Durch einen Ransomware Trojaner verschlüsselte Dateien wieder entschlüsseln

Foma

Lt. Junior Grade
Registriert
Juni 2011
Beiträge
268
Bei meinem Bekannten haben die Kinder auf einem Laptop einen Ransomware Trojaner eingefangen, dieser hat die ganze Bildersammlung verschlüsselt. Ich habe die ausgebaute HDD mittels einen Adapter an einen anderen PC angeschlossen. Habe einen Trojaner Namens "trojan win32/bluteal.b rfn" ausgemacht und entfernen lassen. Leider kann ich die Bildersammlung nicht entschlüsseln, habe auch schon verschiedene Decryptor Tools von Kaspersky probiert, leider ohne Erfolg. Kann mir hier jemand einen Tipp geben wie ich die Bilder doch noch retten kann?!

Das ist ein Ausschnitt von den betroffenen Dateien.
1580498065047.png
 
Aus Backup wiederherstellen?

Bisschen mutig die HDD einfach so an einen anderen PC anzuschliessen finde ich.
 
Lawnmower schrieb:
Aus Backup wiederherstellen?

Bisschen mutig die HDD einfach so an einen anderen PC anzuschliessen finde ich.

Der Bekannte gehört zu der Kategorie DAU, da ist nichts mit Backup.

Die HDD hängt an einem PC bei dem es nichts zu holen gibt und jederzeit formatiert werden kann.
Ergänzung ()

cartridge_case schrieb:
Die Möglichkeit besteht auch nicht mehr und selbst wenn, lieber nicht.
 
Bei solcher Malware ist es nicht gut, sie zu löschen. Besser ist es, sie hochzuladen und genau(!) klassifizieren zu lassen. Denn ein Löschen der Malware macht ja die Verschlüsselung nicht rückgängig. Du entfernst damit allerdings möglicherweise einen wichtigen "Schlüssel", um die Daten ggf. später doch noch mal entschlüsseln zu können.

Hier kannst Du es noch anderweitig versuchen:
-> https://id-ransomware.malwarehunterteam.com/index.php?lang=de_DE

Außerdem sollte so eine Platte nicht einfach so an einen anderen PC angeschlossen werden!


Foma schrieb:
Die HDD hängt an einem PC bei dem es nichts zu holen gibt
Doch! Malware kann sich von diesem z.B. unbemerkt im internen Netzwerk oder ins Internet weiter verbreiten, sowie auf angeschlossene Wechseldatenträger schreiben, usw.
 
Leider ist der Name falsch.
Beziehungsweise, das was gelöscht wurde, war nicht der Verschlüsselungstrojaner, sonder nur Malware, welche Toolbars oder ähnliches installiert.
So wird das entcrypten ziemlich schwer.
 
  • Gefällt mir
Reaktionen: SilasHammig
Da wirst du nicht mehr viel tun können, auf jedenfall neu aufsetzen und zwar beide Rechner und auch wenn es hoffnungslos erscheint, anzeige gegen unbekannt zu erstatten.
 
Foma schrieb:
Bei meinem Bekannten haben die Kinder auf einem Laptop einen Ransomware Trojaner eingefangen,
Haben die Kinder Admin-Rechte am PC?

Habe einen Trojaner Namens "trojan win32/bluteal.b rfn" ausgemacht und entfernen lassen. Leider kann ich die Bildersammlung nicht entschlüsseln,
Wie gesagt, das Löschen eines Schädligs macht keine Verschlüsselung rückgängig, da die Verschlüsselung das Produkt der Malware ist.

habe auch schon verschiedene Decryptor Tools von Kaspersky probiert, leider ohne Erfolg.
Du musst auch erstmal herausfinden, um welche Ransomware es sich konkret handelt. Siehe oben.

Kann mir hier jemand einen Tipp geben wie ich die Bilder doch noch retten kann?!
  • Sind sie vielleicht noch auf den ursprünglichen Speicherkarten enthalten?
  • Schreibvorgänge auf die Platte ausschließen, Rettungssystem von USB oder DVD booten, auslesbare Daten mittels geeigneter Software (ddresue) wiederherstellen lassen. Obwohl gute Malwre auch die Volumenschattenkopien usw. löscht bzw. überschreibt. Dann kann man auch solche Dateien abseits der verschlüsselten nicht mehr wiederherstellen.
 
Ich habe jetzt eure zahlreichen Tipps ausprobiert, habe herausgefunden das es ein CryptXXX Ransom ist. Habe daraufhin mit dem passenden Tool tatsächlich ein Bild entschlüsseln können. Das ganze hat über Zehn Minuten gedauert und hat einen Ryzen 5 3600 permanent mit 100% ausgelastet. Beim zweiten Bild habe ich nach 20 Minuten abgebrochen. Ich befürchte das der PC dieser Mammut Aufgabe nicht gewachsen ist, bei über 2300 Bildern würde er über Monate, wenn nicht sogar Jahre beschäftigt sein. Der Aufwand steht in keinem Verhältnis.

An dieser Stelle breche ich den Rettungsversuch ab, ich danke euch für eure Zeit!
Ich bin jetzt um eine wichtige Erfahrung reicher.
 
Möglicherweise ist das Entschlüsselungstool nicht optimal. Leg die Platte mit den Daten drauf unangetastet aber mit (Warn)Hinweis markiert in den Schrank, und probier es in ein paar Wochen/Monaten nochmal.

Für den produktiven Weiterbetrieb das Notebooks einfach eine neue SSD kaufen, einbauen, Windows 10 frisch installieren, sicher einrichten.
 
Dr. McCoy schrieb:
Möglicherweise ist das Entschlüsselungstool nicht optimal. Leg die Platte mit den Daten drauf unangetastet aber mit (Warn)Hinweis markiert in den Schrank, und probier es in ein paar Wochen/Monaten nochmal.

Für den produktiven Weiterbetrieb das Notebooks einfach eine neue SSD kaufen, einbauen, Windows 10 frisch installieren, sicher einrichten.

Nun da es ja offensichtlich möglich ist die Bilder zu entschlüsseln, werde ich dem Bekannten dazu Ratten das er sich evtl. an eine Firma oder so wenden soll. Da muss er dann selber wissen wie viel Geld ihm die Bilder wert sind.

Danke Dir für deine Mühe.
 
ich kenn das tool nicht, aber wenn es die erste via offensichtlichem bruto force entschlüsselt, müsste es irgendwo eine einstellung geben, dass du dem programm von da an gestattet, mittels des gefundenen schlüssels den rest instant zu entschlüsseln, irgendwas läuft da suboptimal.
 
pvcf schrieb:
ich kenn das tool nicht, aber wenn es die erste via offensichtlichem bruto force entschlüsselt, müsste es irgendwo eine einstellung geben, dass du dem programm von da an gestattet, mittels des gefundenen schlüssels den rest instant zu entschlüsseln, irgendwas läuft da suboptimal.
Das Tool heißt Ransomware File Decryptor, ist von Trend Micro. Das einzige was man da einstellen kann, ist der Ort an dem sich die Dateien befinden, danach beginnt der Prozess.
 
Wenn ihm die Bilder/Daten wichtig sind findet: Soll er sich bzw über jemanden der weiß was er da macht, bei $Cloudanbieter eine VM zusammen klicken. 36 Kerne sind problemlos möglich aber der Preis wird sich vermutlich um die 2500€ bewegen. Also pro Monat versteht sich aber nach 1-2 Monaten sollte er damit fertig sein. Oder ein System mit 72 Kernen/Threads, kostet das doppelte aber ist vmtl. nicht doppelt so schnell.
Andererseits kann man sich dafür auch schon nen System mit Threadripper oder Ryzen holen zzgl. Stromkosten und es selbst laufen lassen und hat danach noch ne Grundlage für nen neuen PC.
Oder eben auf nen besseres Entschlüsselungstool warten.

Ansonsten bleibt nur zu hoffen, dass er daraus lernt.
 
Zurück
Oben