Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: XORT-Befall Windows 7 Datei-Wiederherstellung

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 13.05.2016, 10:22   #1
E-ibis
 
XORT-Befall  Windows 7  Datei-Wiederherstellung - Unglücklich

XORT-Befall Windows 7 Datei-Wiederherstellung



Hallo,
Jetzt hat es uns erwischt.. Wir sind ein kl. Elektrounternehmen mit 2 MA und haben keinen IT-Spezialisten an Bord.
Gestern haben wir ein E-mail mit einer Bewerbung bekommen.. die mich natürlich interessiert hat .. deshalb habe ich den Anhang (ZIP-Datei) versucht zu öffnen.

Ergebnis ist nun das jede Menge Daten , Bild , ZIP- Dateien unbrauchbar (vercodiert ?) geworden sind und nun NEU eine zusätzliche Endung ".XORT" aufweisen. Auf dem Desktop sind XORT-Key dateien und eine 00088.-Key Datei.

Es kommt auch ein Fenster hoch mit einer Meldung, daß man jemand über xorthelp@yandex.ru kontaktieren soll um die Dateien wieder decodiert zu bekommen - Erpressung ??


Fakt ist leider auch, dass wir keine aktuelle Datensicherung haben - ist leider "untergegangen" d.h. leider vernachlässigt worden...

Jetzt lassen sich unsere Standard Programme ELAB / Starmoney . nicht mehr starten weil
die Dateien nicht mehr gefunden werden können.

Das zunächst wichtigste für uns ist - denke ich -- dass wir unsere Daten wieder brauchbar bekommen , damit wir wieder an usere Systeme kommen. Natürlich sollte der Computer auch bereingt werden, bevor wir weitermachen.

Aktuell haben wir den Computer vom Netzwerk getrennt.

Kann uns jemand weiterhelfen ? Leider sind wir keine Computerprofis und laufen gerade mit 2 linken Händen und ganz schön verzweifelt rum.

FRST64 habe ich schon mal laufen lassen -> Anhang
Angehängte Dateien
Dateityp: txt FRST.txt (65,9 KB, 124x aufgerufen)
Dateityp: txt Addition.txt (33,5 KB, 129x aufgerufen)
Dateityp: txt xort.txt (439 Bytes, 117x aufgerufen)

Alt 13.05.2016, 11:42   #2
Curie
/// Malwareteam / Visitor
 
XORT-Befall  Windows 7  Datei-Wiederherstellung - Standard

XORT-Befall Windows 7 Datei-Wiederherstellung



Hallo E-ibis.

Mein Name ist Marie. Ich bin Malware-Analyst und habe mich auf Ransomware spezialisiert.

Die Ransomware auf Deinem Rechner nennt sich CrypVault oder VaultCrypt (je nachdem, welche AV-Bude Du fragst). Die Verschlüsselung von CrypVault ist nicht knackbar. Das heißt es wird auch in Zukunft keinen Decrypter geben.

Die einzige Chance auf Entschlüsselung Deiner Daten ohne Zahlung besteht darin, die verschlüsselten Datein zu sichern und zu hoffen, dass die Privatschlüssel der Ransomware in die Hände der Polizei fallen. Ich rate davon ab, eine Zahlung an die Kriminellen vorzunehmen. Häufig nehmen die sich nur das Geld, aber bieten keine Gegenleistung.

Eine Wiederherstellung mittels Datenwiederherstellungssoftware und Shadow Explorer kann glücken, falls die Ransomware nicht alles ordentlich ausführen könnte. Es ist nicht sonderlich wahrscheinlich, aber einen Versuch Wert. Ganz unten sind drei verschiedene Möglichkeiten aufgelistet. Eine Reinigung an einem Firmenrechner werde ich persönlich nicht vornehmen. Damit sind zu viele rechtliche Risiken verbunden und eigentlich solltet ihr eine IT-Abteilung oder IT-Support haben, welche das tun.

Vorgängerversionen
  • Rechtsklicke eine verschlüsselte Datei und klicke auf Einstellungen
  • Klicke Vorgängerversionen.
  • Dieser Tab listet alle Kopien der gewählten Datei und wann sie gesichert wurde.
  • Um eine bestimmte Version der Datei wiederherzustellen, klick Kopiere und wähle einen Ordner, in dem die Datei gespeichert werden soll.
  • Falls Du die existierende Datei mit der Version ersetzen willst, klicke Wiederherstellen
  • Falls Du den Inhalt der Datei vorher prüfen möchtest, klicke Öffnen

ShadowExplorer
  • Bitte lade die Datei ShadowExplorer runter und speichere sie auf Deinem Desktop.
  • Rechtsklicke ShadowExplorer-0.9-portable.zip und klicke Alle Extrahieren. Wähle den Desktop und klicke Extrahieren
  • Rechtsklicke ShadowExplorer.exe und wähle Als Administrator ausführen.
  • Du wirst ein Drop-Down-Menü sehen, das Dir die Schattenkopien aller Partitionen und Laufwerke zeigt.
  • Klicke C:\ im Menü.
  • Wähle rechts ein Datum vor der Infektion aus.
  • Um einen ganzen Ordner wiederherzustellen, klicke mit der rechten Maustaste auf den Ordner und klicke Export. Du wirst dann danach gefragt, wohin die wiederhergestellten Dateien gespeichert werden sollen.
Datenwiederherstellungssoftware
Datenwiederherstellungssoftware kann in der Lage sein die Originaldateien wiederherzustellen, welche von der Ransomware gelöscht wurden. Ich empfehle eines der folgenden Programme zu verwenden.
__________________


Geändert von Curie (13.05.2016 um 11:49 Uhr)

Alt 13.05.2016, 17:18   #3
E-ibis
 
XORT-Befall  Windows 7  Datei-Wiederherstellung - Standard

XORT-Befall Windows 7 Datei-Wiederherstellung



Hallo Marie,

Erst mal vielenm Dank.. - auch wenns keine guten Nachrichten sind.
Ich habe jetzt "Vorgängerversionen" und Shadow-Explorer probiert
leider beide male mit negativem Ergebnis.

Recuva läuft grad noch (seit ca. 2+ Std.)
-> Ich melde mich wennwas funktioniert hat.

Nun wäre ja noch das andere - hoffentlich kleinere - Problem - nämlich die Bereinigung des Systems. Könntest Du uns dabei auch unterstützen ?

Lg E-ibis
__________________

Alt 13.05.2016, 18:35   #4
Curie
/// Malwareteam / Visitor
 
XORT-Befall  Windows 7  Datei-Wiederherstellung - Standard

XORT-Befall Windows 7 Datei-Wiederherstellung



Wie gesagt:

Zitat:
Eine Reinigung an einem Firmenrechner werde ich persönlich nicht vornehmen. Damit sind zu viele rechtliche Risiken verbunden
Die meisten UNITE-Foren verweigern eine Reinigung von Firmenrechnern generell. Ich bin hier nur zu Gast und habe auf die Schnelle keine Regel diesbezüglich gesehen. Ich kann darum keine Aussage dazu treffen, ob andere Helfer hier eine Reinigung vornehmen würden.

Kleinere Firmen ohne IT-Abteilung oder IT-Spezialisten haben üblicherweise einen Vertrag mit einer IT-Firma, die den IT-Support leistet und dafür zuständig ist. Falls ihr sowas habt, nehmt das bitte in Anspruch.

Der Rechner ist böse infiziert, auch ohne die Ransomware. Ich persönlich würde bei einem Firmenrechner kein Risiko eingehen und ihn neu aufsetzen. Zieh vorher ein Backup von den verschlüsselten Dateien und den Dateien xort.KEY, xort.txt und <nummer>.KEY (für den Fall, dass ihr doch mal an die Privatschlüssel zum Entschlüsseln kommt).

Nachtrag: Hier ist die Trojanerboard-Regel bezüglich Firmenrechnern http://www.trojaner-board.de/108422-...-anfragen.html

Alt 18.05.2016, 16:44   #5
Curie
/// Malwareteam / Visitor
 
XORT-Befall  Windows 7  Datei-Wiederherstellung - Standard

XORT-Befall Windows 7 Datei-Wiederherstellung



Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen.


Antwort

Themen zu XORT-Befall Windows 7 Datei-Wiederherstellung
aktuelle, anhang, bild, computer, datei kann nicht geöffnet werden, datei-wiederherstellung, dateien, daten, datensicherung, desktop, e-mail, fenster, gen, help, meldung, natürlich, netzwerk, neu, nicht mehr, programme, standard, starten, systeme, windows, windows 7, xort-befall, zusätzliche



Ähnliche Themen: XORT-Befall Windows 7 Datei-Wiederherstellung


  1. Malware hat Dateien verschlüsselt .xort wurde angehängt
    Log-Analyse und Auswertung - 18.05.2016 (10)
  2. Windows 10 Rechner von XORT Virus befallen / Gibt es schon Decrypter ?
    Diskussionsforum - 03.05.2016 (9)
  3. .xort Dateiendung entschlüsseln? Crypto Trojaner/Malware
    Plagegeister aller Art und deren Bekämpfung - 25.03.2016 (1)
  4. Windows 10 Rechner von "XORT Virus" befallen
    Log-Analyse und Auswertung - 21.03.2016 (24)
  5. ZiP Datei geöffnet- unklar, ob Befall
    Plagegeister aller Art und deren Bekämpfung - 13.09.2015 (21)
  6. Windows 8.1: Virensuche [Whitescreen + Webcam] nach Wiederherstellung
    Log-Analyse und Auswertung - 03.02.2015 (8)
  7. Probleme mit der Wiederherstellung von Windows 8
    Alles rund um Windows - 03.05.2014 (13)
  8. Windows 7: Bluescreen nach Start,Wiederherstellung erfolgreich aber Malwareverdacht
    Log-Analyse und Auswertung - 25.02.2014 (19)
  9. Mahnung Zip Datei heruntergeladen und geöffnet - möglicher Befall
    Plagegeister aller Art und deren Bekämpfung - 23.08.2013 (11)
  10. GVU-Trojaner - Was ist besser - Windows neu oder Wiederherstellung?
    Plagegeister aller Art und deren Bekämpfung - 21.01.2013 (11)
  11. Windows startet nach (missglückter) Wiederherstellung nicht mehr
    Alles rund um Windows - 19.05.2012 (16)
  12. Wiederherstellung nach Windows Recovery unvollständig
    Plagegeister aller Art und deren Bekämpfung - 03.06.2011 (17)
  13. Nach Windows-Wiederherstellung: Angst ob System wieder sauber
    Plagegeister aller Art und deren Bekämpfung - 15.04.2011 (3)
  14. Wiederherstellung von Windows ohne Recovery Partition und DVD Laufwerk Problemen :/
    Netzwerk und Hardware - 02.02.2011 (5)
  15. Windows 7 Ultimate 64 Bit Startet nur noch mit eingelegter System CD oder Wiederherstellung CD
    Alles rund um Windows - 24.09.2010 (1)
  16. Acronis true Image ladet nach Wiederherstellung Standart Einstellungen von Windows
    Alles rund um Windows - 30.12.2009 (6)
  17. Trojaner versteckt sich in der Windows-Wiederherstellung
    Nachrichten - 24.09.2009 (0)

Zum Thema XORT-Befall Windows 7 Datei-Wiederherstellung - Hallo, Jetzt hat es uns erwischt.. Wir sind ein kl. Elektrounternehmen mit 2 MA und haben keinen IT-Spezialisten an Bord. Gestern haben wir ein E-mail mit einer Bewerbung bekommen.. die - XORT-Befall Windows 7 Datei-Wiederherstellung...
Archiv
Du betrachtest: XORT-Befall Windows 7 Datei-Wiederherstellung auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.