Computer mit ehiz-Ransomware infiziert

[Chris2012]

Hallo,

gestern habe ich meinen PC dummerweise mit der "ehiz" Ransomware infiziert. Ich habe alles fachgerecht entfernt. Problem ist jetzt bloß - alle Dateien sind immer noch incrypted, die Angreifer fordern $900 um die Daten zu encrypten, dieser Forderung werde ich definitiv nicht nachkommen.
Trotzdem stellen sich mir folgende Frage: 1. Wie kann ich möglichst viele dieser Daten decrypten?
2. Unter youtubevideos zu dem ehiz-viris sind Instagramnamen verlinkt, von Leuten, die für $100 ein Tool zum decrypten bereitstellen. Ist das scam, oder real?

Danke schon ein mal für alle Antworten

OS: Windows 10 Pro

 

[dahkenny]

2. Unter youtubevideos zu dem ehiz-viris sind Instagramnamen verlinkt, von Leuten, die für $100 ein Tool zum decrypten bereitstellen. Ist das scam, oder real?

Scam, 100%.

Edit: Halt, sind doch 1000%. Finger weg von sowas.

 

[piepenkorn]

Hallo, wie hast du das geschafft das du dir so ein Teil eingefangen hast?

 

[Tramizu]

Ist das scam, oder real?

Mich würde es nicht wundern, wenn das die selben Leute sind, die auch die Ransomware programmieren.

Hallo, wie hast du das geschafft das du dir so ein Teil eingefangen hast?

Ja das würde mich auch interessieren. Nicht der Schadenfreude wegen, sondern um andere vielleicht vor sowas bewahren zu können.

 

[Ponderosa]

1) Windows neu installieren.
2) Daten aus dem Backup wieder herstellen.
3) Alles Gut!

 

[Fujiyama]

Wenn irgendwelche Schadsoftware installiert ist macht man eigentlich die Möhre platt, irgendwelche bereinigungen sind pfusch und selten zielführend.

 

[Chris2012]

Hallo, wie hast du das geschafft das du dir so ein Teil eingefangen hast?

Wollte mir für die Uni ein ziemlich unbekanntes Programm runterladen, bin dann über dutzende Webseiten mit Werbung geleited worden, bis sich nen Download gestartet hat, der wie das Programm hieß und nachlässt ausführen war natürlich direkt alles zu spät

 

[piepenkorn]

Aha und wie hieß das unbekannte Programm?

 

[Chris2012]

1) Windows neu installieren.
2) Daten aus dem Backup wieder herstellen.
3) Alles Gut!

"Daten aus dem Backup wieder herstellen"?

Kannst du das kurz etwas genauer ausführen?
Macht Windows gelegentlich Backups aller Daten oder meinst du mein eigenes Backup?
Ist in meinem Fall leider schon was älter

 

[wrglsgrft]

Ist in meinem Fall leider schon was älter

Dann kannst du jetzt entweder bezahlen und hoffen, dass du deine Daten dann auch wirklich wieder kriegst, oder du lebst mit dem "was älteren" Backup.

In Zukunft wirst du wohl regelmäßiger Backups machen und keine "relativ unbekannten" Programme mehr irgendwo aus dem Internet runter laden.

 

[Chris2012]

Aha und wie hieß das unbekannte Programm?

Logisim-Evolution

 

[Ponderosa]

Macht Windows gelegentlich Backups aller Daten oder meinst du mein eigenes Backup?

Windows macht von sich aus keine Backups.
Deine eigenen Backups, die mit Aomei Backuper oder Macrium Reflect, oder sonstigem Backupprogramm angelegt sind, wiederherstellen.

 

[Poati]

Ich habe alles fachgerecht entfernt.

Wage ich mal zu bezweifeln.

Den Rechner kannst du platt machen ohne die (erkaufte) Gnade der Erpresser kommst du nicht mehr an die Daten heran. Das wäre auch ein bisschen zu einfach, wenn man die Daten wieder entschlüsseln könnte, meinst du nicht?

 

[Ponderosa]

Logisim habe ich auf 2 Seiten gefunden. Logosim - Softpedia und Logisim Sourceforge net

Wenn es das ist?

 

[Murray B.]

Wie einige meiner Vorredner schon erwähnt haben: setz die Kiste komplett neu auf. Ansonsten kannst du nicht sicher sein, ob nicht irgendwelche Reste von der Ransomware geblieben sind und sich später wieder aktivieren.

Und wenn es kein Backup gibt, waren die Daten auch nicht wichtig. Alte Weisheit aus dem vorigen Jahrtausend... SCNR

 

[Serana]

Wollte mir für die Uni ein ziemlich unbekanntes Programm runterladen,

Wenn mit Logisim-Evolution der Logik-Simulator gemeint ist, dann verstehe ich nicht inwiefern das Ding schwer zu finden sein soll.

Github: https://github.com/logisim-evolution/logisim-evolution
Fertig kompiliert: https://github.com/logisim-evolution/logisim-evolution/releases

@Ponderosa
Sowohl die Version von Softpedia als auch die auf Sourceforge beinhalten die Urversion von Logisim die aber seit 2011 nicht mehr weiterentwickelt wird. Offiziell eingestellt wurde das Projekt 2014. Weitergeführt wurde dieses Projekt als Logisim-Evolution auf der verlinkten Github-Seite.

 

[chrigu]

Dummerweise, aha.
Wenn das auf dem uniserver liegt, bitte sofort it-scheff informieren, auch wenn es nur ein Link ist und der nicht blockiert wird. Der it Spezi kann herausfinden, wer was wann gemacht hat und eventuell durch Druck( Rausschmiss aus Uni) den decrypt Code herausfinden.
ansonsten
1) wer zahlt verliert (Geld und Daten)
2) wer daran glaubt verliert auch.

 

[dcz01]

Man könnte es mal mit diesem Decrypt-Tool versuchen, falls der Private Key offline ist:
https://malwaretips.com/blogs/remove-ehiz/

Sonst:
https://id-ransomware.malwarehunterteam.com/index.php?lang=de_DE
https://www.nomoreransom.org/de/index.html

 

[purzelbär]

Chris2012, es gibt nur eine vernünftige Stategie: wenn du keine cleanes Systembackup von Windows 10 hast das du mit dem Boot Medium des Backup Programms einspielen kannst, ist eine Windows 10 Neuinstallation: https://www.deskmodder.de/wiki/index.php/Windows_10_clean_neu_installieren angesagt und das einspielen eines Backups dir wichtiger Dateien die du hoffentlich extra auf ein externes Speichermedium gesichert hast. Ausserdem würde ich wenn ich du wäre, noch zusätzlich alle bisherigen Passwörter für Onlinebanking, Onlineshops, E-Mails, Accounts usw. ändern.

 

[Dr. McCoy]

Ich habe alles fachgerecht entfernt.

Nein. Ein "fachgerechtes Entfernen" setzt nach einer Systemkompromittierung ein Neuaufsetzen des Systems voraus, alternativ das Einspielen eines sauberen Images.

Problem ist jetzt bloß - alle Dateien sind immer noch incrypted,

Na klar sind die noch verschlüsselt. Zur Veranschaulichung: Wenn jemand mit Pinsel und Eimer vor einer Wand steht und sie rot streicht, Du ihm danach diese beiden Dinge abnimmst, wegwirfst oder im Keller einschließt, bleibt die Wand danach trotzdem rot und wird nicht sofort wieder weiß, nachdem Eimer und Pinsel verschwunden sind. Ist doch logisch, oder?

die Angreifer fordern $900 um die Daten zu encrypten, dieser Forderung werde ich definitiv nicht nachkommen.

Das ist halt Ransomware, mit all ihren Eigenschaften:
-> https://de.wikipedia.org/wiki/Ransomware

Trotzdem stellen sich mir folgende Frage: 1. Wie kann ich möglichst viele dieser Daten decrypten?

In der Regel gar nicht. Du kannst sie nur dann sicher alle wiederherstellen, wenn Du ein vollständiges externes Datenbackup hättest, das Du regelmäßig aktualisiert hättest. Du kannst nur hoffen, dass es z.B. aufgrund eines Fehlers der Erpresser ein Programm zur Entschlüsselung gibt. Herausfinden kannst Du dies mit Hilfe dieser Seite:
-> https://id-ransomware.malwarehunterteam.com/index.php?lang=de_DE
-> https://www.bleepingcomputer.com/fo...dentify-what-ransomware-encrypted-your-files/

2. Unter youtubevideos zu dem ehiz-viris sind Instagramnamen verlinkt, von Leuten, die für $100 ein Tool zum decrypten bereitstellen. Ist das scam, oder real?

Damit holst Du Dir im Zweifel noch eine weitere Malwre auf das System.