Ransomware - efdc auf externer Festplatte wie sichern und entschlüsseln?
 

Ein herzliches Hallo!
Ich bin verzweifelt und für jeden Hinweis dankbar. Folgendes ist mir passiert:

Ich habe einen neuen Laptop (WIN 10) mit diversen Programmen installiert.
Bei einem Programm habe ich mir aus dem Netz eine "verseuchte" Version runter geladen. Ergebnis: Erst nach einer Weile ist mir aufgefallen, daß die Dateien auf dem Rechner plötzlich alle die Endung *.efdc hatten. Später habe ich auch dazu eine _readme.txt Datei entdeckt.

Das Problem: Da der Rechner neu war, war ich dabei Daten über externe Festplatten zu kopieren. Es waren 2 Festplatten und ein USB Stick angeschlossen. Der Inhalt war zum Teil eine Kopie, zum Teil aber auch original-Dateien.
Der Laptop ist inzwischen komplett neu installiert worden, inkl. neuer Festplatte.

Jetzt zu meinem Problem: Die externen Platten sind noch mit Ransomeware befallen, möchte die Platten aber gerne nutzen, ohne mir den Rechner neu zu infizieren.
Folgende Schritte habe ich bisher unternommen:

Auf der Webseite id-ransomeware habe ich 2 Dateien hochgeladen, die efdc und readme Datei. Ergebnis: Die Schadsoftware / Der Trojaner nennt sich STOP (DJVU)

Als nächstes habe ich mir über Emisoft den entsprechenden decryptor runter geladen und benutzt. Leider liegt wohl kein "Schlüssel" vor, die Dateien konnten nicht entschlüsselt werden.

Was kann ich jetzt noch tun?
Meine Idee:
Wenn es aktuell keine Möglichkeit gibt die Datei zu entschlüsseln, würde ich es auch gerne in 1-2-3 Jahren nochmal versuchen.
Bis dahin müssen die Datei also von meiner Festplatte auf einen separaten USB-Stick.
Aber wie?
Wenn ich einen Virenscanner aktiviere, löscht mir dieser die readme Dateien und gglfs auch die efdc. Habe ich keinen Virenscanner an, laufe ich Gefahr mein System zu infizieren.
Welche Schritte kann ich noch unternehmen?
Gibt es noch andere Programme zum entschlüsseln?
Welcher Virenscanner (kostenloser?!) wäre hier von Vorteil?
Vielen Dank für die Hilfe,
mit besten Grüßen Sascha

Was soll denn das mit dem Virenscanner? Deine Dateien sind verschlüsselt oder zerstört, je nachdem wie man das grade sehen will. Abgesehen davon hat Windows 10 bereits einen Virenscanner eingebaut, ein anderer hätte ebenso keine Chance gehabt.

Wenn deine externe Platte mit dem Backup auch verschlüsselt wurde und es keine anderen Sicherheitskopien gibt, wirst du an deine Daten so schnell nicht wieder rankommen. Wenn du Pech hast, nie wieder.

Hi,

ich stimme cosinus zu, wahrscheinlich sind Deine Daten weg und es ist nicht sicher, ob sie jemals entschlüsselt werden können.
Was ich auf keinen Fall machen würde - bezahlen. Denn ich lese zur Zeit viel auf BleepingComputer mit, und dort gibt es fast täglich Fälle von Usern, die bezahlt haben und knallhart abgerippt wurden.

Ich will das Trojaner-Board nicht untergraben, aber auf BleepingComputer gibt es eine extra Abteilung für Opfer von Ransomware. Die Spezialisten dort kümmern sich wirklich um jeden einzelnen Fall und machen alles, was möglich ist, um dieser besch... Ransomware-Plage etwas entgegenzusetzen.
Du kannst ja mal passiv mitlesen und dann entscheiden, was Du tun willst - sofern Du Englisch kannst.
https://www.bleepingcomputer.com/for...-tech-support/

Übrigens: Der Virenscanner wird ganz sicher nicht die verschlüsselten Dateien und insbesondere nicht die readme.txt löschen - warum sollte er?

X.

Hi,

noch was: STOP (DJVU) ist eine Ransomware, von der es mittlerweile (fast) über hundert verschiedene Varianten gibt. Wenn Du Pech hast, dann hat Dich eine ganz neue getroffen und Du musst Jahre oder sogar ewig warten, bis Dein Kram entschlüsselt werden kann.

Du schreibst ja, dass die USB-Platten angeschlossen waren und daher ebenfalls verschlüsselt wurden. Ich verstehe nicht ganz, was Du jetzt mit diesem Haufen an Junk-Daten noch rumhantieren willst. Lass sie doch einfach auf den USB-Platten und hoffe auf ein Wunder (oder wende Dich an den Ransomware Help & Tech Support auf BC).

Oder geht es hier um interne Platten? Dann würde ich ein Image von diesen internen Platten auf einen USB-Datenträger machen, diesen USB-Datenträger gut einlagern und die internen Platten plattmachen.

Investiere doch einfach 100-200 Euro in ein, zwei neue 4TB USB-Platten, dann kannst Du die aktuell betroffenen USB-Platten erstmal in Ruhe lassen...
So würde ich jedenfalls vorgehen.

Die eigentliche Infektion mit der Ransomware passierte auf Deinem PC, den Du inzwischen formatiert hast. Auf den USB-Platten ist also nur noch verschlüsseltes Zeug, das aber nicht zwangsläufig selbst "infektiös" sein muss. Wie gesagt, ich würde die Datenträger einfach so wie sie sind einlagern und mir stattdessen neue besorgen. Festplatten sind heute wirklich nicht mehr teuer, insbesondere USB-HDDs. Ich weiß nicht, wie viele Daten Du speichern willst, aber 4TB bekommt man für ~100 Euro.

edit: Ich habe gerade mal auf BleepingComputer nachgeschaut. *.efdc ist eine brandneue Variante, zu der ich leider das hier gefunden habe:
Hier ist der Link zum Support-Topic auf BleepingComputer zu genau dieser Ransomware:
https://www.bleepingcomputer.com/for...support-topic/

Ich hoffe für Dich, dass Du Glück hast...

X.

Und was war das bitte genau für eine "verseuchte Version"? Sicherlich hast Du eine gecrackte oder ähnliche illegale Version einer Software geladen, um nicht dafür bezahlen zu müssen. Stimmt's oder stimmt's? Erster Fehler.

Zweiter Fehler. Man stöpselt niemals alle Sicherungsdatenträger zugleich an ein System an. Stattdessen immer nur einen zur Zeit.

Dritter Fehler: Es gibt von den Daten keine Mehrfach-Backups, sondern teils nur "Originale", also nicht mal ein einziges Backup.

Wieso neue Festplatte? Waren denn auf dem internen Systemdatenträger ebenfalls wichtige Daten drauf? Und was hast Du mit der ursprünglichen internen Festplatte angestellt? Wo ist die jetzt?

Nein, in erster Linie sind mal die Daten auf diesen durch Ransomware verschlüsselt. Das ist etwas ganz anderes als "von Ramsomware befallen".

Wenn die Daten darauf noch wichtig sind und zukünftig weiterhin Versuche der Wiederherstellung unternommen werden sollen, sind diese Datenträger im Schrank aufzubewahren und nicht weiter zu benutzen. Stattdessen sind neue Datenträger anzuschaffen. Im Weiteren musst Du dringend für ein Backupkonzept sorgen, das Du bisher nicht hattest, das heißt, zusätzlich zu den neuen Datenträgern sind weitere für Backups anzuschaffen, sonst ist das Ganze sinnfrei.

Dazu hat Xynthetic schon passend recherchiert.

Nein, dann geht es nicht, das ist ja auch der letzte bekannte, dokumentierte Status zur speziellen Ransomware.

Siehe vorige Beiträge.


Dann sollten die betroffenen Datenträger so belassen werden, wie sie jetzt sind.

Das sind zwei schlechte Ideen auf einmal, sprich: Es fehlt nur noch eine weitere zu einem negativen Überraschungsei. Erstens sollte man nichts von dem Ganzen verschieben, und zweitens schon drei Mal nicht auf einen USB-Stick, der für eine langjährige Speicherung angedacht wäre. Dazu sind USB-Sticks nicht geeignet!

Gar nicht.

Was willst Du jetzt mit einem Virenscanner? Der hat vorher nicht geholfen, und hilft jetzt auch nicht.

Nein, hast Du kein Sicherheitskonzept, läufst Du Gefahr, Dein System zu infizieren. Und Du hast kein Sicherheitskonzept. Und Du hattest auch keines.

Siehe oben. Zusätzlich: PC-/Internetführerschein machen.

Ja. An Board des Raumschiffs Enterprise.

Was soll das bloß immer mit dem Virenscanner? Das ist doch nicht hilfreich.

Hi,

ich stimme mmk zu, Du hast diverse Fehler gemacht, die Dich jetzt in eine sehr unschöne Lage gebracht haben.
Ich verfolge fast täglich, was in der Ransomware-Ecke auf BleepingComputer so passiert.
Ich schätze mal, dass rund 70-80% der User, die sich Ransomware auf den Rechner holen, einfachste Dinge missachtet haben (z.B. durch die Installation von Cracks - sehr beliebt, durch das Anklicken von E-Mail-Anhängen usw.).
Die Experten da tun alles, was möglich ist, um die Flut an Anfragen zu beantworten und jedem User bestmöglich zu helfen.
Aber auch die Jungs sind oft machtlos, weil das nicht irgendwelche Script-Kiddies sind, sondern Kriminelle. Die wissen leider genau, was sie tun. Das ist organisiertes Verbrechen.

Dass es einen Einbruch in einen Server über den WAN-Port gibt ist die absolute Ausnahme, die allermeisten User holen sich diese Seuche durch eigene Fehler auf den Rechner.

Du solltest Deine Datenträger jetzt möglichst in Ruhe lassen und auf eine potenzielle Lösung warten. An Deiner Stelle würde ich mir das Support Topic auf BC anschauen, dann hast Du einen Überblick, was machbar ist (oder auch nicht).
Den Link dazu hast Du von mir schon bekommen.

Ich wünsche Dir viel Erfolg mit Deinen Daten - Datenverlust ist oft eine absolute Katastrophe, ich kenne das Gefühl. Vielleicht gehörst Du ja zu den glücklichen Usern, denen mit einem Emsisoft Decryptor geholfen werden kann.

Übrigens: Die Daten auf Deinen USB-Platten sind einfach verschlüsselt. Das ist jetzt nur noch Datenmüll. Selbst wenn da die Ransomware selbst drauf wäre, dann wäre diese ebenfalls verschlüsselt und könnte nicht von Dir ausgeführt werden. Ich sehe also eher kein Problem darin, diese Datenträger hin und wieder mal anzuschließen. Die Frage ist nur - warum solltest Du das tun? Leg sie einfach in den Schrank, beobachte BC, und warte darauf, dass irgendwann ein Tool für Deine Variante erscheint.

Viel Glück!

X.
PS: Darf ich fragen, was Du bezahlen musst? BTC oder XMR? Würde mich einfach mal interessieren, was aktuell von Privatpersonen so verlangt wird...
Gibt es einen "Timer"? Wirst Du unter Druck gesetzt, möglichst schnell zu bezahlen? Ich würde mich darauf unter keinen Umständen einlassen, denn das geht garantiert schief.
Alle User, die auf BleepingComputer in den letzten zwei, drei Wochen bezahlt haben wurden abgerippt. Nicht einer hat seine Daten entschlüsseln können.
Und das trifft leider insbesondere auf alle neuen STOP (DJVU) Varianten zu.
Das war mal eine ganze Weile anders (und ändert sich auch immer mal wieder). Aber zur Zeit haben die Ransomware-Gangs offensichtlich wenig Ambitionen, die Keys rauszurücken.

Wenn ich das richtig filtere, steht für den TO primär die Frage im Focus, ob die (externen) Platten infektiös sind oder nicht.
Ich denke, er wird wissen wollen, wie er die gefahrlos handeln kann, falls irgendwann einmal die Möglichkeit bestünde, die Daten wieder zu entschlüsseln.
Daher ist sicher Xynthetics Ratschlag richtungsweisend:

Du hast vollkommen recht, Yatagan.
Wahrscheinlich kommt es dem TO genau darauf an.

Also, Sascha:
Du kannst diese Platten bei aktiviertem Virenscanner anschließen, falls irgendwann ein Decryptor für diese Variante erscheinen sollte.
Der Virenscanner wird keine einzige der verschlüsselten Dateien löschen (die sind für ihn nur ungefährlicher Datenmüll), und schon gar nicht die readme.txt (Textdateien enthalten keine Malware).
Pass nur auf, dass Du nichts an den Daten veränderst, nichts am Namen und überhaupt kein einziges Bit! Denn dann können sie definitiv nie wieder entschlüsselt werden.

Wie gesagt - beobachte das Support-Topic auf BleepingComputer (oder lies Dich da zumindest mal ein).

Übrigens - neulich gab es auf BC einen User, dessen Daten 2x mit verschiedenen Varianten verschlüsselt waren.
Keine Ahnung, wie sowas passieren kann. Absolutes Fehlversagen am Keyboard, würde ich sagen, die Experten auf BC hatten sowas auch noch nicht gesehen.
Am Ende stellte sich heraus, dass dieser User direkt zwei verseuchte Cracks hintereinander ausgeführt hat, und während Trojaner Nummer 1 schon dabei war, alles zu verschlüsseln, hat Trojaner Nummer 2 den Daten den Rest gegeben.

Was Du auch machen könntest - Du registrierst Dich auf BC und "abonnierst" das Support-Topic. Das ist relativ einfach machbar, und dann kriegst Du sofort eine E-Mail, sobald es in dem Thema neue Informationen gibt.
Sobald eine neue Variante erscheint, oder eine bekannte Variante entschlüsselt werden kann, erfährt man es dort.

ABER: Wenn Deine Daten mit einem Online-Key verschlüsselt wurden, dann sind sie leider für immer weg.

Viel Glück!

X.
PS: Vergiss die Frage nach der Summe, die Du bezahlen sollst. Ich sehe ja jeden Tag auf BleepingComputer, um welche Summen es aktuell geht.
Meistens sind es um die $500 für normale Desktops, bei dicken Servern wollen die Kriminellen auch schon mal >$2500 haben...

Kommt auf die Ransomware an, ob exen überhaupt verschlüsselt werden.
Das habe ich mit dem Windows Defender anders erlebt.
Wenn ein "Schutzprogramm" tumb nach strings sucht, ist auch hier eine Erkennung möglich.

Hi,

da hast Du allerdings recht, und (soweit ich weiß) verschlüsselt STOP (DJVU) EXE-Dateien nicht. Ein Restrisiko bleibt also.

Ich bei meinen VM-Tests bisher noch nicht.

Auch hier hast du absolut recht und ich lag falsch. Kann passieren. :daumenhoc

Übrigens meinte ich explizit die "readme.txt" der Kriminellen - die wollen ja, dass man die liest, daher steht da meistens kein Müll drin, der vom Antivirus "weggefressen" wird.
Und bevor es zum nächsten Missverständnis kommt - Müll steht da trotzdem drin. Nur eben eine andere Art von Müll.

Den Rest meiner Posts würde ich nochmal genauso schreiben.

X.