Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Ransomware Angriff - Alle Dateien verschlüsselt mit RSA4096 Verschlüsselung

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 15.06.2016, 18:41   #1
Barchetta
 
Ransomware Angriff - Alle Dateien verschlüsselt mit RSA4096 Verschlüsselung - Standard

Ransomware Angriff - Alle Dateien verschlüsselt mit RSA4096 Verschlüsselung



Hallo zusammen,
gestern fand o.g. Angriff (leider) erfolgreich statt. Vermutlich via Öffnen durch eine Meldung "Installieren sie diese Datei", genau weiß ich es nicht da dies bei meiner besseren Hälfte passierte.

Mein Virenscanner (Bullguard) war auf Stufe "Hoch" und nicht auf "Maximal" eingestellt. Möglicherweise erkannte er es deswegen nicht.

Textinhalt siehe Anhang "CCECD5791E4B.txt".

Das Ergebnis meines Virenscanners von gestern Abend siehe "Bullguard Ergebnis.jpg". Mehr Logfiles von meinem Virenscanner mit einem Fund habe ich nicht.

Punkt 2, Schritt 1 "Systemscan mit FRST64" hat nicht geklappt wegen "Inkompatibilität", 64-Bit System. Ich hab aber 64 Bit und das richtige File runter geladen.

Momentaner Stand: Alle Dateien verschlüsselt, ich soll eine Entschlüsselungsdatei runterladen, nach 100 Stunden kostet es das doppelte (jetzt 1.2 BitCoin). Ich habe probiert eine Bilddatei wieder in eine jpg-Datei umzubenennen, hat nicht geklappt. Komischerweise hatten sie gestern noch eine kryptische Endung, heute ist diese wieder normal. Aber der Typ steht nach wie vor "KRYPZ" ...

So ich hoffe ich habe alles...vielen Dank schon mal für eure Hilfe!
Miniaturansicht angehängter Grafiken
-bullguard-ergebnis.jpg  

Alt 15.06.2016, 20:43   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Ransomware Angriff - Alle Dateien verschlüsselt mit RSA4096 Verschlüsselung - Standard

Ransomware Angriff - Alle Dateien verschlüsselt mit RSA4096 Verschlüsselung



Zitat:
Ich habe probiert eine Bilddatei wieder in eine jpg-Datei umzubenennen, hat nicht geklappt.
Natürlich klappt das nicht, so einfach ist die Welt nicht.

Die Bereinigung ist meistens kein Thema aber dennoch sollte man wissen was du dir vorstellst um die Dateien zu recovern. Entschlüsselung ist nämlich bei aktuellen ransoms meistens unmöglich oder mit sehr Hoffnung und Warterei verbunden. Eine Bereinigung holt deine Dateien nicht zurück! Das kann nur ein Backup oder wenn vorhanden ein decrypter.

Siehe https://id-ransomware.malwarehunterteam.com/
__________________

__________________

Alt 15.06.2016, 21:18   #3
Barchetta
 
Ransomware Angriff - Alle Dateien verschlüsselt mit RSA4096 Verschlüsselung - Standard

Ransomware Angriff - Alle Dateien verschlüsselt mit RSA4096 Verschlüsselung



Kann ich denn einen USB Stick benutzen oder ist der dann auch befallen sobald der eingesteckt wird?
__________________

Alt 15.06.2016, 21:22   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Ransomware Angriff - Alle Dateien verschlüsselt mit RSA4096 Verschlüsselung - Standard

Ransomware Angriff - Alle Dateien verschlüsselt mit RSA4096 Verschlüsselung



USB-Stick welchen Zweck soll der erfüllen?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 15.06.2016, 21:54   #5
Barchetta
 
Ransomware Angriff - Alle Dateien verschlüsselt mit RSA4096 Verschlüsselung - Standard

Ransomware Angriff - Alle Dateien verschlüsselt mit RSA4096 Verschlüsselung



Ich muss Bilder aus dem Netz runter laden, hat nix mit dem Problem zu tun.

Bereinigung: sorry, bin nicht der EDV Profi, aber was verstehst du unter "recovern"?
Backup und decrypter sind nicht vorhanden, bzw. decrypter ja nur gegen "Entgelt" ...


Alt 15.06.2016, 22:02   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Ransomware Angriff - Alle Dateien verschlüsselt mit RSA4096 Verschlüsselung - Standard

Ransomware Angriff - Alle Dateien verschlüsselt mit RSA4096 Verschlüsselung



Wie gesagt, ich hab dir da nen Link gepostet. Darüber musst du mal checken welchen ransom du hast und ob es einen decryypter gibt.
__________________
--> Ransomware Angriff - Alle Dateien verschlüsselt mit RSA4096 Verschlüsselung

Alt 16.06.2016, 07:30   #7
Barchetta
 
Ransomware Angriff - Alle Dateien verschlüsselt mit RSA4096 Verschlüsselung - Standard

Ransomware Angriff - Alle Dateien verschlüsselt mit RSA4096 Verschlüsselung



Hallo Cosinus,
der Link teilt mir mit das es keine Möglichkeit gibt. Benötigst du den genauen Wortlaut?

Alt 16.06.2016, 08:21   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Ransomware Angriff - Alle Dateien verschlüsselt mit RSA4096 Verschlüsselung - Standard

Ransomware Angriff - Alle Dateien verschlüsselt mit RSA4096 Verschlüsselung



Nö, das dachte ich mir schon. Deine Daten werden wohl weg sein da du ja auch kein Backup hast. Bezahlen soll man die Erpresser nur im allergrößten Notfall, wenn Leben/Existenzen von diesen Daten abhängig sind (zB Daten weg = Firmenpleite)


Es bestehen noch theoretische Chancen, die Daten mit folgenden Methoden zu recovern:

Vorgängerversionen
  • Rechtsklicke eine verschlüsselte Datei und klicke auf Einstellungen
  • Klicke Vorgängerversionen.
  • Dieser Tab listet alle Kopien der gewählten Datei und wann sie gesichert wurde.
  • Um eine bestimmte Version der Datei wiederherzustellen, klick Kopiere und wähle einen Ordner, in dem die Datei gespeichert werden soll.
  • Falls Du die existierende Datei mit der Version ersetzen willst, klicke Wiederherstellen
  • Falls Du den Inhalt der Datei vorher prüfen möchtest, klicke Öffnen

ShadowExplorer
  • Bitte lade die Datei ShadowExplorer runter und speichere sie auf Deinem Desktop.
  • Rechtsklicke ShadowExplorer-0.9-portable.zip und klicke Alle Extrahieren. Wähle den Desktop und klicke Extrahieren
  • Rechtsklicke ShadowExplorer.exe und wähle Als Administrator ausführen.
  • Du wirst ein Drop-Down-Menü sehen, das Dir die Schattenkopien aller Partitionen und Laufwerke zeigt.
  • Klicke C:\ im Menü.
  • Wähle rechts ein Datum vor der Infektion aus.
  • Um einen ganzen Ordner wiederherzustellen, klicke mit der rechten Maustaste auf den Ordner und klicke Export. Du wirst dann danach gefragt, wohin die wiederhergestellten Dateien gespeichert werden sollen.
Datenwiederherstellungssoftware
Datenwiederherstellungssoftware kann in der Lage sein die Originaldateien wiederherzustellen, welche von der Ransomware gelöscht wurden. Ich empfehle eines der folgenden Programme zu verwenden.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 16.06.2016, 18:49   #9
Barchetta
 
Ransomware Angriff - Alle Dateien verschlüsselt mit RSA4096 Verschlüsselung - Standard

Ransomware Angriff - Alle Dateien verschlüsselt mit RSA4096 Verschlüsselung



ein erstes Ergebnis mit der Software "TestDisk" - siehe Screenshot...
Miniaturansicht angehängter Grafiken
-1.tes-ergebnis.jpg  

Alt 16.06.2016, 20:55   #10
Barchetta
 
Ransomware Angriff - Alle Dateien verschlüsselt mit RSA4096 Verschlüsselung - Standard

Ransomware Angriff - Alle Dateien verschlüsselt mit RSA4096 Verschlüsselung



Zitat:
Zitat von Barchetta Beitrag anzeigen
ein erstes Ergebnis mit der Software "TestDisk" - siehe Screenshot...
Zur Info: Vorgängerversionen und ShadowExplorer funktionieren nicht

Zitat:
Zitat von Barchetta Beitrag anzeigen
ein erstes Ergebnis mit der Software "TestDisk" - siehe Screenshot...
was bedeutet das Ergebnis eigentlich?

Alt 17.06.2016, 08:59   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Ransomware Angriff - Alle Dateien verschlüsselt mit RSA4096 Verschlüsselung - Standard

Ransomware Angriff - Alle Dateien verschlüsselt mit RSA4096 Verschlüsselung



Zitat:
Vorgängerversionen und ShadowExplorer funktionieren nicht
Natürlich funktioniert so eine Software wie ShadowExplorer. Wenn aber keine Schattenkopien mehr da sind, weil der Schädling alles gelöscht hat, ist das nicht die Schuld von den Vorgängerversionen oder ShadowExplorer

Zitat:
was bedeutet das Ergebnis eigentlich?
Du möchtest bitte mal die Testdisk Doku lesen bevor du mit so einem mächtigen Tool an den Platten schraubst => CGSecurity - Data recovery: TestDisk & PhotoRec
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 17.06.2016, 09:39   #12
Barchetta
 
Ransomware Angriff - Alle Dateien verschlüsselt mit RSA4096 Verschlüsselung - Standard

Ransomware Angriff - Alle Dateien verschlüsselt mit RSA4096 Verschlüsselung



Nur um Missverständnisse zu vermeiden: ich habe nur gesagt das es nicht funktioniert hat, nicht das die ausführende Software daran schuld ist.

Alt 17.06.2016, 10:13   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Ransomware Angriff - Alle Dateien verschlüsselt mit RSA4096 Verschlüsselung - Standard

Ransomware Angriff - Alle Dateien verschlüsselt mit RSA4096 Verschlüsselung



Genau deswegen hab ich ja darauf herumgeritten, weil bei Laien, die hier mitlesen, schnell der Eindruck entstehen könnte, dass der ShadowExplorer schuld daran sei, dass nix in den Schattenkopien zu sehen ist.

Ich weiß noch, vor ein paar Jahren bei den ersten Verschlüsselungstrojanern, hat sich jmd beschwert, dass wir nur Lösungen für Vista und 7 anbieten würden obwohl ja sooo viele noch mit XP arbeiten. Dass es bei XP dieses Feature mit den Schattenkopien nicht gibt wurde dann überlesen...
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 22.06.2016, 11:51   #14
Barchetta
 
Ransomware Angriff - Alle Dateien verschlüsselt mit RSA4096 Verschlüsselung - Standard

Ransomware Angriff - Alle Dateien verschlüsselt mit RSA4096 Verschlüsselung



Kurze Zwischeninfo:
Ich bin noch dabei Viren von meinem PC zu entfernen, benutze dafür "Desindec't", ist wirklich gut. Leider so gut das ich echt überrascht bin wieviele der findet...
Photorec/Testdisc hat gut funktioniert, konnte einige wieder herstellen...

Alt 22.06.2016, 13:23   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Ransomware Angriff - Alle Dateien verschlüsselt mit RSA4096 Verschlüsselung - Standard

Ransomware Angriff - Alle Dateien verschlüsselt mit RSA4096 Verschlüsselung



Wie viel er findet ist irrelevant....wichtig ist was und wo...
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu Ransomware Angriff - Alle Dateien verschlüsselt mit RSA4096 Verschlüsselung
angriff, anhang, bessere, bilddatei, bullguard, datei, dateien, doppel, erfolgreich, ergebnis, fund, griff, hallo zusammen, heute, hilfe!, installieren, logfiles, meldung, runter, scan, scanner, verschlüsselung, virenscan, virenscanner, zusammen



Ähnliche Themen: Ransomware Angriff - Alle Dateien verschlüsselt mit RSA4096 Verschlüsselung


  1. RSA4096 hat meine Daten verschlüsselt wie bekomme ich sie wieder
    Plagegeister aller Art und deren Bekämpfung - 10.02.2016 (3)
  2. Ransomware eingefangen. Alle persönl. Dateien verschlüsselt.
    Plagegeister aller Art und deren Bekämpfung - 22.01.2016 (6)
  3. Windows 7 offenbar von Trojaner befallen der alle Dateien mit.vvv verschlüsselt
    Log-Analyse und Auswertung - 22.12.2015 (15)
  4. Ransomware, how_recover+oho.txt, Dateien als .vvv verschlüsselt
    Plagegeister aller Art und deren Bekämpfung - 15.12.2015 (6)
  5. Windows XP: Alle Dateien wurden mittels CryptoWall 3.0 verschlüsselt
    Log-Analyse und Auswertung - 21.11.2015 (4)
  6. Chimera Ransomware eingefangen - Alle Dokumente verschlüsselt - gibts nen Decryptor?
    Log-Analyse und Auswertung - 22.10.2015 (1)
  7. ROTO Virus verschlüsselt alle Dateien
    Plagegeister aller Art und deren Bekämpfung - 30.06.2015 (3)
  8. Alle Dateien haben eine ECC Verschlüsselung bekommen
    Plagegeister aller Art und deren Bekämpfung - 29.04.2015 (5)
  9. Alle Dateien durch Howdecrypt Virus verschlüsselt - Entschlüsselungsversuche bisher erfolglos!
    Plagegeister aller Art und deren Bekämpfung - 08.03.2014 (26)
  10. BKA Trojaner verschlüsselt alle Dateien... ich hab kein Original !
    Log-Analyse und Auswertung - 02.04.2013 (1)
  11. Trojaner-kann keine Dateien mehr öffnen-alle verschlüsselt
    Plagegeister aller Art und deren Bekämpfung - 04.03.2013 (5)
  12. BKA Trojaner - alle Dateien verschlüsselt
    Plagegeister aller Art und deren Bekämpfung - 23.07.2012 (1)
  13. Trojaner Alle Dateien verschlüsselt
    Log-Analyse und Auswertung - 06.06.2012 (4)
  14. Nach neuem Trojaner alle Dateien verschlüsselt!
    Plagegeister aller Art und deren Bekämpfung - 04.06.2012 (32)
  15. Trojaner 1.140.1, Alle Dateien verschlüsselt
    Log-Analyse und Auswertung - 02.06.2012 (1)
  16. alle doc-Dateien verschlüsselt
    Plagegeister aller Art und deren Bekämpfung - 22.05.2012 (7)
  17. Nach einer Rechnungsmail sind alle jpq Dateien umbenannt und verschlüsselt
    Plagegeister aller Art und deren Bekämpfung - 22.05.2012 (2)

Zum Thema Ransomware Angriff - Alle Dateien verschlüsselt mit RSA4096 Verschlüsselung - Hallo zusammen, gestern fand o.g. Angriff (leider) erfolgreich statt. Vermutlich via Öffnen durch eine Meldung "Installieren sie diese Datei", genau weiß ich es nicht da dies bei meiner besseren Hälfte - Ransomware Angriff - Alle Dateien verschlüsselt mit RSA4096 Verschlüsselung...
Archiv
Du betrachtest: Ransomware Angriff - Alle Dateien verschlüsselt mit RSA4096 Verschlüsselung auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.