Zitat:

Zitat von bombinho

Allerdings wird von einigen kostenpflichtigen AVs der CC-Serververkehr unterbunden und damit zumindestens die Verschluesselung verhindert.

Ja?
Wie?
Über die hosts?
Monitoring?

Hallo,

bei einem meiner Kunden hatte ebenfalls dieser virus (v70) zugeschlagen. Nach langer Recherche und vielem probieren ist mir aufgefallen, das die Dateien scheinbar gar nicht SOOOO verschlüsselt sind, wie man denkt.
Das Erste was auffiel, die MFT ist defekt. OK, Testdisk konnte da auch nix weiter ausrichten.

Im Anschluss die suche nach Recovery-tools. Gefunden hatte ich recoverMyFiles von GetData. Das ganze über die Dateien mit maximalen Sucheinstellungen gejagt, und siehe da, mindestens 90% der Files gefunden (habe es nicht einzeln überprüft, daher keine 100%) und diese auf ein anderes Medium gesichert. Der anschließende Test ergab: Falls alle Dateiendungen (pptx waren ZIP, einige Textfiles sahen komisch aus) wurden richtig erkannt und konnten nach dem Sichern wieder ohne Probleme genutzt werden.

Eventuell hilft das ja jemanden. Man sollte das glaub erstmal mit der Trial des Programmes versuchen... oder ein anderes Rettungstool nehmen..

Grüße

Student

Zitat:

Zitat von Undertaker

Ja?
Wie?
Über die hosts?
Monitoring?

Monitoring und Traffic-Replacement. Im Log kannst Du sehen, wo der eingehende Verkehr vom CC Server waere, ist nur der HTML-Hinweis auf blockierten Traffic.

Zitat:

Zitat von sonshice

Das Problem bei der Sache ist nur, dass, wenn die E-Mail wie z.B. in meinem Fall angeblich von einer Firma kommt, bei der ich vor Jahren mal angemeldet war, ich mit meinem Namen angesprochen werde und dann ein horrender Betrag gefordert wird, ich erstmal nicht an eine Schadsoftware denke, sondern wissen will, was diese Firma (bei der man, wie gesagt, schon lange kein Kunde mehr ist) von einem will. Ich habe in den letzten 10 Jahren hunderte von Mails mit Schadsoftware bekommen, aber diese niemals geöffnet, weil ich schon im Vorfeld wusste, um was es sich handelte. [Snip]

Die haben tatsaechlich Zugriff auf mindestens eine aeltere Kundendatenbank allerdings auch ein paar andere aeltere? Spamdatenbanken. Mittlerweilen bekomme ich von denen auch Post. Unter einem Namen, den schon andere Spammer vorher verwendet haben. In dem Fall generiert aus der Emailadresse.

Leider greifen in deinem Fall, bzw. auch anderer gleich zwei Mechanismen: "Er hat es ja selber gemacht, selbst schuld!" und deine erhoehte Sensibilitaet als Betroffener. Kannst Du nur das beste daraus machen und versuchen andere davor zu bewahren. Gefeit ist niemand. Der Coder braucht nur Zugriff auf eine 0day-Luecke zu bekommen und dann ist Lotto wer betroffen ist und wer nicht.
Das Ding ist ziemlich "professionell" gemacht und die arbeiten dran es besser zu machen. Allerdings ist der BWLer-Part im Team schlecht besetzt. Dort braucht es mehr Druck um die "Geschaeftsidee" am Laufen zu halten. Solange wie die Entschluesselung nicht funktioniert, werden Leute eher nicht gewillt sein, das Loesegeld zu zahlen. Und ich habe noch von keinem gehoert, wo die Entschluesselung erfolgt ist.