crypto trojaner

[Gandalf2210]

Moin

Ganz Frisch zu Weihnachten hat sich einer der Familie was nettes eingefangen.
Es gehen beim start mehrere Fenster auf in denen was von decrypt@btcbtcbtc.top steht
Alle Dateien wurden mit der Endung [decrypt@btcbtcbtc.top]-id-F78.wallet versehen.
Was für ein crypto Virus ist das? gibt es da entsprechende entschlüsselungstools, oder hilft nur neu aufsetzen?

 

[Nureinnickname!]

https://www.bleepingcomputer.com/forums/t/632389/dharma-ransomware-filenameemailwalletceserarena-support-topic/

Vielleicht hilft dir das Weiter, wünsche dir viel glück.

Danach Daten Sichern, evtl Backup anlegen, Festplatte Wipen, am besten mit DBAN damit alles überschrieben wird, auch Bootsektoren und son gedöns, Windows neu aufspielen, und Spybot S&D installieren, so würde ich es jedenfalls machen.

 

[Dr. McCoy]

Alle Dateien wurden mit der Endung [decrypt@btcbtcbtc.top]-id-F78.wallet versehen.
Was für ein crypto Virus ist das?

Das ist kein "Virus", sondern ein Verschlüsselungstrojaner (Ransomware). Er gehört zu "Dharma", bzw. Kaspersky bezeichnet ihn als "Trojan-Ransom.Win32.Crusis".

gibt es da entsprechende entschlüsselungstools,

-> https://support.kaspersky.com/de/viruses/disinfection/10556

Das kann zur Datenwiederherstellung bei alten Versionen der Malware helfen, muss aber nicht bei neuen. Am besten ist es, wenn der betroffene Nutzer einfach das externe Datenbackup aufspielt, nachdem das Betriebssystem neu aufgesetzt wurde.

oder hilft nur neu aufsetzen?

Das sowieso, denn das System wurde ja durch eine Malware kompromittiert. Das zieht zwangsläufig eine frische Systemneuinstallation nach sich. Mit ihm darf nicht mehr gearbeitet werden. Selbstredend bedeutet dies natürlich auch, dass unter dem infizierten System keinerlei externe Datenträger mehr angeschlossen werden dürfen.

Am besten mittels Caine Live und den darauf enthalten Tool ddrescue (gui) erstmal ein Komplettimage der internen Festplatte auf eine externe ziehen, und dann am Image das Entschlüsselungstool ausprobieren.

Danach Daten Sichern, evtl Backup anlegen,

Datensicherung bzw. Backup sind nicht "eventuell" anzulegen, sondern zwingend. Allerdings bereits im Vorfeld, nicht erst dann, wenn eine Infektion bereits eingetreten ist. In dem von Dir verlinkten Thread steht gleich im ersten Beitrag:

Backups, multiple backups and testing them regularly are important.

Zu Deutsch: Datensicherungen, mehrfache Datensicherungen und regelmäßiges Prüfen derselben sind wichtig.

und Spybot S&D installieren

Das bringt ja keinen Schutz vor solchen Infektionen, zumal der Nutzer selbst die Malware ausgeführt hat. Da hilft kein Tool, sondern nur das Einschalten des Verstandes vor Benutzung eines PCs.

 

[purzelbär]

Was für ein crypto Virus ist das? gibt es da entsprechende entschlüsselungstools

Lade hier: https://id-ransomware.malwarehunterteam.com/index.php?lang=de_DE eine der verschlüsselten Dateien hoch und dann erfährst du ob es ein Entschlüsselungstool gibt oder nicht.

Spybot S&D installieren

Spybot taugt meiner Meinung nach nichts oder nicht viel, um Spyware und Adware aufzufinden und zu löschen gibt es bessere Scanner wie Adwcleaner, Malwarebytes Free usw.
Ansonste stimme ich Dr. McCoy Ausführungen zu, bezweifle aber ob es Backups der verschlüsselten Daten gibt die sauber und nicht von der Verschlüsselung betroffen sind. Für die Zukunft: nie irgendwelche Links oder Dateien in unbekannten Mails anklicken oder öffnen und wenn das System neu aufgesetzt ist, Daten Backup machen sowie regelmässig Systembackups/images machen und das auf einen externen Datenträger wie eine USB Festplatte oder NAS die offline sein sollte wenn der Datenträger nicht benutzt wird denn wenn die USB Festplatte oder das NAS im Heimnetzwerk wären, sind die online und ein Verschlüsselungstrojaner würde deren Inhalt auch verschlüsseln.

 

[Nureinnickname!]

Datensicherung bzw. Backup sind nicht "eventuell" anzulegen, sondern zwingend. Allerdings bereits im Vorfeld, nicht erst dann, wenn eine Infektion bereits eingetreten ist.

Mal ganz ehrlich, wieviele Leute kennst du, welche ein Backup von ihren Kompletten Daten angelegt haben? Von 100.000 Usern macht das schätzungsweise vielleicht Einer? Den Satz, und dann ihr Backup einspielen, kann man sich zu 99,999% Schenken, weil wenn eine Person ein Backup hat, geht diese erstens nicht in ein Forum und Fragt nach Hilfe, sondern macht einfach das System Platt, und Spielt das Backup ein.

 

[Dr. McCoy]

Mal ganz ehrlich, wieviele Leute kennst du, welche ein Backup von ihren Kompletten Daten angelegt haben?

Es ist für die Empfehlung zum korrekten Vorgehen völlig unerheblich, wie viele ich kenne, oder wie viele es machen. Entscheidend ist, was umzusetzen ist, und nicht das, was andere machen, oder eben unterlassen.

Von 100.000 Usern macht das schätzungsweise vielleicht Einer? Den Satz, und dann ihr Backup einspielen, kann man sich zu 99,999% Schenken, weil wenn eine Person ein Backup hat, geht diese erstens nicht in ein Forum und Fragt nach Hilfe, sondern macht einfach das System Platt, und Spielt das Backup ein.

Dein Ratschlag war, "evtl. Backup anlegen". Und dieses "eventuell" als Zusatz ist, gerade vor dem Hintergrund, dass viele User eben keine solchen anlegen, kein guter Rat.

 

[Nureinnickname!]

Dein Ratschlag war, "evtl. Backup anlegen". Und dieses "eventuell" als Zusatz ist, gerade vor dem Hintergrund, dass viele User eben keine solchen anlegen, kein guter Rat.

Nach der Kompromittierung macht es in meinen Augen eh keinen Sinn mehr ein Backup zu machen. Ja war mein Fehler, ich meinte natürlich im vorraus.