Zitat:

Zitat von reval

Hallo,
Ich habe Windows XP,
Ich habe genau diesen Trojaner aus spam mail getroffen,
viele meine Daten auf dem PC sind unbenannt gegangen,
meistens url files, jpg, usw.
Bitte, helfen, wie kann ich Daten wiedereinstellen,
den ShadowExplorer passt nicht für XP
Computer habe ich schon von viren saubergemacht.

moin moin reval,

bis auf die hier genannten Möglichkeiten und der Hinweise einiger Betroffener in ihren Beiträgen, gibt es momentan keine Lösung.

Volker

Zitat:

Zitat von Undertaker

moin moin reval,

bis auf die hier genannten Möglichkeiten und der Hinweise einiger Betroffener in ihren Beiträgen, gibt es momentan keine Lösung.

Volker

meine Files sind so umbenannt:

DeUVgrEnTptxuJqAel
gdxuvEjsDsUrgyEXaVt
grAqTpUfQvoneltGrOqj
jeVOEysetfrNqn
LlsdVgNonTpsGuvqjeD
lrAXeGsvrAyDpdVgJELT
neDUfuvEnsDtGr
nsDsxrgyApTVUJu
psfJgnAslVdrgnEX
svAsfJJLLllxxOgjjTT
uJojelsUrOqopaftJuLy
UrnasONAqaXdfQJEns
vAqapdfuJoneDsxrOqjX
VtvQLyDsGVONjnapUx
XdfOrEnaptGuJyAs

Das ist ja ein Ding.
Und was soll der Herr Undertaker jetzt machen?

Zitat:

Zitat von sonshice

Das ist ja ein Ding.
Und was soll der Herr Undertaker jetzt machen?

Wieso der Herr Undertaker? Nimmt da mal jmd die Virenscannerhersteller in Pflicht? Können die für den ganzen Schaden nicht mal aufkommen wenn manche schon von ihnen wie (sinngemäß) "unknackberer Schutz", "triple-Scan-Technology" marketingmäßige Sprüche reißen, bei dem jedem Admin eigenlich schlecht wird weil's schlicht dummfug ist?

Oder hat der arme User letzenendes doch allein Schuld weil er niemals Backups für nötig hielt?

@ cosinus

Das sollte eine Antwort an @reval sein. Da ich meinen eigenen Beitrag komischerweise nicht mehr ändern kann, war es mir nicht möglich, das Zitat von dem User noch einzufügen.

Tut mir leid, wenn es missverständlich rüberkam. Der Herr Undertaker macht hier einen guten Job. Leider muß er sich oft wiederholen, weil einige User offenbar nicht aufmerksam genug lesen. Dafür auf jeden Fall meinen Respekt, denn ich könnte das nicht.

Zitat:

Zitat von cosinus

Wieso der Herr Undertaker? Nimmt da mal jmd die Virenscannerhersteller in Pflicht? Können die für den ganzen Schaden nicht mal aufkommen wenn manche schon von ihnen wie (sinngemäß) "unknackberer Schutz", "triple-Scan-Technology" marketingmäßige Sprüche reißen, bei dem jedem Admin eigenlich schlecht wird weil's schlicht dummfug ist?

Oder hat der arme User letzenendes doch allein Schuld weil er niemals Backups für nötig hielt?

Schuld sind alle und niemand. Das ist am bequemsten. Allerdings sind die AV-Hersteller relativ flott. Bei einigen Versionen dieses Trojaner erfolgt Erkennung schon nach ein bis zwei Tagen. Leider nicht schnell genug fuer den Anwender. Allerdings wird von einigen kostenpflichtigen AVs der CC-Serververkehr unterbunden und damit zumindestens die Verschluesselung verhindert.

Zitat:

Zitat von bombinho

Allerdings wird von einigen kostenpflichtigen AVs der CC-Serververkehr unterbunden und damit zumindestens die Verschluesselung verhindert.

Ja?
Wie?
Über die hosts?
Monitoring?

Hallo,

bei einem meiner Kunden hatte ebenfalls dieser virus (v70) zugeschlagen. Nach langer Recherche und vielem probieren ist mir aufgefallen, das die Dateien scheinbar gar nicht SOOOO verschlüsselt sind, wie man denkt.
Das Erste was auffiel, die MFT ist defekt. OK, Testdisk konnte da auch nix weiter ausrichten.

Im Anschluss die suche nach Recovery-tools. Gefunden hatte ich recoverMyFiles von GetData. Das ganze über die Dateien mit maximalen Sucheinstellungen gejagt, und siehe da, mindestens 90% der Files gefunden (habe es nicht einzeln überprüft, daher keine 100%) und diese auf ein anderes Medium gesichert. Der anschließende Test ergab: Falls alle Dateiendungen (pptx waren ZIP, einige Textfiles sahen komisch aus) wurden richtig erkannt und konnten nach dem Sichern wieder ohne Probleme genutzt werden.

Eventuell hilft das ja jemanden. Man sollte das glaub erstmal mit der Trial des Programmes versuchen... oder ein anderes Rettungstool nehmen..

Grüße

Student

Zitat:

Zitat von Undertaker

Ja?
Wie?
Über die hosts?
Monitoring?

Monitoring und Traffic-Replacement. Im Log kannst Du sehen, wo der eingehende Verkehr vom CC Server waere, ist nur der HTML-Hinweis auf blockierten Traffic.

Zitat:

Zitat von sonshice

Das Problem bei der Sache ist nur, dass, wenn die E-Mail wie z.B. in meinem Fall angeblich von einer Firma kommt, bei der ich vor Jahren mal angemeldet war, ich mit meinem Namen angesprochen werde und dann ein horrender Betrag gefordert wird, ich erstmal nicht an eine Schadsoftware denke, sondern wissen will, was diese Firma (bei der man, wie gesagt, schon lange kein Kunde mehr ist) von einem will. Ich habe in den letzten 10 Jahren hunderte von Mails mit Schadsoftware bekommen, aber diese niemals geöffnet, weil ich schon im Vorfeld wusste, um was es sich handelte. [Snip]

Die haben tatsaechlich Zugriff auf mindestens eine aeltere Kundendatenbank allerdings auch ein paar andere aeltere? Spamdatenbanken. Mittlerweilen bekomme ich von denen auch Post. Unter einem Namen, den schon andere Spammer vorher verwendet haben. In dem Fall generiert aus der Emailadresse.

Leider greifen in deinem Fall, bzw. auch anderer gleich zwei Mechanismen: "Er hat es ja selber gemacht, selbst schuld!" und deine erhoehte Sensibilitaet als Betroffener. Kannst Du nur das beste daraus machen und versuchen andere davor zu bewahren. Gefeit ist niemand. Der Coder braucht nur Zugriff auf eine 0day-Luecke zu bekommen und dann ist Lotto wer betroffen ist und wer nicht.
Das Ding ist ziemlich "professionell" gemacht und die arbeiten dran es besser zu machen. Allerdings ist der BWLer-Part im Team schlecht besetzt. Dort braucht es mehr Druck um die "Geschaeftsidee" am Laufen zu halten. Solange wie die Entschluesselung nicht funktioniert, werden Leute eher nicht gewillt sein, das Loesegeld zu zahlen. Und ich habe noch von keinem gehoert, wo die Entschluesselung erfolgt ist.

Zitat:

Zitat von bombinho

Schuld sind alle und niemand. Das ist am bequemsten. Allerdings sind die AV-Hersteller relativ flott. Bei einigen Versionen dieses Trojaner erfolgt Erkennung schon nach ein bis zwei Tagen. Leider nicht schnell genug fuer den Anwender.

...
Aber die Anwender, die Emails mit Anhang einfach mal so öffnen, haben keine schuld ?
Ich mein, wenn man sich in der heutigen Zeit nicht mal ein wenig Zeit nimmt, die Sachen eher zu kontrollieren und nicht einfach alles und jedes anklickt, hätten die Leute viel weniger Probleme....

Zitat:

Zitat von seeadler

...
Aber die Anwender, die Emails mit Anhang einfach mal so öffnen, haben keine schuld ?
Ich mein, wenn man sich in der heutigen Zeit nicht mal ein wenig Zeit nimmt, die Sachen eher zu kontrollieren und nicht einfach alles und jedes anklickt, hätten die Leute viel weniger Probleme....

Das Problem bei der Sache ist nur, dass, wenn die E-Mail wie z.B. in meinem Fall angeblich von einer Firma kommt, bei der ich vor Jahren mal angemeldet war, ich mit meinem Namen angesprochen werde und dann ein horrender Betrag gefordert wird, ich erstmal nicht an eine Schadsoftware denke, sondern wissen will, was diese Firma (bei der man, wie gesagt, schon lange kein Kunde mehr ist) von einem will. Ich habe in den letzten 10 Jahren hunderte von Mails mit Schadsoftware bekommen, aber diese niemals geöffnet, weil ich schon im Vorfeld wusste, um was es sich handelte. Dort wurde ich allerdings auch nie mit meinem realen Namen angesprochen. Das war jetzt anders, und ich bin drauf reingefallen, weil die Autoren des Schädlings entweder die Datenbank (in der mein Name eigentlich nicht mehr vorhanden sein dürfte) gehackt haben, oder diese Firma (noch schlimmer!) meine Daten, nachdem ich dort abgemeldet war, weiterverkauft/gegeben hat und diese so auf irgendeinem Weg in die Hände dieser Verbrecher gelangen konnten.
Lange Rede, kurzer Sinn: Ich wollte damit nur verdeutlichen, dass selbst der "Übervorsichtigste" einmal in so eine Falle tappen kann, auch wenn man sich noch so viel Zeit lässt um zu kontrollieren, wie von dir gefordert.
Abschliessend möchte ich noch anmerken, dass ich mir allerdings auch bewusst bin, dass es Leute gibt, die wirklich alles anklicken, was sie sehen, ohne über mögliche Konsequenzen nachzudenken. Diesen Leuten ist allerdings wirklich nicht mehr zu helfen.