1. Regel der Datenrettung: Nie auf dem Originaldatentraeger schreiben. Und nie meint nie ohne Ausnahme bis eine erfolgreiche Datenrettung abgeschlossen ist.

Aber korrekt ist, hat man keine alternativen Datentraeger und ist bereit Kompromisse einzugehen und die Daten erstmal abgeschrieben hat, dann ist alles, was man wiederbekommt ein Gewinn.

Bei Vorhandensein von mehreren Partitionen wuerde ich mir das von Malwarebytes.org vermittelte Wissen zunutze machen, und die originale Partitionstabelle von Hand wiederherstellen. Dann sind unter Umstaenden wenigstens die anderen Partitionen nutzbar.

Die Systempartition ist vermutlich Schrott, wenn nicht ein Wunder geschieht. Aber wir hatten ja schon ein oder zwei davon.

Vielleicht solltet ihr noch zusätzlich erwähnen, dass das BIOS sich NICHT auf der Festplatte befindet.

Zitat:

Das kann so garnicht sein. Vllt kann das Windows-Setup die Partitionen nicht mehr lesen, weil nicht nur die MFT verschlüsselt wurde. Windows weigert sich auch von einem intakten Dateisystem zu lesen, wenn es auf dem "falschen" Partitionstyp liegt. (zB bei Linux-fdisk kannst du das schön sehen und editieren)

cosinus ich kann dir nur sagen das mir mein Bekannter sagte das das Windows Setup die Festplatte nicht erkennen/finden konnte und das das Dateisystem der Festplatte wohl geändert wurde und nicht mehr NTFS war. Ob er die Festplatte ausgebaut hatte und an einem anderen PC angeschlossen hatte, das weiß ich nicht habe ich auch nicht danach gefragt.

Zitat:

Zitat von Fragerin

Vielleicht solltet ihr noch zusätzlich erwähnen, dass das BIOS sich NICHT auf der Festplatte befindet.

Vllt sollten wir bei petya auch erwähnen, dass da kein echter Totenschädel im Monitor sitzt

Zitat:

Zitat von purzelbär

cosinus ich kann dir nur sagen das mir mein Bekannter sagte das das Windows Setup die Festplatte nicht erkennen/finden konnte und das das Dateisystem der Festplatte wohl geändert wurde und nicht mehr NTFS war. Ob er die Festplatte ausgebaut hatte und an einem anderen PC angeschlossen hatte, das weiß ich nicht habe ich auch nicht danach gefragt.

So, das ist schonmal Quatsch. Ich denke hier werden wieder mehrere Dinge in einen Topf geworfen.

1.) Wenn die Platte angeblich nicht gefunden wurde, kann dein Bekannter nicht wissen, welche Dateisysteme Windows auf den Partitionen überhaupt noch erkannt hat

2.) eine Partition ist keine Festplatte, sondern immer nur ein Bereich (Intervall) auf einer Platte, der sich von Sektor A-N erstreckt

3.) wenn petya das Dateisystem und den MBR zerschießt ist es nicht wirklich verwunderlich, dass Windows nicht mehr unbedingt ein NTFS erkennt wo ein NTFS sein sollte

4.) MBR, Partition, Dateisystem...das sind alles Dinge die sich auf der Platte selbst abspielen, für das Betriebssystem und den Menschen wichtig sind um die Platte vernünftig benutzen zu können, aber die Platte selbst weiß von diesen Konstrukten im Prinzip nix. Sie ist ja nur ein "dummes" blockdevice.

Also nochmal kurz: das Windows-Setup von DVD muss auch eine infizierte Platte sehen, also auf jeden Falls das Gerät selbst. Aber wie es die Partitionen erkennt steht auf einem anderen Blatt. Auf jeden Fall kann man aus dem Windows-Setup alle Partitionen löschen, neu erstellen, einen neuen MBR schreiben oder eben die Platte komplett nullen wenn man denn unbedingt will.

Neue Erkenntnisse von G-Data zu Petya die Usern mit Geduld Hoffnung machen könnten:

Zitat:

Wie G Data betont, geht der Zugang zu den Festplatten des Systems erst nach Bestätigung dieses Schrittes verloren. Außerdem habe man bisher keine Hinweise darauf gefunden, dass Petya Festplatten tatsächlich verschlüsselt. Vielmehr scheine es demnach so, als ob die Angreifer einen Weg gefunden hätten, den "Zugang zu Dateien zu blockieren", die einzelnen Inhalte würden aber offenbar nicht verschlüsselt. Jetzt müssten die Experten weitere Analysen durchführen, um den neuen Ransomware-Typus noch besser zu verstehen. Trojaner, Schadsoftware, Erpressung, Ransomware, Petya G Data

Quelle: http://winfuture.de/news,91710.html

Zitat:

Zitat von Fragerin

Vielleicht solltet ihr noch zusätzlich erwähnen, dass das BIOS sich NICHT auf der Festplatte befindet.

Naja, das muss nicht korrekt sein. Zum einen koennen sich Kopien des Bios bei manchen Herstellern auf der Platte befinden, quasi als Sicherungsmasznahme und zum anderen ist das Bios ja bei neueren Rechnern oft kein Bios mehr sondern eine Biosemulation von der UEFI Firmware, welche wiederum Module auf der Festplatte haben kann.

Aber richtig ist, dass sich die beim Start auszufuehrenden Startroutinen zumindestens teilweise auf dem (x)ROM befinden muessen.

Kann es bei modernen Systemen mit UEFI echt sein, dass man nicht mehr ins Setup kommt, weil die Festplatte kaputt oder überschrieben ist? Ich komme ganz ohne Festplatte problemlos in mein BIOS...

Zitat:

Zitat von Fragerin

Kann es bei modernen Systemen mit UEFI echt sein, dass man nicht mehr ins Setup kommt, weil die Festplatte kaputt oder überschrieben ist? Ich komme ganz ohne Festplatte problemlos in mein BIOS...

Zumindestens vorlaeufig nicht. Aber UEFI ist sehr flexibel und kann zum Beispiel das Laden einer eigenen Benutzeroberflaeche erlauben, das wuerde dann von der Platte nachgeladen werden ohne sich um die Partitionstabelle oder das zu ladende Betriebssystem zu kuemmern.

Es koennte hoechstens kritisch werden, wenn die Sicherheitskopie auf der Platte zur selben Zeit zerschossen wird wie die Laderoutine im Bios. Im Prinzip ist dann meist ein Urloader implementiert, welcher in einem ROM sitzt und nicht umprogrammiert werden kann. Der wuerde im Falle eines als nicht startbar gekennzeichneten Bios versuchen, das Bios wieder von der Platte zu laden. Ist dieses auch hinueber, ist es natuerlich unguenstig und abhaengig, was der Hersteller implementiert hat, wie dann verfahren wird.

Es ist auch denkbar, dass der Inhalt des (x)PROMs mit der Kopie auf der Platte beim Startvorgang verglichen wird aber das wuerde dann die Frage aufwerfen, welches von beiden denn tatsaechlich manipuliert ist.

Machbar ist vieles und es ist am Ende vom Hersteller abhaengig, ob und wie zusaetzliche Sicherheit geboten wird.

Es gibt wohl schon Hersteller, die ein Modul anbieten, welches einen Browser und einen Mediaplayer beinhaltet. Und da das Ganze sehr einfach aufgebaut ist, ist es quasi fast sofort nach dem Einschalten funktionsfaehig.

Der Ersteller des UEFI Moduls ist in der gluecklichen Position, er muss sich weder um Kompatibilitaeten mit anderer Software oder Hardware kuemmern und hat obendrein noch die Hardwarespezifikationen zur Verfuegung.

Zitat:

Zitat von Fragerin

Kann es bei modernen Systemen mit UEFI echt sein, dass man nicht mehr ins Setup kommt, weil die Festplatte kaputt oder überschrieben ist? Ich komme ganz ohne Festplatte problemlos in mein BIOS...

Das kann auch schon passieren, wenn man noch ein altes System mit nur BIOS hat. So einen Fall hatte ich vor ein paar Jahren bei Nachbar's Notebook gesehen...defekte Platte war drin, hat alles blockiert. Man ist nichtmal mehr ins BIOS gekommen, kurz: das System war quasi tot, nicht mehr benutzbar.

Okay, da hat Cosinus allerdings recht, wenn das Bios nicht ueber die beep codes hinauskommt, dann ist es Essig.

Aber soweit mag ich (bei Malware) nicht mal denken, gleichwohl ein Niederlaender? zu dem Thema mal referriert hat.

https://www.youtube.com/watch?v=HitPEFU7EVY

Naja, bei solchen Fehlern muss man dann halt sehen und systematisch vorgehen. Ein Laufwerk nach dem anderen abklemmen und schauen ob das System (POST) dann hochkommt bis man das schuldige Gerät identifiziert hat. Das hat jetzt aber nix mit Infektionen/malware zu tun

Naja, Angriffe auf die Hardware sind jetzt auch nichts ganz Neues bei Malware.

Wenn man mal die derzeitigen Trends weiterspinnt, dann koennte auch ein Malwareschreiber mal auf die Idee kommen, die Firmware der Festplatte zu manipulieren, machbar ist das offensichtlich und die einzige Voraussetzung dafuer sind Adminrechte.

Wozu denn die Firmware der Platte ändern, der Aufwand ist doch viel zu hoch. Es ist doch viel einfacher auf die Blödheit der Masse zu setzen:

- der User bekommt eine Spam-Mail aus sonderbare Quelle, dort ist ein Link auf eine Datei in Dropbox
- klickt auf den Link und landet auf der Dropbox-Seite
- lädt selbstverständlich die Datei da runter (das geht bei Dropbox aber nicht automatisch, da kommt man zu einem Dialog und muss gezielt "download" wählen!)
- der User entpackt das heruntergeladene Archiv und startet selbstversändlich die entpackte ausführbare Datei
- da das Virus Admin-Rechte braucht, fragt Windows nochmals nach einer Bestätigung (UAC)
- User nickt die Bestätigung natürlich ab




Wenn man soviel Mithilfe seiner Opfer erwarten kann, kommt für die Masse eher nochmehr davon als doch eher sowas Gezielteres wie Firmware-Manipulationen. Ich weiß nicht genau wie das funktionieren kann, stelle mir aber so eine Art undokumentierte SATA-Befehle vor, mit der man die Firmware in der Platte irgendwann überreden kann, sich zu ändern/überschreiben - aber dann müsste der Pöhsewicht ja auch schon genau wissen welche Firmware auf welche Platte genau da er raufpacken will und woher weiß er eigentlich, dass die "geheimen" SATA-Befehle bei jedem Modell oder gar Herstellerübgreifend gleich sind?

Wie stellt denn der Pöhsewicht sicher, dass seine neue gepatchte Firmware keine Bugs hat, die zu einem no booter führen?

Ich glaub, der Aufwand rechnet sich einfach nicht nicht. Oder kannst du das Gegenteil beweisen/erörtern?

Prinzipiell richtig, aber wenn es um blosse Zerstoerungswut geht, muss man sich keine Gedanken um das was und wo machen sondern einfach nur ein paar Nullen schreiben und fertig.