Computer mit ehiz-Ransomware infiziert

Chris2012

Newbie
Registriert
Mai 2021
Beiträge
4
Hallo,

gestern habe ich meinen PC dummerweise mit der "ehiz" Ransomware infiziert. Ich habe alles fachgerecht entfernt. Problem ist jetzt bloß - alle Dateien sind immer noch incrypted, die Angreifer fordern $900 um die Daten zu encrypten, dieser Forderung werde ich definitiv nicht nachkommen.
Trotzdem stellen sich mir folgende Frage: 1. Wie kann ich möglichst viele dieser Daten decrypten?
2. Unter youtubevideos zu dem ehiz-viris sind Instagramnamen verlinkt, von Leuten, die für $100 ein Tool zum decrypten bereitstellen. Ist das scam, oder real?

Danke schon ein mal für alle Antworten

OS: Windows 10 Pro
 
Chris2012 schrieb:
2. Unter youtubevideos zu dem ehiz-viris sind Instagramnamen verlinkt, von Leuten, die für $100 ein Tool zum decrypten bereitstellen. Ist das scam, oder real?
Scam, 100%.

Edit: Halt, sind doch 1000%. Finger weg von sowas.
 
  • Gefällt mir
Reaktionen: Hayda Ministral, GaborDenes und Murray B.
Chris2012 schrieb:
Ist das scam, oder real?
Mich würde es nicht wundern, wenn das die selben Leute sind, die auch die Ransomware programmieren.
piepenkorn schrieb:
Hallo, wie hast du das geschafft das du dir so ein Teil eingefangen hast?
Ja das würde mich auch interessieren. Nicht der Schadenfreude wegen, sondern um andere vielleicht vor sowas bewahren zu können.
 
  • Gefällt mir
Reaktionen: piepenkorn
1) Windows neu installieren.
2) Daten aus dem Backup wieder herstellen.
3) Alles Gut!
 
  • Gefällt mir
Reaktionen: Engaged, nitech, NJay und 4 andere
Wenn irgendwelche Schadsoftware installiert ist macht man eigentlich die Möhre platt, irgendwelche bereinigungen sind pfusch und selten zielführend.
 
  • Gefällt mir
Reaktionen: Telefonmann_2 und Murray B.
piepenkorn schrieb:
Hallo, wie hast du das geschafft das du dir so ein Teil eingefangen hast?
Wollte mir für die Uni ein ziemlich unbekanntes Programm runterladen, bin dann über dutzende Webseiten mit Werbung geleited worden, bis sich nen Download gestartet hat, der wie das Programm hieß und nachlässt ausführen war natürlich direkt alles zu spät
 
Ponderosa schrieb:
1) Windows neu installieren.
2) Daten aus dem Backup wieder herstellen.
3) Alles Gut!
"Daten aus dem Backup wieder herstellen"?

Kannst du das kurz etwas genauer ausführen?
Macht Windows gelegentlich Backups aller Daten oder meinst du mein eigenes Backup?
Ist in meinem Fall leider schon was älter
 
Chris2012 schrieb:
Ist in meinem Fall leider schon was älter

Dann kannst du jetzt entweder bezahlen und hoffen, dass du deine Daten dann auch wirklich wieder kriegst, oder du lebst mit dem "was älteren" Backup.

In Zukunft wirst du wohl regelmäßiger Backups machen und keine "relativ unbekannten" Programme mehr irgendwo aus dem Internet runter laden.
 
  • Gefällt mir
Reaktionen: AudioholicA und Murray B.
Chris2012 schrieb:
Macht Windows gelegentlich Backups aller Daten oder meinst du mein eigenes Backup?
Windows macht von sich aus keine Backups.
Deine eigenen Backups, die mit Aomei Backuper oder Macrium Reflect, oder sonstigem Backupprogramm angelegt sind, wiederherstellen.
 
  • Gefällt mir
Reaktionen: Murray B. und piepenkorn
Chris2012 schrieb:
Ich habe alles fachgerecht entfernt.
Wage ich mal zu bezweifeln.

Den Rechner kannst du platt machen ohne die (erkaufte) Gnade der Erpresser kommst du nicht mehr an die Daten heran. Das wäre auch ein bisschen zu einfach, wenn man die Daten wieder entschlüsseln könnte, meinst du nicht?
 
  • Gefällt mir
Reaktionen: coasterblog, Murray B., piepenkorn und eine weitere Person
Logisim habe ich auf 2 Seiten gefunden. Logosim - Softpedia und Logisim Sourceforge net
Logisim.png
Wenn es das ist?
 
  • Gefällt mir
Reaktionen: Dr. McCoy und Murray B.
Wie einige meiner Vorredner schon erwähnt haben: setz die Kiste komplett neu auf. Ansonsten kannst du nicht sicher sein, ob nicht irgendwelche Reste von der Ransomware geblieben sind und sich später wieder aktivieren.

Und wenn es kein Backup gibt, waren die Daten auch nicht wichtig. Alte Weisheit aus dem vorigen Jahrtausend... SCNR
 
Chris2012 schrieb:
Wollte mir für die Uni ein ziemlich unbekanntes Programm runterladen,
Wenn mit Logisim-Evolution der Logik-Simulator gemeint ist, dann verstehe ich nicht inwiefern das Ding schwer zu finden sein soll.

Github: https://github.com/logisim-evolution/logisim-evolution
Fertig kompiliert: https://github.com/logisim-evolution/logisim-evolution/releases

@Ponderosa
Sowohl die Version von Softpedia als auch die auf Sourceforge beinhalten die Urversion von Logisim die aber seit 2011 nicht mehr weiterentwickelt wird. Offiziell eingestellt wurde das Projekt 2014. Weitergeführt wurde dieses Projekt als Logisim-Evolution auf der verlinkten Github-Seite.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Dr. McCoy, Murray B. und AudioholicA
Dummerweise, aha.
Wenn das auf dem uniserver liegt, bitte sofort it-scheff informieren, auch wenn es nur ein Link ist und der nicht blockiert wird. Der it Spezi kann herausfinden, wer was wann gemacht hat und eventuell durch Druck( Rausschmiss aus Uni) den decrypt Code herausfinden.
ansonsten
1) wer zahlt verliert (Geld und Daten)
2) wer daran glaubt verliert auch.
 
  • Gefällt mir
Reaktionen: Murray B., PHuV, AudioholicA und 2 andere
Chris2012, es gibt nur eine vernünftige Stategie: wenn du keine cleanes Systembackup von Windows 10 hast das du mit dem Boot Medium des Backup Programms einspielen kannst, ist eine Windows 10 Neuinstallation: https://www.deskmodder.de/wiki/index.php/Windows_10_clean_neu_installieren angesagt und das einspielen eines Backups dir wichtiger Dateien die du hoffentlich extra auf ein externes Speichermedium gesichert hast. Ausserdem würde ich wenn ich du wäre, noch zusätzlich alle bisherigen Passwörter für Onlinebanking, Onlineshops, E-Mails, Accounts usw. ändern.
 
  • Gefällt mir
Reaktionen: Murray B. und Ponderosa
Chris2012 schrieb:
Ich habe alles fachgerecht entfernt.
Nein. Ein "fachgerechtes Entfernen" setzt nach einer Systemkompromittierung ein Neuaufsetzen des Systems voraus, alternativ das Einspielen eines sauberen Images.

Chris2012 schrieb:
Problem ist jetzt bloß - alle Dateien sind immer noch incrypted,
Na klar sind die noch verschlüsselt. Zur Veranschaulichung: Wenn jemand mit Pinsel und Eimer vor einer Wand steht und sie rot streicht, Du ihm danach diese beiden Dinge abnimmst, wegwirfst oder im Keller einschließt, bleibt die Wand danach trotzdem rot und wird nicht sofort wieder weiß, nachdem Eimer und Pinsel verschwunden sind. Ist doch logisch, oder?

Chris2012 schrieb:
die Angreifer fordern $900 um die Daten zu encrypten, dieser Forderung werde ich definitiv nicht nachkommen.
Das ist halt Ransomware, mit all ihren Eigenschaften:
-> https://de.wikipedia.org/wiki/Ransomware


Chris2012 schrieb:
Trotzdem stellen sich mir folgende Frage: 1. Wie kann ich möglichst viele dieser Daten decrypten?
In der Regel gar nicht. Du kannst sie nur dann sicher alle wiederherstellen, wenn Du ein vollständiges externes Datenbackup hättest, das Du regelmäßig aktualisiert hättest. Du kannst nur hoffen, dass es z.B. aufgrund eines Fehlers der Erpresser ein Programm zur Entschlüsselung gibt. Herausfinden kannst Du dies mit Hilfe dieser Seite:
-> https://id-ransomware.malwarehunterteam.com/index.php?lang=de_DE
-> https://www.bleepingcomputer.com/fo...dentify-what-ransomware-encrypted-your-files/


Chris2012 schrieb:
2. Unter youtubevideos zu dem ehiz-viris sind Instagramnamen verlinkt, von Leuten, die für $100 ein Tool zum decrypten bereitstellen. Ist das scam, oder real?
Damit holst Du Dir im Zweifel noch eine weitere Malwre auf das System.
 
  • Gefällt mir
Reaktionen: Murray B. und Ponderosa
Zurück
Oben