Ransomware Angriff - Alle Dateien verschlüsselt mit RSA4096 Verschlüsselung
 

Hallo zusammen,
gestern fand o.g. Angriff (leider) erfolgreich statt. Vermutlich via Öffnen durch eine Meldung "Installieren sie diese Datei", genau weiß ich es nicht da dies bei meiner besseren Hälfte passierte.

Mein Virenscanner (Bullguard) war auf Stufe "Hoch" und nicht auf "Maximal" eingestellt. Möglicherweise erkannte er es deswegen nicht.

Textinhalt siehe Anhang "CCECD5791E4B.txt".

Das Ergebnis meines Virenscanners von gestern Abend siehe "Bullguard Ergebnis.jpg". Mehr Logfiles von meinem Virenscanner mit einem Fund habe ich nicht.

Punkt 2, Schritt 1 "Systemscan mit FRST64" hat nicht geklappt wegen "Inkompatibilität", 64-Bit System. Ich hab aber 64 Bit und das richtige File runter geladen.

Momentaner Stand: Alle Dateien verschlüsselt, ich soll eine Entschlüsselungsdatei runterladen, nach 100 Stunden kostet es das doppelte (jetzt 1.2 BitCoin). Ich habe probiert eine Bilddatei wieder in eine jpg-Datei umzubenennen, hat nicht geklappt. Komischerweise hatten sie gestern noch eine kryptische Endung, heute ist diese wieder normal. Aber der Typ steht nach wie vor "KRYPZ" ...

So ich hoffe ich habe alles...vielen Dank schon mal für eure Hilfe!

Natürlich klappt das nicht, so einfach ist die Welt nicht.

Die Bereinigung ist meistens kein Thema aber dennoch sollte man wissen was du dir vorstellst um die Dateien zu recovern. Entschlüsselung ist nämlich bei aktuellen ransoms meistens unmöglich oder mit sehr Hoffnung und Warterei verbunden. Eine Bereinigung holt deine Dateien nicht zurück! Das kann nur ein Backup oder wenn vorhanden ein decrypter.

Siehe https://id-ransomware.malwarehunterteam.com/

Kann ich denn einen USB Stick benutzen oder ist der dann auch befallen sobald der eingesteckt wird?

USB-Stick :wtf: welchen Zweck soll der erfüllen?

Ich muss Bilder aus dem Netz runter laden, hat nix mit dem Problem zu tun.

Bereinigung: sorry, bin nicht der EDV Profi, aber was verstehst du unter "recovern"?
Backup und decrypter sind nicht vorhanden, bzw. decrypter ja nur gegen "Entgelt" ...

Wie gesagt, ich hab dir da nen Link gepostet. Darüber musst du mal checken welchen ransom du hast und ob es einen decryypter gibt.

Hallo Cosinus,
der Link teilt mir mit das es keine Möglichkeit gibt. Benötigst du den genauen Wortlaut?

Nö, das dachte ich mir schon. Deine Daten werden wohl weg sein da du ja auch kein Backup hast. Bezahlen soll man die Erpresser nur im allergrößten Notfall, wenn Leben/Existenzen von diesen Daten abhängig sind (zB Daten weg = Firmenpleite)


Es bestehen noch theoretische Chancen, die Daten mit folgenden Methoden zu recovern:

http://i.imgur.com/y3MMIrs.png Vorgängerversionen

• Rechtsklicke eine verschlüsselte Datei und klicke auf Einstellungen
• Klicke Vorgängerversionen.
• Dieser Tab listet alle Kopien der gewählten Datei und wann sie gesichert wurde.
• Um eine bestimmte Version der Datei wiederherzustellen, klick Kopiere und wähle einen Ordner, in dem die Datei gespeichert werden soll.
• Falls Du die existierende Datei mit der Version ersetzen willst, klicke Wiederherstellen
• Falls Du den Inhalt der Datei vorher prüfen möchtest, klicke Öffnen

http://i.imgur.com/MzmiIl9.gif ShadowExplorer

• Bitte lade die Datei ShadowExplorer runter und speichere sie auf Deinem Desktop.
• Rechtsklicke ShadowExplorer-0.9-portable.zip und klicke Alle Extrahieren. Wähle den Desktop und klicke Extrahieren
• Rechtsklicke ShadowExplorer.exe und wähle http://i.imgur.com/AVOiBNU.jpg Als Administrator ausführen.
• Du wirst ein Drop-Down-Menü sehen, das Dir die Schattenkopien aller Partitionen und Laufwerke zeigt.
• Klicke C:\ im Menü.
• Wähle rechts ein Datum vor der Infektion aus.
• Um einen ganzen Ordner wiederherzustellen, klicke mit der rechten Maustaste auf den Ordner und klicke Export. Du wirst dann danach gefragt, wohin die wiederhergestellten Dateien gespeichert werden sollen.
  

http://i.imgur.com/J8xQM97.pngDatenwiederherstellungssoftware
Datenwiederherstellungssoftware kann in der Lage sein die Originaldateien wiederherzustellen, welche von der Ransomware gelöscht wurden. Ich empfehle eines der folgenden Programme zu verwenden.

• http://i.imgur.com/fSA1TL4.png R-Studio
• http://i.imgur.com/C08PZmH.png Photorec
• http://i.imgur.com/uc6sByo.png Recuva

ein erstes Ergebnis mit der Software "TestDisk" - siehe Screenshot...

Zur Info: Vorgängerversionen und ShadowExplorer funktionieren nicht

was bedeutet das Ergebnis eigentlich?

Natürlich funktioniert so eine Software wie ShadowExplorer. Wenn aber keine Schattenkopien mehr da sind, weil der Schädling alles gelöscht hat, ist das nicht die Schuld von den Vorgängerversionen oder ShadowExplorer

Du möchtest bitte mal die Testdisk Doku lesen bevor du mit so einem mächtigen Tool an den Platten schraubst => CGSecurity - Data recovery: TestDisk & PhotoRec

Nur um Missverständnisse zu vermeiden: ich habe nur gesagt das es nicht funktioniert hat, nicht das die ausführende Software daran schuld ist. :)

Genau deswegen hab ich ja darauf herumgeritten, weil bei Laien, die hier mitlesen, schnell der Eindruck entstehen könnte, dass der ShadowExplorer schuld daran sei, dass nix in den Schattenkopien zu sehen ist.

Ich weiß noch, vor ein paar Jahren bei den ersten Verschlüsselungstrojanern, hat sich jmd beschwert, dass wir nur Lösungen für Vista und 7 anbieten würden obwohl ja sooo viele noch mit XP arbeiten. Dass es bei XP dieses Feature mit den Schattenkopien nicht gibt wurde dann überlesen...

Kurze Zwischeninfo:
Ich bin noch dabei Viren von meinem PC zu entfernen, benutze dafür "Desindec't", ist wirklich gut. Leider so gut das ich echt überrascht bin wieviele der findet...
Photorec/Testdisc hat gut funktioniert, konnte einige wieder herstellen...

Wie viel er findet ist irrelevant....wichtig ist was und wo...