CrySIS *.adobe ransomware entschlüsseln

[gdm41]

Hi Leute,
ein Kumpel hat sich Ransomware eingefangen, es handelt sich um CrySiS Ransomware, welche die Dateien mit *.adobe verschlüsselt. Ich habe jetzt schon ein bisschen gegoogelt und was ich da rausgefunden habe, macht mir Sorgen.

So wie es aussieht, ist die Verschlüsselung aktuell unknackbar und man muss bezahlen. Hat jemand eine Idee bzw. schon mit dieser Version von CrySiS zu tun gehabt? Backups sind auch alle verschlüsselt

 

[SaxnPaule]

Backups sind auch alle verschlüsselt

Wie geht denn sowas?

 

[Bruzla]

Wie geht denn sowas?

Backup-Platte am PC angeschlossen oder Freigabe in Windows eingebunden.

Mahlzeit, Ransomware.

 

[gdm41]

Yup, Bruzla hat leider Recht. Backupplatte war im System eingebunden.

 

[purzelbär]

Habt ihr mal hier: https://id-ransomware.malwarehunterteam.com/index.php?lang=de_DE eine verschlüsselte Datei hochgeladen und überprüfen lassen?

Backups sind auch alle verschlüsselt

Wie oft sollen wir das hier noch predigen? Backups gehören auf eine externe USB Festplatte die vom PC getrennt ist wenn sie nicht benutzt wird. Noch idealer ist es wenn man es auf 2 externen USB Festplatten hätte.

 

[gdm41]

@purzelbär

Danke für den Link, Seite gibt bei mir jedoch einen 500 - Internal Server error.
Mit den Backup war doof, weiß ich, ist aber jetzt auch zu spät...

 

[Blumenwiese]

Seite klappt bei mir wunderbar, versuch die mal mit nem anderen Browser, mit dem Handy, anderen PC etc pp zu öffnen

 

[gdm41]

Ja, die Seite öffnen klappt bei mir auch. Sobald man aber die entsprechenden Dateien hochladen will, kommt bei mir 500 - internal server error. Habs eben nochmal mit EDGE Browser probiert...

 

[Blumenwiese]

@gdm41

Ok, habs gerade getestet, bekomme auch diesen Fehler

 

[gdm41]

Also was ich bis jetzt schon probiert habe:
das tool von kaspersky - funktioniert nicht, das tool von eset, kann nur die vorgängerversion von CrySiS entschlüsseln.

Laut
https://www.bleepingcomputer.com/forums/t/687362/help-on-new-ransomware-unknown-extension/
ist die neueste version, welche dateien mit *.adobe verschlüsselt unknackbar.

Ich kotz gerade im Strahl.

 

[purzelbär]

Könntest mal im Emsisoft Forum nachfragen.

Ich kotz gerade im Strahl.

Und nun sollen wir euch jetzt bemitleiden? Fakt ist ihr wart leichtsinnig im Umgang mit der Backup Festplatte.

 

[NOTAUS]

Wenn die Daten wichtig sind, wirst du erstmal ne Weile warten müssen, bis die aktuelle Verschlüsselung geknackt ist.

 

[abulafia]

Wenn man das so liest sieht's erstmal schlecht aus, wenn es eine neue Version der Schadsoftware ist. Die alte Verschlüsselung wurde ja auch nicht gebrochen, sondern der Master Key ist aufgetaucht.

Hast du mal ausprobiert ob die Dateien wirklich verschlüsselt wurden? Vielleicht wurde der Schädling noch nicht mit der Verschlüsselung fertig.

 

[Serana]

Drei Möglichkeiten:
- Es gelingt irgendjemandem die Verschlüsselung zu knacken. was im vorliegenden Fall eher unwahrscheinlich ist.
- Dein Kumpel bezahlt die Erpresser. Das ist aber schon deshalb nicht anzuraten, da ihm niemand garantiert, daß seine Daten auch wirklich entschlüsselt werden.
- Das wahrscheinlichste Szenario ist aber, daß dein Kumpel die Daten als Totalverlust abschreiben muß.

Das ist alles äußerst unschön, aber so sieht die Realität aus. Wie zum Geier hat er sich das Zeug überhaupt eingefangen? Im Normalfall benötigt derartige Schadsoftware doch ein Mindestmaß an Kooperation durch den Nutzer.

 

[storkstork]

Habt ihr mal hier: https://id-ransomware.malwarehunterteam.com/index.php?lang=de_DE eine verschlüsselte Datei hochgeladen und überprüfen lassen?

Wie oft sollen wir das hier noch predigen? Backups gehören auf eine externe USB Festplatte die vom PC getrennt ist wenn sie nicht benutzt wird. Noch idealer ist es wenn man es auf 2 externen USB Festplatten hätte.

Ich denke das kann man gar nicht oft genug sagen. Oder man sagt gar nichts, jetzt wird der Kollege es wohl selbst merken, dass ein ordenltiches Backup vom System getrennt abgelegt werden sollte.

Edit: eigentlich wollte ich das erst gar nicht abschicken, da ich mir doof vorkam, jemand anders dafür anzuprangern, dass er dem TE Salz in die Wunde streut, aber nach deinem zweiten Hinweis auf die Leichtsinnikkeit kann ich nicht andres

Könntest mal im Emsisoft Forum nachfragen.

Und nun sollen wir euch jetzt bemitleiden? Fakt ist ihr wart leichtsinnig im Umgang mit der Backup Festplatte.

Danke, dass du so oft darauf hinweist. Ich denke zwar nicht, dass er danach verlangt hat, aber wenn du möchtest darfst du den TE natürlich auch bemittleiden. Auf den Fakt mit der Leichtsinnigkeit solltest du vielleicht in zwei oder drei Posts nochmal hinweisen . Ich bin mir nicht sicher, ob der TE oder sein Kollege das schon bemerkt haben

 

[gdm41]

Soweit ich es bis jetzt rekonstruieren konnte, hat der Angreifer wohl das RDP per Bruteforce geknackt. Hab den Erpresser mal angeschrieben, mal sehen wie viel er haben will.

 

[chrigu]

Vergiss es, du bekommst keinen Code beim Lösegeld zahlen. Höchstens eine „oh, den nehmen wir aus“ folgemail mit Zusatzforderungen. Festplatten ausbauen, in Schublade stecken, neue einbauen und warten, bis die Verschlüsselung geknackt wurde. Alles andere verhilft dir (ähm deinen Kumpel) zu nichts

 

[gdm41]

Ja, er will auch 0,5 btc, was utopisch ist.
btw ist wirklich nen kumpel, hätte kein problem es zuzugeben, wenn mir sowas passiert....

 

[purzelbär]

Wie dir schon gesagt wurde: dein Kumpel soll die Festplatte in eine Schublade packen und vielleicht gibt es irgendwann ein Enhtschlüsselungs Tool dafür bei bleeping, Emsisoft oder so. Ich würde an Stelle deines Kumpels auch Windows komplett neu aufspielen und wenn das gemacht ist, davon eine Systemsicherung machen mit zum Beispiel Aomei Backupper Standard auf eine externe USB Festplatte denn ich für meine Person würde dem System nicht mehr vertrauen wollen auf dem eine Ransomware war. Bzw mein Glück ist es, das ich sog. Systemsicherungen von Windows 10 auf einer USB Festplatte habe.

 

[gdm41]

Mal ne andere Frage, wie sichere einen RDP Zugang vernünftig ab. Sollte DAU sicher sein, vpn wäre zu kompliziert. Wäre hier vllt ein kommerzieller Anbieter wie z.B. Teamviewer eine Alternative?