|
Cryptowall 3.0 Hallo, ich habe mir den Cryptowall 3.0 eingefangen. Ich habe ua. auch hier gelesen, dass bezahlung via BitCoin zum Erfolg führt. Bezahlt habe ich schon, warte nun aber auf der Webseite auf die Freischaltung. Beim Status steht nun schon seit knapp einer Stunde "Pending" Wie lange dauert das ca. bis das freigeschalten wird? Kann mir das jmd sagen? |
Hi, keine Ahnung. Hier gibt es nur einen User, der bezahlt hat. |
Nein Zwei ;) Dann warte ich halt weiterhin und berichte. |
ja ok, mit dir sind es 2 :) |
Ich hab das Thema mal in den Diskussionsbereich verschoben. |
Helfe ich dem Erpresser oder dem Opfer mit meiner Aussage - ob erfolgreich oder nicht? Wird hier gerade diskutiert |
Naja. Der Erpresser ist sowieso geholfen, da einige zahlen. Allgemein ist Zahlen keine gute Idee, nur unter folgenden Bedingungen: keine Entschlüsselung möglich Kein Backup da Schattenkopien funzen nicht Das Verschwinden der Daten bedroht Leib und Leben Ich halte allgemein nix vom Zahlen, aber wenn es nun mal nicht anders geht..... |
Aber WENN man gezahlt hat und es hat nichts gebracht, dann sollte man die Info auf jeden Fall veröffentlichen! Wenn das Bezahlen geholfen hat, ist es, denke ich, auch OK, das anderen mitzuteilen. Aber mit der Einschränkung, dass man nicht weiß, ob das bei jedem Verschlüsselungsvirus so klappt. |
Also, das ganze Thema ist gestern abend doch noch gut ausgegangen. Habe allerdings 8 Std gewartet, nachdem ich die Transaction ID eingegeben hatte, bis der Download zur Verfügung stand. Die ZIP Datei beinhaltet: Decrypt.exe public.key private.key Natürlich ist es nicht besonderst toll diese Leute noch zu unterstützen. Aber wenn es nicht anderst geht, wie in diesem Fall.. who cares. |
Hallo, möchte mich hier mal anschließen bitte. Habe zufällig entdeckt, daß ich ebenfalls angegriffen wurde: 400 mal die bekannten files: HELP_DECRYPT, .HTML, .PNG, TXT. Eine Verschlüsselung der Daten auf C: als auch anderer Partition fand aber nicht statt. ListCWall und Malwarebytes: keine Funde. Vista- Wiederherstellung auf einen Punkt vor der Infektion ging nicht, auch wenn Avira abgeschaltet ist, auch nicht im abgesicherten Modus. Fragen bitte: - wie ist zu erklären, daß die o.gen. files angelegt, aber nicht verschlüsselt wurde? Eine .exe-Datei habe ich nicht geklickt. - warum läßt sowohl die FritzBox, die Vista Firewall, als auch Avira online-scan diesen Mist durch? - kann ich davon ausgehen, daß der PC NICHT (mehr) infiziert ist? Und die ganzen HELP_DECRYPT.* nur eine Belastung ist, die mit Bordmitteln gelöscht werden kann? PC funzt gut und schnell. Nur C: wird immer voller. Freundlichen Dank im Voraus. |
Tja.. da wird man nichts finden.. Das infizierte Netz haben wir x-mal gescannt.. Das kommt ua durch den Flashplayer, führt nen Script aus... wartet bis Knete/BitCoins kommt... Simple, effektiv Haste nen Backup der Daten? |
Zitat:
Möglich wäre es aber auch, dass durch einen Bug oder irgendeine was auch immer Inkompatibilität dafür gesorgt hat, dass die Verschlüsselungsroutine auf deinem Rechner nicht aktiv wurde, dafür aber die Info-Texte der Erpresser angelegt wurden. Oder aber dir ist noch garnicht aufgefallen, dass manche Dateien kaputt sind. Ist alles Spekulatius. Zitat:
2. Avira empfehlen wir hier nicht, hat zwar nix damit zu tun, aber generell gilt: es gibt keinen Virenscanner, der jederzeit zuverlässig also immer alle Viren (Malware) findet! Zitat:
Bitte lies folgendes vollständig! => Für alle Hilfesuchenden. Was muss ich vor der Eröffnung eines Themas beachten und erstelle hier ein neues Thema. |
Zitat:
|
Zitat:
Das liegt nicht immer in der Hand des Beraters... IT soll/muss/kann-nur --> Günstig sein :wtf: |
Zitat:
|
Zitat:
|
Aber woher kommt diese Einstellung vieler Anwender? Warum werden Backups so stiefmütterlich behandelt? Nur weil sie manuelle Arbeit und Aufwand erfordern? Ich finde, das zu einem großen Teil auch die Softwareindustrie schuld hat. Ständig und überall wird man doch drauf hingewiesen, wie wichtig Virenscanner und Personal Firewall seien, Mailscanner, Anti-Spam, Stealth-Technologie und andere Bullshit-Bingo-Begriffe, die aber fast alle nix mit vernünftiger Datensicherung zu tun haben. Der normale Anwender scheint dann wohl auch nur diese Art von Software im Fokus zu haben. Ok, ab Windows 7 meckert ja mittlerweile das Betriebssystem selbst (Wartungscenter) wenn man keine Sicherung eingerichtet hat. Das ganze von Win7 sieht aber eher nach einem kläglichen Versuch als sinnvoller Hinweis aus... |
Im Firmenumfeld, gerade bei den 'kleinen' spielt das ganze eine Kostenfrage. WORM = Teuer , CloudBackup.. 'lassen sie mich mit dieser "Cloud" in Ruhe' , oder überhaupt Backup.. das will doch niemand mehr hören... Teuer, es ist noch nie was passiert... usw... Ansonsten: Die User 'stumpfen' ab... Wartungscenter.. Jaja... das will jeden Tag was von mir.. klicke ich mitlerweile einfach weg. Macht doch eh die IT Abteilung... und und und... Da hört man täglich ne andere Ausrede |
Zitat:
Vielen Dank erstmal. Besonders dein Hinweis, daß es keinen absolut wirksamen Schutz gibt, veranlasst mich zur täglichen Sicherung (geht ja mit MS Synctoy bequem). Und zum Unterlassen surfen mit dem Laptop, damit im Notfall ein funktionierendes Medium vorhanden ist. Ich möchte Eure individuelle Hilfe, die ja sehr aufwändig ist, erstmal Anderen zukommen lassen, die schlimmer betroffen sind. Updates aufspielen usw.. Habe jetzt erstmal händisch alle betr. files gelöscht. Mit Windows + CCleaner bereinigt. Avira scan, malwarebytes, HighjackThis und Spyhunter4 (Vorbehalte nach Aufklärung bekannt,wird sodann gelöscht) drüberlaufen lassen: keine Funde! Frage bitte: gibt es dann noch eine große Gefahr, daß der PC verseucht ist? Selbst online-banking müßte noch gehen, da ja bei Überweisungen eine einmalige TAN gebraucht wird, die nur der (legale) Inhaber hat. Wie gesagt: Vista-PC rennt! Keinerlei Probleme. Und noch eine, bitte: wenn der letzte Wiederherstellungspunkt vor der Infektion nicht mehr geht, ist dann davon auszugehen, daß die Gangster auch alle anderen vorher verseucht haben? Können also gelöscht werden? Wäre 'ne panische Angelegenheit, da ja dann nur noch das restore von Medion (7Jahre her) oder das noch aufwändigere Neuaufsetzen bliebe. Notfall-CD's von Kaperski + Avira sind hier. Besten Dank! |
Cosinus, erklär mr mal bitte, wie das gehen soll: Du legst jetzt aktuell nen superwichtiges Dokument an, oder eine Reihe von Dokumenten. Speicherst das Ding auf dem Desktop. Das wird von mir aus sogar sofort nochmal irgendwo extern, online als Backup gespeichert. 2 minuten später erwischt dich Ransomware. Man kann nicht durchgehend alles auf Offlinebackups verfügbar haben, das ist unmöglich. |
Zitat:
ich werde es ab gestern (Hinweis cosinus) so handhaben: bei wichtigen Dokumenten FritzBox aus, oder im Netzwerk deaktivieren. -> Doc's und Excel-Tab schreiben, und dann sofort extern speichern. -> FB wieder an. Andere Vorschläge? Dank Eurer Aufklärung ist eben (trotz aller Virenschutz-Programme) keine absolute, somit einfach keine Sicherheit vorhanden! Am besten, so mein bisheriger Wissensstand, wichtige Daten auf ein Ersatz-System (Laptop), das ganz vom net abgestöpselt ist, mit dem im Notfall (weiter-) gearbeitet werden kann. Ganz Vorsichtige werden dann noch vor Speicherung die Datei online scannen lassen. |
mein Post war auch weniger auf Privatpersonen ausgerichtet ;) |
Zitat:
Hier lesen wir aber regelmäßig, dass ganze Datenbestände verschlüsselt sind und megawichtig sind. Das lässt sich durch regelmäßige "externe Backups" ja absichern, der Datenverlust hält sich also in Grenzen. Aber gegen dein Szeanario ist natürlich so kein Kraut gewachsen, außer dass man wachsam genug ist. :kaffee: |
und die passende AV Lösung nutzt ;) |
Naja, egal welche AV-Lösung, wenn die Malware gerade neu genug ist wird sie sehr wahrscheinlich nicht erkannt werden. Kommt diese Erpresser-Malware eigentlich nur per E-Mail rein oder gibt es da auch andere "Vertriebskanäle" - Lücken zB über Adobe Flash (passt grade so gut :blabla: ) |
Zitat:
Wenn EAM vorher installiert ist, und nix an den Settings gedreht wurde, haben wir bis dato alles geblockt ;). Es gibt keinen EAM Nutzer mit verschlüsselten Daten. |
Emsi erkannt die Ransoms immer, auch neue? :) Wenn ja bin ich wirklich positiv überrascht |
wenn wir bis dato alles was neu war direkt geblockt haben via Verhaltensanalyse, ist die Frage doch schon beantwortet oder? :) |
Wie sieht denn die Zuverlässigkeit bei den anderen Scannern aus? Wenn ich neue Malware gefunden und bei VT hochgeladen hab war die Erkennungsrate meist erschreckend niedrig... Und weil immer neue Varianten per Mail reinkamen landen bei uns seit letztem Jahr alle E-Mails mit Archiv-Anhängen erstmal in der Quarantäne. Da sind auch immer wieder welche bei, die die beiden Scanner-Engines der SophosUTM nicht gefunden hätten... |
du musst schon unterscheiden zwischen Signaturen-Scan und Verhaltensanalyse :) |
Kommt bei VT nur Signatur-Scan zum Einsatz? |
logo, die Datei wird ja nicht ausgeführt, daher kann man auch kein Verhalten erkennen. |
Ich dachte VT hätte das mal drin :confused: Ansonsten kenn ich Online-Behaviour-Analyse noch von http://www.threatexpert.com/submit.aspx (aber irgendwie ist die Seite gerad down...) |
VT erkennt auch keine PUPs ;) |
Liegt das daran, dass PUPs (leider noch) nicht illegal sind? |
genau. Das würde Unmengen an Stress und Klagen geben. Siehe Spyhunter. 2 Tools haben es erkannt, booom, fette Klagen aus den USA :) |
Wenn Emsi so scharf gegen PUPs vorgeht, bekommt ihr dann da keine Klagen? Oder zumindest ein paar unschöne E-Mails? :D |
warnen dürfen wir ja, wir dürfen es nur nicht einfach so entfernen. |
Haben dann adwcleaner und jrt nicht Probleme? Vor allem jrt entfernt ja ohne zu fragen. |
adwCleaner hat oder hatte mal ne Option die Ask-Toolbar von der Entfernung auszuklammern. Diese Lage mit den PUPs ist momentan ziemlich unbefriedigend. Sie sind nicht illegal, auf der anderen Seite ist Werbung ohne ausdrückliche Zustimmung aber auch nicht erlaubt. |
der user installiert sie aber mit, also gibt er die zustimmung ;) |
Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:53 Uhr. |
Copyright ©2000-2025, Trojaner-Board