CryptoWall/TeslaCrypt Ransomware Virus - Dateiendung nun .vvv

[ceddy]

Hallo,

in Bekannter hat gestern eine E-Mail mit einem .zip Anhang bekommen. Da die E-Mail auch an Freunde von ihm gesendet wurde und es um ein Klassentreffen ging, hat er den Anhang dann geöffnet. Vorerst ist nichts passiert. Bedenklich: Die E-Mail ist weder im Spam Ordner gelandet (Microsoft E-Mail Konto) noch hat das Virenprogramm reagiert (Avira AntiVir PRO).

Als er jedoch heute morgen seinen PC gestartet hat kamen die Meldungen:




ALLE Daten sind nun verschlüsselt als .VVV Datei. Heftig finde ist, dass auch alles auf seinem Server (welcher per Netzlaufwerk eingebunden war) nun verschlüsselt ist.

Das Backup ist natürlich ein halbes Jahr als und das RAID bringt in solchen Fällen natürlich herzlich wenig.

Schattenkopien, Wiederherstellungspunkt und gelöschte Dateien habe ich alles schon überprüft! Da haben die Programmierer der Ransomware ordentliche Arbeit geleistet. Im Internet steht das die mit der Masche schon mehrere Millionen gemacht haben. Da es ein Erpressungsversuch ist, haben wir bei der Polizei angerufen. Mehr aus Neugierde und damit die Polizei das in ihre Statistik aufnehmen kann. Uns wurde allerdings gesagt das die dafür nicht zuständig seien und für die Statistiken bringt dies nichts...

Der CryptoWall/TeslaCrypt Ransomware Virus scheint immer weiter entwickelt worden zu sein und liegt nun in einer neueren Version vor, sodass bisher nicht wirklich viel dazu im Internet zu finden ist.

Hat jemand von euch damit evt. Erfahrung gemacht? Oder ein Tipp für uns wie man evt. sogar wieder an die Daten ran kommen kann? Und mit welchen Programm würdet ihr den PC am Besten reinigen? (abgesehen von Antivirus Programm)

 

[Raybeez]

Im Moment gibt es keine Möglichkeit, die Verschlüsselung zu knacken. An die Daten kommt ihr nur ran, in dem ihr das Lösegeld bezahlt oder darauf hofft, dass in den nächsten Wochen, Monaten oder Jahren der Entschlüsselungskey bekannt wird.

Grundsätzlich sollte man ein einmal kompromittiertes System komplett neu aufsetzen. Man weiß nie, was die Schadsoftware alles angerichtet hat.

 

[blackbirdone]

Einfach neu aufsetzen und die lehren daraus ziehen nicht Emailanhänge zu öffnen (wer nutzt das überhaupt noch..)

 

[ceddy]

Ich danke euch für die schnellen und ehrlichen Antworten! Dann werde ich das System neu aufsetzen und darauf pochen das die öfter mal ein Backup erstellen. Das Geld wird nicht gezahlt, ich möchte ungern so etwas finanziell unterstützen. Außerdem weiß man nicht ob danach wirklich alles entschlüsselt wird. Mal schauen evt. gibt es ja auch bald ein Workaround zum entschlüsseln.

Aber E-Mail Anhänge werden in meinen Beruf und Umfeld doch noch recht häufig genutzt

 

[tiash]

Wenn die Virenautoren langsam mal aus ihren Fehlern lernen, dann wird es schon bald (vielleicht schon bei diesem Exemplar) keine Möglichkeit mehr geben, die Daten zu entschlüsseln. Die Kryptographie gibt das schon jahrelang her, lediglich bei der Schlüsselableitung wurde bisher häufig noch auffallend stümperhaft gearbeitet. Man ist gut damit bedient sich damit abzufinden, dass derart verschlüsselte Daten unwiederbringlich verloren sind.
Falls es kritische Daten sind die einen erheblichen finanziellen Verlust nach sich ziehen würden, kann man darüber nachdenken, zu bezahlen. Ich halte davon ja auch überhaupt nichts, aber wenn es erst einmal zu spät ist ist das die letzte Möglichkeit, die man noch hat.

Grundsätzlich zeigt dieser Fall aber wieder einmal, dass man nicht nur ein regelmäßiges Backup braucht, sondern dass dieses eben auch noch ordentlich gesichert werden muss (also nicht auf einem ständig eingebundenen Netzlaufwerk).

 

[acidarchangel]

Moin!
Das gleich traf mich gestern als mich ein Bekannter um Hilfe bat, da er meinte, dass seine Excel-Dateien defekt seien. Cleverer Weise hatte er seine Backup Platte immer schön im HDD-Bay stecken und damit dauerhaft verbunden. Alles an Fotos und Office Dateien sind damit weg. Kein weiteres Backup vorhanden...
Schattenkopien und Wiederherstellungspunkt habe ich auch zuerst geprüft, auch alles weg. Was das angeht, haben die Ersteller auf jeden Fall ganze Arbeit geleistet.

 

[Raybeez]

Wenn die Virenautoren langsam mal aus ihren Fehlern lernen, dann wird es schon bald (vielleicht schon bei diesem Exemplar) keine Möglichkeit mehr geben, die Daten zu entschlüsseln.

Das wäre aber schlecht für die Virenautoren. Denen geht es schließlich nicht darum Daten zu zerstören, sondern darum Lösegeld zu bekommen. Und wenn sich rumsprechen würde, dass die Lösegeldzahlung nichts bringt, gibt es weniger Geld.
Das wäre eine Lose-Lose-Situation.

 

[Kronos60]

Da kann man für die Zukunft lernen, eine Systemsicherung (Image) und eine Datensicherung auf eine externe Festplatte anzulegen und die Festplatte nur zur Datensicherung anschließen. Dann kann man so ein Dilemma verhindern. Bezahlen ist ein großes Risiko, die Gefahr ist groß das die Kriminellen das Geld nehmen und kein Entschlüsselungstool liefern.

 

[purzelbär]

Moin!
Das gleich traf mich gestern als mich ein Bekannter um Hilfe bat, da er meinte, dass seine Excel-Dateien defekt seien. Cleverer Weise hatte er seine Backup Platte immer schön im HDD-Bay stecken und damit dauerhaft verbunden. Alles an Fotos und Office Dateien sind damit weg. Kein weiteres Backup vorhanden...
Schattenkopien und Wiederherstellungspunkt habe ich auch zuerst geprüft, auch alles weg. Was das angeht, haben die Ersteller auf jeden Fall ganze Arbeit geleistet.

Oh Menno man macht doch keine Backups vom System oder von wichtigen Daten auf eine Festplatte die im PC eingebaut ist. Dafür nimmt man eine USB Festplatte die man nur anschliesst oder einschaltet wenn diese benutzt wird. Und noch etwas: nicht nur ein Systembackup machen, sondern in regelmässigen Abständen immer wieder mal ein neues machen denn was nutzt mir ein Systembackup das schon ein halbes Jahr oder älter alt ist?

 

[acidarchangel]

Oh Menno man macht doch keine Backups vom System oder von wichtigen Daten auf eine Festplatte die im PC eingebaut ist. Dafür nimmt man eine USB Festplatte die man nur anschliesst oder einschaltet wenn diese benutzt wird. Und noch etwas: nicht nur ein Systembackup machen, sondern in regelmässigen Abständen immer wieder mal ein neues machen denn was nutzt mir ein Systembackup das schon ein halbes Jahr oder älter alt ist?

Mir musst du das nicht sagen.

 

[ceddy]

Nun ist es auch bei Heise angekommen:

http://www.heise.de/security/meldung/Gefaehrliches-Duo-Erpressungstrojaner-kommt-mit-Word-Datei-3039927.html

 

[purzelbär]

Mir musst du das nicht sagen.

Das galt ja mehr deinem Bekannten dem du das bitte weiter gibst

 

[tiash]

Das wäre aber schlecht für die Virenautoren. Denen geht es schließlich nicht darum Daten zu zerstören, sondern darum Lösegeld zu bekommen.

Damit meinte ich natürlich das Entschlüsseln, ohne dass das Passwort bekannt ist, so wie es für zahlreiche Cryptotrojaner heute eben noch Helferprogramme gibt, mit denen man die Verschlüsselung rückgängig machen kann. Dieser Teil wird garantiert bald nicht mehr möglich sein.
Und natürlich kann man sich auch nach dem Bezahlen nicht sicher sein, dass die Daten entschlüsselt werden. Es gibt genug Fälle, in denen nichts passiert ist nach einer Zahlung. Trotzdem scheint diese Art der Trojaner weiterhin sehr lukrativ zu sein.

 

[Kronos60]

Ich habe in ein paar Foren gelesen, dass wirklich ein Entschlüsselungstool geliefert wurde aber das ist sicherlich nur eine Ausnahme.

 

[M@rsupil@mi]

Es würde doch sehr viel besser zum Geschäftsmodell passen, wenn das eben nicht die Ausnahme ist.

 

[Sepp Depp]

...noch hat das Virenprogramm reagiert...

Das wundert mich kaum. Schaut man sich auf Virustotal.com so mal rein interessehalber an wie schnell Hersteller reagieren, überrascht einen das nicht mehr so.

Eine Variante von TeslaCrypt im .doc-Format wurde am 14.12.2015 17:08 auf Virustotal.com eingereicht.
Am 16.12.2015 02:27 erkannten immerhin schon 18 Scanner den Schädling, darunter BitDefender, Emsisoft, F-Secure, GData, Kaspersky, McAfee, Microsoft, Symantec.
Scanner die bis dahin immer noch schwiegen: AVG, Avast, Avira, ESET-NOD32, Malwarebytes, Panda, Qihoo.

 

[emlyn d.]

Hallo,
man muss da schon unterscheiden.

Die .doc-Dateien sind, isoliert betrachtet, ja nicht schädlich, und es ist gut möglich, dass die Exe-URL heute gar nicht mehr exisitiert.

Davon abgesehen sind die Erkennungsraten beim eigentlichen Trojaner auch regelmäßig schlecht.
Eine TeslaCrypt-Exe, die mir heute abend über den Weg gelaufen ist(2/55):

https://www.virustotal.com/de/file/...e042a8faae77957ca2623f9a/analysis/1450297984/

 

[syndrom]

Hallo

Ich bin dann mal auch betroffen von diesem Virus der mir alle Dateien verschlüsselt hat

Ich hoffe das es bald ein Lösung gibt diese wieder zu entschlüsseln.

 

[IRON67]

Ich hoffe das es bald ein Lösung gibt diese wieder zu entschlüsseln.

Das kann Monate dauern oder auch nie geschehen. Für solche Zwecke wäre ein recht neues Backup nun sehr nützlich.

 

[Sepp Depp]

...Die .doc-Dateien sind, isoliert betrachtet, ja nicht schädlich,...

Ja, per se sind sie nicht schädlich. Kommt drauf an was man drauß macht, siehe Beitrag #1 oder:

http://www.heise.de/security/meldun...ngstrojaner-kommt-mit-Word-Datei-3039927.html

Ich bin dann mal auch betroffen von diesem Virus der mir alle Dateien verschlüsselt hat.

Eventuell kann der TeslaDecoder hilfreich sein.

http://www.bleepingcomputer.com/for...pt-exx-ezz-ecc-files-encrypted-by-teslacrypt/

http://www.bleepingcomputer.com/virus-removal/teslacrypt-alphacrypt-ransomware-information