtig wäre eine effektive Methode Office-Dateien wiederherzustellen.

Volker

Zitat:

Zitat von seeadler

...
Aber die Anwender, die Emails mit Anhang einfach mal so öffnen, haben keine schuld ?
Ich mein, wenn man sich in der heutigen Zeit nicht mal ein wenig Zeit nimmt, die Sachen eher zu kontrollieren und nicht einfach alles und jedes anklickt, hätten die Leute viel weniger Probleme....

Das Problem bei der Sache ist nur, dass, wenn die E-Mail wie z.B. in meinem Fall angeblich von einer Firma kommt, bei der ich vor Jahren mal angemeldet war, ich mit meinem Namen angesprochen werde und dann ein horrender Betrag gefordert wird, ich erstmal nicht an eine Schadsoftware denke, sondern wissen will, was diese Firma (bei der man, wie gesagt, schon lange kein Kunde mehr ist) von einem will. Ich habe in den letzten 10 Jahren hunderte von Mails mit Schadsoftware bekommen, aber diese niemals geöffnet, weil ich schon im Vorfeld wusste, um was es sich handelte. Dort wurde ich allerdings auch nie mit meinem realen Namen angesprochen. Das war jetzt anders, und ich bin drauf reingefallen, weil die Autoren des Schädlings entweder die Datenbank (in der mein Name eigentlich nicht mehr vorhanden sein dürfte) gehackt haben, oder diese Firma (noch schlimmer!) meine Daten, nachdem ich dort abgemeldet war, weiterverkauft/gegeben hat und diese so auf irgendeinem Weg in die Hände dieser Verbrecher gelangen konnten.
Lange Rede, kurzer Sinn: Ich wollte damit nur verdeutlichen, dass selbst der "Übervorsichtigste" einmal in so eine Falle tappen kann, auch wenn man sich noch so viel Zeit lässt um zu kontrollieren, wie von dir gefordert.
Abschliessend möchte ich noch anmerken, dass ich mir allerdings auch bewusst bin, dass es Leute gibt, die wirklich alles anklicken, was sie sehen, ohne über mögliche Konsequenzen nachzudenken. Diesen Leuten ist allerdings wirklich nicht mehr zu helfen.

Hallo an alle! Ich habe eine Frage:

Mein Netbook war vor ein paar Tagen auch mit dem neuen Verschlüsselungstrojaner infiziert, aufgrund eines E-Mail-Anhang's. Doch habe ich ein neues Windows installiert (von Win 7 Starter zu Win 7 Home Premium), da ich für das Poblem keine Nerven mehr aufbingen konnte und bald verzweifelt bin.
Vor dem Neuaufsetzen konnte ich unmittelbar nach dem Hochfahren des Netbooks, noch bevor das Trojanerbild erschien, ein USB Stick anschließen, auf dem ich 10-12 veschlüsselte Bilder kopieren konnte...
Kann ich diese Bilder (.jpg) im Nachhinein totzdem "irgendwie" encodieren?
Diese Bilder sind mir nämlich extrem wichtig...

PS: Ein Bilddatei sieht ungefähr so aus:

dGnHgHvjbhvjbhbJGHbmkHBKk (ohne Datei-Endung) (unter Typ steht "Datei")

Dankeschön!

Zitat:

Zitat von Lars1111

Hallo an alle! Ich habe eine Frage:

Mein Netbook war vor ein paar Tagen auch mit dem neuen Verschlüsselungstrojaner infiziert, aufgrund eines E-Mail-Anhang's. Doch habe ich ein neues Windows installiert (von Win 7 Starter zu Win 7 Home Premium), da ich für das Poblem keine Nerven mehr aufbingen konnte und bald verzweifelt bin.
Vor dem Neuaufsetzen konnte ich unmittelbar nach dem Hochfahren des Netbooks, noch bevor das Trojanerbild erschien, ein USB Stick anschließen, auf dem ich 10-12 veschlüsselte Bilder kopieren konnte...
Kann ich diese Bilder (.jpg) im Nachhinein totzdem "irgendwie" encodieren?
Diese Bilder sind mir nämlich extrem wichtig...

PS: Ein Bilddatei sieht ungefähr so aus:

dGnHgHvjbhvjbhbJGHbmkHBKk (ohne Datei-Endung) (unter Typ steht "Datei")

Dankeschön!

nein, das wird nicht mehr klappen. Der Virus setzt eine verschlüsselte Katalogdatei ins System die á la EABD420EEDFA2.$02 heißt. In dieser sind die Schlüssel zu jeder einzelnen Datei gelistet, die ganze Datei ist verschlüsselt.
Wenn es eine Chance gibt zur Rettung , dann nur mit dieser Datei.

Wenn die Bilder groß genug waren hast Du vielleicht eine Chance das der User Forrest74 was mit seiner Programmlizenz zur Rettung von JPG machen kann.

Hallo Lars,
hast Du die Möglichkeit die Bilder in ein Archiv zu packen und irgendwo hoch zu laden?
Dann schaun wir mal.

Volker

Zitat:

Zitat von Undertaker

Ja?
Wie?
Über die hosts?
Monitoring?

Monitoring und Traffic-Replacement. Im Log kannst Du sehen, wo der eingehende Verkehr vom CC Server waere, ist nur der HTML-Hinweis auf blockierten Traffic.

Zitat:

Zitat von sonshice

Das Problem bei der Sache ist nur, dass, wenn die E-Mail wie z.B. in meinem Fall angeblich von einer Firma kommt, bei der ich vor Jahren mal angemeldet war, ich mit meinem Namen angesprochen werde und dann ein horrender Betrag gefordert wird, ich erstmal nicht an eine Schadsoftware denke, sondern wissen will, was diese Firma (bei der man, wie gesagt, schon lange kein Kunde mehr ist) von einem will. Ich habe in den letzten 10 Jahren hunderte von Mails mit Schadsoftware bekommen, aber diese niemals geöffnet, weil ich schon im Vorfeld wusste, um was es sich handelte. [Snip]

Die haben tatsaechlich Zugriff auf mindestens eine aeltere Kundendatenbank allerdings auch ein paar andere aeltere? Spamdatenbanken. Mittlerweilen bekomme ich von denen auch Post. Unter einem Namen, den schon andere Spammer vorher verwendet haben. In dem Fall generiert aus der Emailadresse.

Leider greifen in deinem Fall, bzw. auch anderer gleich zwei Mechanismen: "Er hat es ja selber gemacht, selbst schuld!" und deine erhoehte Sensibilitaet als Betroffener. Kannst Du nur das beste daraus machen und versuchen andere davor zu bewahren. Gefeit ist niemand. Der Coder braucht nur Zugriff auf eine 0day-Luecke zu bekommen und dann ist Lotto wer betroffen ist und wer nicht.
Das Ding ist ziemlich "professionell" gemacht und die arbeiten dran es besser zu machen. Allerdings ist der BWLer-Part im Team schlecht besetzt. Dort braucht es mehr Druck um die "Geschaeftsidee" am Laufen zu halten. Solange wie die Entschluesselung nicht funktioniert, werden Leute eher nicht gewillt sein, das Loesegeld zu zahlen. Und ich habe noch von keinem gehoert, wo die Entschluesselung erfolgt ist.