Zitat:

Wo ist eure Datensicherung?

Ich schäze mal: es gibt keine Datensicherung.
Nicht uninteressant wäre auch, was für ein Windows wird genutzt? Windows 10 oder Windows 11 und welche Version? ist es also 22H2 oder eine ältere Version? oder ist da sogar noch Windows 7 drauf was ja ein NoGo wäre weil das schon lange keine Windows Updates mehr bekommt.
Wenn er will, könnte er auch mal schreiben ob noch eine HDD Festplatte verbaut ist, oder ob schon eine SSD genutzt wird und mit CrystalDiskinfo prüfen wie der Zustand der Festplatte ist: http://anleitung.trojaner-board.de/zustand-der-festplatte-herausfinden-gehts_61

Zitat:

Zitat von schlawack

Ich schäze mal: es gibt keine Datensicherung.
Nicht uninteressant wäre auch, was für ein Windows wird genutzt? Windows 10 oder Windows 11 und welche Version? ist es also 22H2 oder eine ältere Version? oder ist da sogar noch Windows 7 drauf was ja ein NoGo wäre weil das schon lange keine Windows Updates mehr bekommt.
Wenn er will, könnte er auch mal schreiben ob noch eine HDD Festplatte verbaut ist, oder ob schon eine SSD genutzt wird und mit CrystalDiskinfo prüfen wie der Zustand der Festplatte ist: hxxp://anleitung.trojaner-board.de/zustand-der-festplatte-herausfinden-gehts_61

Es ist Windows 10 mit 2 SSD (Boot HD0 & Daten HD1) und 4 HDs (Daten HD2, Backup HD für HD1 & HD2, große 2TB HD & dafür Backup eine HD)

Es hätte am Ende nie dazu kommen, dass Virensoftware überhaupt auf dem Rechner sich ausführen lässt. Es muss ein unglücklicher Zufall gewesen. Wir hatten für paar "Spielereien" ein RDP Port offen, wo er dann wahrscheinlich darüber hereingekommen sein muss.

Insgesamt geht es um ca. 100 GB, die sehr ärgerlich sind, alles andere (ca. 1,5-1,7TB) ist rekonstruierbar.

es geht mir primär aber auch um Ransomware und Informationen dazu.
Ich möchte einschätzen, wie die Wahrscheinlichkeit ist, dass ich ohne den "Erpresser" an die Daten komme (mit Wartezeit und Profis wie Ontrack & Co.) und wie hoch die Wahrscheinlichkeit ist, dass der "Erpresser" mit spielt und die Daten entschlüsselt bzw. die Software dafür zur Verfügung stellt.

Da sowenig offensichtlich über die Variante der Ransomware (in meinem Fall) bekannt ist, rechne ich damit, dass Profis nur über Schattenkopie, gelöschte Dateien ect irgendwie versuchen an Daten zukommen.
Kosten mehrere tausende Euros, Ergebnis relativ ungewiss (nach dem, was ich bisher aus den Telefonaten erfahren habe).

Der Erpresser kostet auch Geld, aber erheblich weniger und mit erheblich besseren Erfolgschancen.
Mehrere Testdateien, die von uns vorgeben wurden, sind entschlüsselt zurückgesendet worden.
Er kann, wenn er will, das Problem bis zu einem bestimmten Grad lösen.

Die Frage ist da, wie geht man bei Verhandlungen zB. strategisch vor.

Dass es keine 100*% Garantie gibt, ist mir VOLL bewusst.
Dennoch kann ich bei beiden Optionen Geld verlieren und das ohne positives Ergebnis.

Dritte Option "Warten" ist nur eine bedingte Option, da es Dateien gibt, wo ich Zugriff drauf bräuchte.
Darunter ist zB. eine SQL Datenbank ca. 6GB groß.

Frage dazu, lässt sich sowas fehlerlos entschlüsseln, wenn die mal verschlüsselt wurde?

Gibt es sowas wie "Vermittler", die mit solchen Personen verhandeln können bzw. "treuhänderische" agieren?

Hallo,
wie ist die Mail-Adresse?

Das Schema hier
https://forum.kasperskyclub.ru/topic/423984-how-to-unlock-my-pictures/
https://www.bleepingcomputer.com/forums/t/786439/got-hit-by-this-ransomeware-please-help-decrypt-this-file/
sieht sehr ähnlich aus.

Schon möglich, dass das alter Wein in neuen Schläuchen ist.
Wir haben hier
https://www.virustotal.com/gui/file/c91968b4a1eb04ac79c8d735b99c84d8ea87c4485c939be6a68af3b9055f397d/detection
auch die Erkennung als Limbozar, was wiederum ein Alias für Ouroboros ist.

Zitat:

Zitat von _698

Schon möglich, dass das alter Wein in neuen Schläuchen ist.

Die Hoffnung stirbt zuletzt.
Ich hab unser Backup noch weiter gehärtet. Seit ca. 10 Jahren machen wir die Backups mit Veeam auf ein NAS. Um potentielle Angriffe abzuwehren, dürfen selbst aus dem internen Bereich nur noch ganz bestimmte IP-Adressen auf Port 443 und 445 auf das NAS drauf, iptables sei Dank.

Zitat:

Zitat von cosinus

Die Hoffnung stirbt zuletzt.

Aber auch die stirbt.
Neuere Ouroboros-Varianten konnten schon 2019 nicht entschlüsselt werden.

Zitat:

Zitat von _698

Hallo,
wie ist die Mail-Adresse?

Das Schema hier
https://forum.kasperskyclub.ru/topic/423984-how-to-unlock-my-pictures/
https://www.bleepingcomputer.com/forums/t/786439/got-hit-by-this-ransomeware-please-help-decrypt-this-file/
sieht sehr ähnlich aus.

Schon möglich, dass das alter Wein in neuen Schläuchen ist.
Wir haben hier
https://www.virustotal.com/gui/file/c91968b4a1eb04ac79c8d735b99c84d8ea87c4485c939be6a68af3b9055f397d/detection
auch die Erkennung als Limbozar, was wiederum ein Alias für Ouroboros ist.

Ja, der Aufbau der Dateinamen ist gleich, bis auf die Mail-Adresse und die ID

Die Mail-Adresse möchte ich nicht öffentlich machen, da dies mein einziger Weg ist, mit der Person zu kommunizieren.

Bitte die Schadsoftware hier
https://www.virustotal.com/gui/home/upload
hochladen und die Auswertung verlinken.

Zitat:

Zitat von _698

Bitte die Schadsoftware hier
https://www.virustotal.com/gui/home/upload
hochladen und die Auswertung verlinken.

Sieht aktuell schlecht aus, da Windows Defender die Daten unter Quarantäne gestellt hat und diese jetzt nicht mehr wiederherstellbar sind.

Zitat:

Zitat von Cosimo

Sieht aktuell schlecht aus, da Windows Defender die Daten unter Quarantäne gestellt hat und diese jetzt nicht mehr wiederherstellbar sind.

Wenn das daran schon scheitert wirst du ganz sicher Hilfe von einem Systemhaus bekommen müssen. Oder ist das alles reines Privatvergnügen?