|
CryptoWall 3.0 decrypter erhalten nach lösegeld zahlung Liste der Anhänge anzeigen (Anzahl: 1) hallo, habe mir den "CryptoWall 3.0" eingefangen. wollte hier einfach nur mal mitteilen, das wenn man wie ich auf die verschlüsselten daten angewiesen ist und die 500 dollar bezahlt den decrypter erhält. bin nun schon seit 3 tagen am entschlüsseln. Anhang 74662 |
Hi, ist ja interessant zu hören. Die Empfehlung, das Lösegeld bei wirklich wichtigen Daten zu bezahlen, hab ich schon oft gelesen, aber jetzt lese ich zum ersten Mal auch, dass die Kriminellen nach der Bezahlung auch den Weg für eine Entschlüsselung frei machen... Zitat:
|
hi, habe auch lange im netz gesucht ob man nach zahlung wirklich das tool bekommt, und hab doch da was gefunden wo die telekom sagt "Wir haben übrigens bezahlt. Wir hatten keine andere Möglichkeit" der artikel heist "Cyber-Attacken". backups hatte ich leider keine, und die wichtigen festplatten normalerweiße auch nie am netz, doch einmal vergessen abzustecken ist einmal zu viel. |
hallo Nachtaktiv ich bin auf obigen Beitrag von Dir gestossen und hoffe, von Dir noch einige Information zu erhalten: ich habe mir ebenfalls den CryptoWall 3.0 Virus eingefangen. Nun wollte ich mich erkundigen, wie du vorgegangen bist: Ist die Entschlüsselung vollautomatisch, oder musstest Du angeben, auf welcher Platte bzw. welche Ordner entschlüsselt werden müssen? Wurden mit der einen Bezahlung alle betroffenen Ordner bzw. Dateien entschlüsselt oder muss man für jeden betroffenen Ordner separat bezahlen? Wieso ist auf dem Printscreen bei Dir von 2 Zahlungen die Rede (nur 1 davon erfolgreich)? Hattest du den Virus bzw. die Malware auf dem PC gelassen, bis die Entschlüsselung abgeschlossen war oder bereits vorher entfernt? Ich bin am verzweifeln und hoffe, dass Du mir in obigen Fragen helfen kannst. Vielen Dank Alouette PS: ich wollte direkt am Ende Deines letzten Beitrags antworten, aber es ging nicht: deshalb meine E-Mail an Dich. hallo alouette, die Entschlüsselung ist vollautomatisch, aber man kann auch angeben, auf welcher Platte bzw. welche Ordner entschlüsselt werden sollen mit der einen Bezahlung wurden alle betroffenen Ordner bzw. Dateien entschlüsselt, man muss nicht für jeden betroffenen Ordner separat bezahlen auf dem Printscreen sind 2 Zahlungen weil ich erst eine falsche transaktionsnummer kopiert und geschickt habe, die war glaube ich von der bank wo ich die bitcoins gekauft habe den Virus bzw. die Malware habe ich auf dem PC gelassen, bis die Entschlüsselung abgeschlossen war betroffen waren 5 platten mit ca. 3 terabyte und dauerte ca 3. tage ohne den rechner auszuschalten. hab ihn dato aber vom netz genommmen. das tool ist mehrere male abgestürzt aber man konnte es immer gleich neustarten und weiter arbeiten lassen.. gruß nachtaktiv |
Ich dacht erst du führst Selbstgespräche :wtf: Aber anscheinend hast du hier einen privaten Dialog veröffentlicht, oder? |
sieht nach Emailkonversation aus. Ich dachte aber auch erst "von dem Stoff will ich auch was" :D |
hallo cosinus und schrauber ja die frage hat mir ein user von hier geschrieben, er schrieb das er nicht im erstellten thema antworten kann daher eine private nachricht schrieb. gruß nachtaktiv ------------------------------------------------------------------------------------------------------------------------------------------------------------------ Guten Morgen nachtaktiv Herzlichen Dank für die wirklich wertvollen Informationen. Bei mir ist zumindest eine Diskstation von Synology mit 2 Platten betroffen, die ich als File-Server nutze. Verstehe nicht, wieso keiner der angeschlossenen PC's betroffen ist (vielleicht doch, und ich weiss es nicht). Bin nun aber etwas erleichtert zu lesen, dass man den Ort für die Dechiffrierung angeben kann. Werde somit auch alle anderen Platten nach den Dateien HELP_DECRYPT durchsuchen lassen, um sicher zu stellen, alle zu erwischen. Wenn ich richtig verstanden habe, bleibt der Encoder aktiv, selbst wenn der PC zwischen durch ausgeschaltet wird. Es wäre mir eine grosse Hilfe, wenn Du mir noch folgende Fragen beantworten könntest: 1) selbst wenn es vollautomatisch abläuft: müssen alle infizierten Platten/Ordner bereits von Anfang an bekannt sein oder hättest Du nach Beendigung der Entschlüsselung dem Programm noch weitere Orte mitteilen können, wo es entschlüsseln soll (falls du nachträglich noch weitere Orte gefunden hättest)? 2) ich habe die Anweisung eine in der HELP_DECRYPT angegebenen URL-Adressen zu besuchen, um weitere Instruktionen zu erhalten. Hast du diesen Schritt von einem neutralen PC aus durchgeführt, oder direkt vom betroffenen bzw. angeschlossenen? 3) Befand sich bei Dir der Virus auf den betroffenen Platten oder auf der Hauptplatte mit dem Betriebssystem? besten Dank für Deine Hilfestellung. Gruss alouette ----------------------------------------------------------------------------------------- hallo alouette, zu 0, ich hab mir vorsichtshalber die 4 verschiedenen help_decrypt dateien, den decrypter und den öffentlichen sowie den privaten schlüssel gebrannt zu 1 , man kann x-beliebige laufwerke durchsuchen egal ob vorher bekannt oder nicht. wenn es vollautomatisch abläuft stürzt das tool immer nach einer weile ab weil es alle platten gleichzeitig durchsucht. Habe dann immer nur 1 laufwerk durchsuchen lassen, und wenn es entschlüsselt war vom rechner abgezogen und das nächste gemacht. Nachdem alle entschlüsselt waren alle wieder angeschlossen und mailwarebytes anti-mailware durchlaufen lassen. Habe alles ohne netz also ohne internet anschluss am rechner durchgeführt. Zu 2, habe alles vom befallenen aus gemacht zu 3, der ransomeware war auf allen platten gruß nachtaktiv ---------------------------------------------------------------------------------------- Dankeschön, bin Dir sehr Dankbar für diese Infos. Mir raten alle davon ab, den Betrag zu bezahlen, darunter auch ein Spezialist, der meint, ich dürfe keines Falls den vorgeschlagenen Tor-Browser herunterladen und verwenden, da damit die eigene Hardware systembedingt ein Teil eines kriminellen Netzwerk werde. ich habe zur Zeit nur die 4 HELP_DECRYPT Dateien finden können. Bin ich richtig in der Annahme dass der Decrypter und die öffentlichen und privaten Schlüssel nach der Bezahlung bekannt gegeben werden? gruss Alouette ----------------------------------------------------------------------------------------- Hallo alouette Du brauchst den tor-browser nicht herunter laden, kannste auch alles so machen, wird ja alles beschrieben wie.. den Decrypter, der öffentliche und der private Schlüssel wird nach Bezahlung bekannt gegeben um die bitcoins zu kaufen musst du konten eröffnen und da es ja schnell gehen soll ne überweißung machen, sowie ne videotelefonie mit der bank um dich hochzustufen.. da dein rechner ja aber infiziert ist, angeblich nur mit dem ransomeware, was ich bezweifel, den wer sowas schreibt implementiert gleich noch einen keylogger mit ein, welcher jede deiner tastatureingaben mitloggt und dem botnetz penner schickt. Was ich sagen will ist wenn du persönliche informationen eingeben musst wie nutzernamen oder passwörter usw. kopiere dir am besten die buchstaben zahlen etc. am besten aus einem x-beliebigen text und füge sie ein.. gruss nachtaktiv |
Wir können diesen Strang auch in den Diskussionsbereich verschieben. Da kann dann jeder registrierte User posten. Hier ist er noch im Bereich der Analyse & Bereinigung, da ist es unerwünscht wenn jeder so da zwischenquatschen kann. |
hallo cosinus das wäre gut danke gruß nachtaktiv |
Zitat:
|
Anscheinend wenn die Kriminellen gut aufgelegt sind, dann bekommt man so ein Tool, ich würde aber niemandem eine Zahlung empfehlen, entschlüsselt werden die Daten sicherlich nur in Ausnahmefällen, warum sollten sich die kriminellen eine zusätzliche Arbeit antun wenn sie das Geld eh schon haben...... |
Naja, wenn sich das rumspricht, dass die Erpresser eh nix machen machen auch wenn sie das Geld bekommen haben, dann werden immer weniger die Lösesumme bezahlen. Weniger Einnahmen sind ja auch nicht im Sinne des Erpressers ;) |
Zitat:
|
Ich glaub wenn deine Existenz von den Daten abhängt würdest du schon dran denken zu bezahlen ;) |
Zitat:
|
du weißt aber schon wie bei kleineren Firmen Backups gemacht werden oder? |
Zitat:
|
egal wo es hin geschoben wird, die Dinger sind online im Netz, erreichbar. Die Offline Backups werden dann weniger oft gemacht. Und da ist das Problem. Wenn die Backups online sinf, egal ob gemappt oder nicht, werden die auch verschlüsselt. |
Zitat:
|
du willst also extra 3 mann einstellen, die mit offline platten in der hand von server zu server rennen, und alle 3 min offline backups machen? |
Zitat:
Aber hier geht es ja vorwiegend um Backups bei Privatrechnern, und da ist eine Backupstrategie ausschlaggebend. |
Wenn ne kleine Firma keinen eigene IT hat und nichtmal zumindest einen Admin, dann kümmert sich idR keiner um solche Backups. Drei Mann braucht man für ne Backupstrategie nicht wirklich. Einer reicht und falls der im Urlaub ist eine Vertretung. In der heutigen Zeit kann man auch ein eigenes NAS nur für Backup-Zwecke verwenden und zB nur per NFS die Daten rüberschicken. Per NFS kann man sagen, dass nur ein ganz bestimmter Host Zugriff auf das Filesystem des backupdevices hat. Oder wenn man es per Samba (SMB) machen will, richtet man die Freigabe so ein, dass nur ein Backup-Benutzerkonto darauf zugreifen darf. Wer will kann auch in die Cloud sichern :blabla: oder ganz konventionell mit Bändern (zB LTO4) nach dem Generationenprinzip. |
Zitat:
|
und was sollte die telekom dagegen tun, die .... opfer server stehen hat und die ransomeware dort vorbei nur an den wichtigen servern alles verschlüsselt? |
Zitat:
|
hxxp://www.polizei-praevention.de/aktuelles/aktuelles-detailansicht/decryptolocker-hilft-gegen-verschluesselte-dateien-durch-den-cryptolocker.html |
Ich seh hier immer noch nicht den Zusammenhang mit der Telekom :confused: |
Ich auch nicht, haben sie bei der Telekom etwas auch was verschlüsselt?:confused: |
ja, selbst die Deutsche Telekom war vom Trojaner betroffen (Artikel ist 1 Monat alt): hxxp://www.deutschlandfunk.de/cyber-attacken-krieg-der-hacker.724.de.html?dram:article_id=322503 Zitat:
Zitat:
|
hallo miteinander ich wollte diejenigen, die interessiert sind und diesen Beitrag verfolgen, über den Stand meines "Crypto Wall 3.0 Infekts" informieren: ich konnte gestern ein Konto bei einer Bitcoin-Börse (NL oder GB) eröffnen und per SEPA von der Schweiz aufs Konto nach München überweisen. Heute 11 Uhr morgens war das Geld bereits dort. Danach kaufte ich die Bitcoins und konnte diese direkt ohne Umweg (es braucht somit keine eigene Wallet) aufs Erpresserkonto überweisen. Danach wartete ich relativ lange, dass jemand (Epresser oder eine Software) den Eingang bestätigt. Dies geschah aber nicht. Also wagte ich mich, auf meiner persönlichen Erpresserseite die Zahlung mittels Eingabe der verlangten Transaktionsnummer zu bestätigen. Danach passierte lange nichts bis die Seite einen Gatway-Fehler meldete. Nach 2 weiteren Leerversuchen mit den Browserfehlermeldungen konnte ich mich kaum noch auf dem Stuhl halten. Am Ende des 3. Versuches blieb die Browserseite intakt, jedoch mit der Meldung, die Zahlung sei nicht eingegangen. Ich gab nochmals die Transaktionsnumer ein und klickte auf "Bezahlt" und bekam endlich die Entwarnung!! Der Adrenalinpegel war höher, als der Arzt erlaubt :crazy:. Ich konnte die Zyp-Datei (siehe 1. Beitrag von nachtaktiv) erst nach dem 2. Versuch runterladen, nachdem beim 1. Versuch der Browser wieder ein Fehler gemeldet hat und ich wieder komplett aus dem Häuschen....ich habe keine Ahnung ob der Erpresser so viel Traffic hat, oder ob sich gerade ein neuer Trojaner auf meinen PC einschleuste. übrigens: just heute wurde bei mir das Lösegeld angehoben von 1.79 auf 1.89 Bitcoins. Der im online-Brief mit den Instruktionen genannte Betrag scheint somit am aktuellen Kurs veknüpft zu sein. Zum Glück hatte ich gestern wesentlich mehr € überwiesen und konnte genug Bitcoins einkaufen. Die restlichen EUROS bleiben vorerst auf meinem Konto bei der Bitcoin-Börse. Hätte ich gestern und heute nicht einen unglaublich hilfsbereiten und deutsch-schreibenden (live-Chat!!) Mitarbeiter an meiner Seite gehabt, ich bezweifle, diese Transaktion rechtzeitig hätte durchführen können. Dank dem Mitarbeiter kam ich dann noch auf eine Seite, welche die letzten Eingänge auf das Erpresserkontos zeigt: seit Ende Juni sind nur gerade einmal 6 Zahlungen eingetroffen, allesamt bestehend aus verdächtigen Zahlen, die umgerechnet in etwa dem Betrag von $/€ 500.00 ergeben. Ist naheliegend, dass es sich hierbei ebenfalls um Lösegeldzahlungen handelt. ich werde nun heute anfangen bzw. versuchen meine Daten mit dem Encrypter und den beiden zugestellten Schlüssel wieder zu entschlüsseln. In der letzten Meldung, wo ich die Zip-Datei runterladen konnte hiess es, es müssen alle Virenscanner ausgeschaltet oder deinstalliert sind. Ein riskanter Schritt, aber ich werde mich daran halten. werde mich dann nochmals hier melden, wie es ausgegangen ist, und auch bei Dir Cosinus, wegen den letzten Schritten zur Bereinigung der Platten. vg alouette |
Da hast du anscheinend noch mal Glück gehabt, das wünsche ich dir auch beim entschlüsseln der Dateien, es tut sicherlich weh Lösegeld an solch Kriminellen zu zahlen. An deiner stelle würde ich den PC formatieren und über die Dateien zwei oder drei Virenscanner drüberjagen. Und noch einmal es gibt keine Garantie das entschlüsselt wird wenn man zahlt, man ist auf den guten Willen der Kriminellen angewiesen. Zahlen sollte man nur wenn die Daten wirklich sehr wichtig sind. Das widerspricht sich eigentlich den wenn die Daten wichtig sind, dann hat man sie ja zwei- und dreifach gesichert. |
Liste der Anhänge anzeigen (Anzahl: 3) Zitat:
aber ich bin nicht mehr so optimistisch wie heute Mittag. Als ich die zip-Datei auf dem Desktop entpackte, schlug Malwarebytes gleich Alarm und verschob die Datei "Decrypt.exe" gleich in die Quarantäne. Bei dem zuvor auf der Diskstation entpackten Ordner blieb der vermeintliche(?) Trojaner unentdeckt, bzw. solange bis ich hier Malware drüber liess. ist decrypt.exe wirklich ein Schädling oder ist es normal das Malwarebytes die Anwendung, die ja Dateien (? zum Guten ?) verändern, als Malware einstuft? |
Da du auf dieses Programm angewiesen bist würde ich Malwarebytes und alle anderen Antivirusprogramme abschalten. Das solche Entschlüsselungstools als Malware erkannt werden ist eigentlich normal, ob es wirklich Malware ist lässt sich schwer sagen. Und dann wie gesagt die entschlüsselten Dateien mit zwei-drei Av-Scanner scannen. Ich empfehle Malwarbytes das du eh schon hast und vielleicht noch Emsisoft Emergency-Kit: http://www.emsisoft.de/de/software/eek/ |
Kümmer dich zuerst um die Entschlüsselung deiner Daten, wir können danach ja immer noch einen Blick drüber werfen (aber diesmal davor schön absichern!) ;) |
Ich habe die zip-Datei nun separat auf den alten XP-Laptop (ohne installierten Virenscanner) geladen und dort entpackt. Danach mittels USB Stick ca. 340 Ordner mit ca. 3'700 verschlüsselten Dateien von der betroffenen DiskStation auf das XP-Laptop kopiert und dort den Befehl zum Entschlüsseln gegeben! Es hat funktioniert :applaus: :taenzer: :singsing: Das tolle an der Decrypt Anwendung: man kann jeden Ordner selber anwählen. Aber selbst wenn man bereits entschlüsselte Dateien wiederum anwählt, bleiben die intakt. Ich hatte zuerst befürchtet, dass die wieder verschlüsselt werden. Sämtliche HELP_DECRYPT Dateien bleiben übrigens nach der Entschlüsselung erhalten und müssen separat gelöscht werden. Pro Ordner sind dies 4 Dateien. noch eine interessante Feststellung: sobald ich EMSISOFT installiert habe, konnte ich die decrypt.exe Datei nicht mehr starten: sie verschwand fast augenblicklich in die Quarantäne, und dies obwohl ich EMSISOFT noch nicht mal für die 30-tägige Testzeit freigeschaltet hatte. Anders gesagt: EMSISOFT Malware hat den Schutz sofort nach der Installation eingeschaltet. nur lässt sich der Schutz nicht deaktivieren: Selbst wenn man im Taskmanager den Prozess beendet, startet er vollautomatisch wieder. Morgen starte ich den Decrypter vom Win 7 PC! Ich denke, dass könnte heute die erste Nacht werden, die ich seit letzten Sonntag wieder gut schlafen werde... |
Schön das es geklappt hat.:) |
Zitat:
Dass beim Entschlüsseln eventuelle Virenscanner sich beschweren ist ja nur verständlich und soll natürlich auch so sein, immerhin wird ein potentiell sehr schädlicher Prozess ausgeführt der auf "infizierte" Dateien zugreift und von seiner Art ja auch ähnlich dem Verschlüssler funktioniert, nur andersherum. |
Kann man den nicht den decrypter auf einem anderen betroffenen Rechner nutzen? Kam mir gerade so in den Sinn. Wenn das nicht geht sollte vielleicht mal jemandem den decrypter auseinandernehmen. Würde vielleicht beim entschlüsseln helfen. |
@HEX16, für jeden mit dieser Malware infizierten Rechner wird ein neues/einmaliges Schlüsselpaar erstellt. Und nur mit dem Private Key kann entschlüsselt werden. Und den Private Key bekommst von den Erpressern erst wenn du die Kohle abgedrückt hast. |
Ist mir auch eingefallen NACHDEM ich den Beitrag geschrieben habe. Vor einigen Monaten fand ich Verschlüsselung noch richtig toll! Aber wenn ich mir jetzt so ansehe was damit gemacht wird :/ |
Fast alles lässt sich missbrauchen :D Findest du auch Autos doof, weil Kriminelle Personen Autos als Fluchtfahrzeuge verwenden können, oder schlimmer noch, Leute überfahren? Findest du Messer doof, weil damit nicht nur Köche ihren Job ausüben, sondern auch Kriminelle Personen ihre Opfer damit bedrohen? |
Jetzt wo du es sagst :D Vielleicht kannst du mir nocheinmal helfen cosinus, ich sehe du bist hier öfter aktiv. Ich würde selber gerne anderen Usern helfen mit ihren Problemen. Ich habe eine gute Erfahrung mit Computern etc. und würde meine Kentnisse gerne erweitern. Kann man sich hier irgendwo bewerben um zu helfen? |
Wenn du Malware entfernen mithelfen willst, gibts hier eine Ausbildung :) http://www.trojaner-board.de/88896-a...ner-board.html Ansonsten kannst du eigentlich überall mithelfen auch so :) |
Lies mal http://www.trojaner-board.de/88896-a...ner-board.html Ich weiß aber nicht ob noch Plätze frei sind.... |
Okey Danke euch beiden. Aktuell leider keine Plätze da :( Werde ich in ein paar Wochen nochmal vorbei sehen. |
Nach dem was ich immer so seh wird das alle 3/4 Monate geöffnet, also in 1/2 Monaten wieder :) |
Da ist schon mindestens ein Jahr nichts mehr gewesen, ich hab mich einfach so beworben und wurde genommen, und andere offensichtlich auch. |
Zitat:
|
Oh... ich nehme alles zurück und behaupte das Gegenteil. |
Aber ich erinnere mich, dass es vor längerer Zeit auch extra Annoncen über freie Plätze gab (in welchem Unterforum???). DIE gab es mindestens ein Jahr nicht. |
In dem Ausbildungsthread wird der Text von "nix frei" in "verfügbar" geändert. Ein paar extra gut gelaunte haben dann ab und an zusätzlich noch nen eigenen neuen thread gepostet dass wieder was frei is :D |
Naja ich schaue dann mal ab und zu wieder rein. Das Thema interessiert mich echt ungemein. Gruß |
Hi All, ich habe auch das Geld bzw den Coin bezahlt. Dann habe ich den Zugriff auf eine Website erhalten auf der ich ein *.exe file downloaden konnte. Wenn ich das Programm ausführe öffnet sich das DOS Fenster. In dem Fenster ist nichts zusehen ausser einem blinkenden underscore Zeichen. Es läuft eine Weile und endet mit einem Pop Up Dycripting completed. Nun ändert das an den Files aber gar nichts. Mich irritiert das ich den Schlüssel den ich per Mail erhalten habe nirgends eintragen kann. Wahrscheinlich mache ich etwas grundsätzliches falsch. Jede Hilfe ist sehr willkommen. Die Dateien sind von einem gemeinnützigen Verein und da steckt eine Menge arbeit drin. Danke. |
Wenn es wirklich wichtige Daten sind, warum macht man dann keine Backups? :confused: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:53 Uhr. |
Copyright ©2000-2025, Trojaner-Board