ComputerBase Menü
Aktuelles

Mit Crypto Malware Infiziert

Wardaddy schrieb:
Ich lese die Beiträge aufmerksam durch,nur deine ignoriere ich weil jeder eine freundliche Antwort parat hat und auch sehr höfflich Antworrtet nur du nicht,das ist alles.
Zum Vergrößern anklicken....

Es tut mir leid, wenn du das so empfindest. Ich wollte dich mit keinem Beitrag persönlich angreifen. Im Internet klingt das vielleicht auch nochmal ein wenig griesgrämiger:).

Es ist doch nur so, dass dein Bekannter sich an dich wendet, weil er selber nicht weiter weiß. Sinnvoll helfen kannst du ihm aber nur, wenn du ein Verständnis dafür entwickelst, wie diese Cryptotrojaner funktionieren, allein auch schon um ihn richtig aufklären zu können, dass man sich ohne Backups heutzutage nicht mehr schützen kann.

Also dachte ichm ir das ganze so,ich führe die behle in dem Video aus so das der Rechner startet und dann entferne ich Patya mit einem Removel Tool AV oder so und dann mit einem Data Recovery Tool die Daten herstellen.
Zum Vergrößern anklicken....

Leider wird das nicht so klappen wie du dir das vorstellst. Du kannst mit den Befehlen den MBR der Festplatte wiederherstellen. Das ist der erste Ort, an dem ein Computer beim Boot nachschaut, wo er das Betriebssystem zu suchen hat. Selbst wenn dort aber alles so wieder steht wie vorher kann der Computer danach trotzdem nicht booten, weil die MFT, das Inhaltsverzeichnis der Windows-Partition, nicht lesbar ist. Anders als bei einem Buch, das man zur Not immer von vorne Durchblättern kann, weiß der Computer ohne diese Tabelle nicht, wie er das Dateisystem lesen soll. Er wird nur Datensalat vorfinden und wahrscheinlich einen Dateisystemschaden melden. Zu dem Punkt, an dem man ein Antivirenprogramm auf die Festplatte loslassen könnte kommt man also nie.

Anders als bei TrueCrypt oder Locky greift Petya eben nicht nur die Nutzdaten selbst an, sondern die gesamte Festplatte (bzw. Partition).

Was aber wie gesagt immer noch eine Option ist: Überprüfen, ob der Laptop deines Bekannten per UEFI bootet.
 
Nochmal ganz kurz zum klarstellen:

Totenkopf beim Booten: Petya-Crypto-Trojaner PUNKT.

Wenn diese Meldung erscheint, wurde Petya bereits ausgeführt.

Dabei muss man unterscheiden zwischen:
- REINEN UEFI-System (ohne Legacy-Mode, mit GPT-Festplatten)
- UEFI-System mit Legacy Mode (MBR-Festplatte)
- BIOS-System (immer MBR-Festplatte)

Da sich Petya im MBR einnistet, funktioniert es nicht ordnungsgemäß auf REINEN UEFI-Systemen, sondern nur auf LEGACY-UEFI und reinen BIOS-Systemen.

Bei REINEN UEFI-Systemen funktioniert der Wiederherstellungsvorgang vermutlich, wie oben im Video zu sehen ist.
Da aber die nur relativ wenige Personen mit einem reinen UEFI-System und GPT-Partitionsschema arbeiten, ist die wahrscheinlichkeit entsprechend gering.

Bei allen anderen Systemen wird das vollständige Dateisystem ("Lokaler Datenträger C:") zu 100% verschlüsselt - und zwar so, dass man mit Datenrettungstools etc NICHTS MEHR mit dem Dateisystem anfangen kann. (Nein, auch Bitdefender kann Petya nicht löschen und alles ist wieder in Ordnung).

Die Daten sind verschlüsselt - nicht gesperrt, nicht umbenannt, nicht mit einem Standard-Passwort veschlüsselt, sondern mit einem bestimmten Key, der per Zufall, basierend auf der hardware erstellt wird.

@Wardaddy:
Du bist total fixiert darauf, petya zu entfernen, doch dafür ist es zu spät, da Petya schon ausgeführt wurde.
Petya hat SCHÄDEN angerichtet.
Wenn du Petya entfernst, bleiben die Schäden.

Wenn du ein Backup hast:
(Optional: Festplatte behalten, falls Petya irgendwann entschlüsselt oder eine Schwachstelle gefunden wird)

Lösche die komplette Festplatte! (Stichwort: Diskpart -> clean)
Hole die Daten aus der Sicherung zurück.

Wenn du KEIN Backup hast:
Da bei Petya noch KEINE SCHWACHSTELLE gefunden wurde, ist die EINZIGE Möglichkeit wieder an die Daten zu kommen, in das Onion-Netzwerk zu gehen, den angezeigten Code auf dem Totenkopf einzugeben und das LÖSEGELD zu zahlen!
Auch hier gibt es keine 100% Garantie das es funktioniert.

-

Und hier gibt es auch nichts mehr zu diskutieren, getreu nach dem Motto: "Friss oder Stirb!"

Nochmal: Dein Ziel ist es nicht, Petya zu entfernen, sondern die Daten zu entschlüsseln - und das geht halt aktuell nicht.

Schutz gegen so einen Scheiss:
1.) Backups
2.) Backups
3.) Backups

4.) Hirn einschalten und nicht alles anklicken und ausführen! (Vor allendingen nicht, wenn Windows nach erhöhten Rechten (UAC) fragt!)

Ich hoffe die Person hat Ihre Lektion gelernt!
 
Sephe schrieb:
Bei allen anderen Systemen wird das vollständige Dateisystem ("Lokaler Datenträger C:") zu 100% verschlüsselt - und zwar so, dass man mit Datenrettungstools etc NICHTS MEHR mit dem Dateisystem anfangen kann. (Nein, auch Bitdefender kann Petya nicht löschen und alles ist wieder in Ordnung).
Zum Vergrößern anklicken....

Genau der Punkt ist eben nicht so ganz korrekt (siehe mein erster Beitrag im Thread). Da reden wir dann aber nicht mehr von einfacher "1-Klick-alles-wieder-da" Datenrettung sondern von aufwändigen Ansätzen die einen Haufen unbenannter Datenschnipsel herauswerfen. Lohnt mMn nur in Einzelfällen.
 
Ich hab das alles schon verstande,nur hab ich selber noch nicht einmal den Laptop selber in der Hand gehabt bis jetzt um zu sehen was da alles ist.Nur vermute ich das es vielleicht garnicht so schlimm ist wie es scheint zumal sie er mir sagte es sei dringend und er bringt mir den laptop vorbei und war bis jetzt aber noch nicht einmal da und ich habe ihm auch gesagt das eine Datenrettung nicht 100% ist schon als die ersten zwei User hier sagten das ist Petya,es wird schwer usw.

Und die anderen fragen beruhen darauf ob das funktionieren kann,den im Video Bootet das System ja wieder was erstmal den Eindruck vermittelt das man da was hinbiegen kann.Das ganze mit es funktioniert nicht usw.hat den schon eienr Petya aktiv auf einem System gehabt und oder stammt das alles nur aus dem was irgendwo gelesen wurde.

Darum sage ich doch,man kann es versuchen mit den Befehlen in der cmd und ein paar tools,vielleicht kann ein AV petya ja schon entfernen aber die festplatte vielleicht noch nicht.Das macht aber nichts denn ich habe das hier gefunden http://linkmailer.de/viren/petya-ransomware und warum gleich die Flinte ins Korn werfen und sagen das geht nicht.

Es gibt die möglichkeiten,man verasucht es und es funktioniert was da steht oder es funktioniert nicht oder man versucht es nicht und wird es nicht wissen ob es funktioniert.

Es gibt keinen grund das so Aggressiv zu betrachten,ruhe und Gedult und dann mal sehen.Ich erninnere mich noch an den den BKA Trojaner der auch etwas gespeert hat und im Abgesicherten Modus konnte man ihn einfach über msconfig unter Systemstart deaktivieren und dann mit einem AV entfernen.

Es ist doch nicht euer Laptop oder meiner und von daher hat der Bekannte dann ebend Glück oder Pech,so sehe ich das jedenfals und wer etwas nützliches findet oder neue Erkenntnise dazu hat kann und darf es gerne Posten.Vielelicht kommt ja schon heute oder i nden nächsten Tagen eien Securityfirma damit an,hey wir haben es geschafft Petya zu entfernen und die Festplatte zu entschlüsseln mit den und den Tools oder Tricks.

Etwas Gedult und weniger Aggrisivät bitte dabei,Danke
 
Natürlich kannst und darfst du so viel versuchen wie du willst. Das ist ja eine löbliche Einstellung und man würde sich selbst sicher auch darüber freuen, wenn man nicht vom Fach ist und das Gefühl hat, dass wirklich jeder Weg versucht wird. Streng genommen wissen wir alle hier nicht einmal, um was es sich hier genau handelt. Die Beschreibung des Verhaltens (Totenkopfbildschirm nach Boot) passt aber eben zu genau einem momentan in den Medien kursierenden Schadprogramm, und das ist eben Petya. Die genauesten Informationen darüber findest du aktuell bei GData, denn die haben den Virus zuerst entdeckt und analysieren ihn seit etwas über einer Woche.

Ein gut gemeinter Rat: Wenn ich die Informationen von GData mit denen aus deiner Linkmailerquelle vergleiche, dann wird dort das Verhalten von Petya munter mit anderer Ransomware vermischt und eine Fantasieanleitung dazu erstellt. Was dort beschrieben wird (Schattenkopien, gelöschte Dateien wiederherstellen herstellen, Virus löschen mittels Antivirenscan) trifft auf TeslaCrypt und Locky zu. Mit Petya hat das alles nichts zu tun. Von dieser Anleitung würde ich also eher die Finger lassen.
 
Es wird wohl auch Petya sein denke ich,denn der Bekannte sagte auch das die Infektion nach Öffnen einer email Bewerbung eintrat.Also genau genommen ist das wohl ein Laptop der für private und Berufliche zwecke genutzt wird und der Chef hat wohl eien Stelle ausgeschrieben dann ist die Email eingetroffen und Chef sagte wohl öffne den Anhang und dann war der Totenkopf auf dem Bildschirm.

Das konnte ich jetzt schon in Erfahrung bringen und das passt auch zu dem was der Author im SamperVideo sagt.Das ist nicht die erste Malware die ich entfernt habe,aber es ist lange her das ich mich mit Removaltools usw Beschäftigt habe und alles was ich habe ist schon ziemlich veraltet und darum habe ich ersteinmal hier im Forum gefragt und das ist auch der Grund warum der bekannte mich gefragt hat da ich ihm in der vergangenheit erfolgreich geholfen habe.Aber wie gesagt mein Wissenstand ist über malware ist etwas veraltet und die Malware hat sich weiterentwickelt.

Dennoch möchte ich es versuchen ihm zu Helfen wenn er schon um Hilfe bittet,kann man es doch versuchen.Ich sehe das auch von der seite,es ist eine Community hier und wenn man Tipps hat und am Ende funktioniert es kann man eien ANleitung dafür Online stellen und es steigert auch das Ansehen der Community und Zeigt auch die haben es hinbekommen.

Die Erfahrenen können den weniger Erfahrenen Tipps geben die sie dann ausprobieren und ich frag mal nach wie es mit dem Laptop nun aussieht.

//edit der Aktuelle Stand ist,der Chef sagte er über nimmt die Kosten für eine Reperatur in eienr Werkstatt die aus einem 5 Köpfigen Team besteht.

Ich werde aber auf dem laufenden gehalten ob die es schaffen oder nicht und wenn die es nich hinbekommen bekomme ich den Laptop in die Hand.

Also jetzt bin ich mal richtig gespannt,werde es hier aufjedenfall Posten.
 
Zuletzt bearbeitet:
Vielleicht auch mal dem Chef empfehlen, eine Antivirensoftware auf den Laptops zu installieren.

Bei mir greift AVAST alles an schädlichen Anhängen ab, noch bevor ich eine entsprechende Mail geöffenet habe. Erst vor 2 Wochen kam wieder so eine nette Mail an meine Frau, deren Anhang AVAST direkt einkassiert hat:

Sehr geehrte(r) xxxxxxxxxxxxx,

unsere Erinnerung blieb bis heute bedauerlicherweise ergebnislos. Heute geben wir Ihnen hiermit letztmalig die Möglichkeit, den ausstehenden Betrag unseren Mandanten Online24 Pay AG zu begleichen.

Aufgrund des andauernden Zahlungsrückstands sind Sie angewiesen dabei, die durch unsere Inanspruchnahme entstandene Gebühren von 89,84 Euro zu tragen. Bei Rückfragen oder Reklamationen erwarten wir eine Kontaktaufnahme innerhalb von 24 Stunden. Um weitete Mahnkosten zu vermeiden, bitten wir Sie den ausstehenden Betrag auf unser Bankkonto zu überweisen.

Hinterlegte Daten:

xxxxxxxxxxxxxx
yyyyyyyyyyyyyyyy
zzzzzzzzzzzzzzzz

Tel. zzzzzzzzzzzzzzz

Die vollständige Forderungsausstellung Nr. xxxxxxxxxxxx, der Sie alle Einzelpositionen entnehmen können, fügen wir bei.

Wir erwarten die vollständige Zahlung bis spätestens 04.04.2016 auf unser Konto. Falls wir bis zum genannten Datum keine Überweisung verbuchen, sehen wir uns gezwungen unsere Forderung an ein Gericht abzugeben. Alle damit verbundenen Zusatzkosten werden Sie tragen. Berücksichtigt wurden alle Buchungseingänge bis zum 30.03.2016.

Mit besten Grüßen

Beauftragter Rechtsanwalt Tobias Höchstetter
Zum Vergrößern anklicken....

Hinterlegte Daten waren übrigens vollständig korrekt, bis auf die Telefonnummer, die gehört zu jemand anderem (aus der gleichen Familie).
 
Zuletzt bearbeitet:
@kisser
Ich nutze selbst Avast Free oder manchmal auch AVG Free und weiß die Programme zu schätzen aber bei Mails mit Anhängen in denen Crypotrojaner drinnen sind, da ist speziell Avast nicht so gut aufgestellt.
//edit der Aktuelle Stand ist,der Chef sagte er über nimmt die Kosten für eine Reperatur in eienr Werkstatt die aus einem 5 Köpfigen Team besteht.

Ich werde aber auf dem laufenden gehalten ob die es schaffen oder nicht und wenn die es nich hinbekommen bekomme ich den Laptop in die Hand.

Also jetzt bin ich mal richtig gespannt,werde es hier aufjedenfall Posten.
Zum Vergrößern anklicken....
Auch die 5 köpfige Werkstatt wird nicht die von Petya verschlüsselte Festplatte von der Verschlüsselung befreien können ohne das Lösegeld zu zahlen. Trotzdem finde ich es gut das dein Chef den Laptop in eine solche Werkstatt gibt.
 
Zuletzt bearbeitet:
purzelbär schrieb:
Auch die 5 köpfige Werkstatt wird nicht die von Petya verschlüsselte Festplatte von der Verschlüsselung befreien können ohne das Lösegeld zu zahlen. Trotzdem finde ich es gut das dein Chef den Laptop in eine solche Werkstatt gibt.
Zum Vergrößern anklicken....

Das ist nicht mein Chef,der Chef vom Bekannten und der Bekannte hat auch schon gesagt das er nicht glaubt das die in der Werkstatt das hinbekommen,aber sein Chef sagte er Zahlt das und darum sagt er sollen die erstmal machen.

Was die sagen interessiert mich und mal schauen.
 
Am vielversprechendsten wäre es wohl, die Festplatte zu einer professionellen Datenrettung zu geben statt zu einer allgemeinen Computerwerkstatt. Die haben auch die notwendige Software, um forensische Datenwiederherstellung durchführen zu können. Aber da hast du wohl keinen Einfluss drauf. :/
 
Wardaddy

Es wurde schon viel gesagt, aber wenn du ernsthaft Hilfe möchtest, solltest du erst einmal
ein paar Fakten realisieren, die du nicht ändern kannst:

1) Platte ist verschlüsselt. In welcher Form ist egal. Deswegen: Computer "hart" ausschalten, bevor irgendwas anderes versucht wird. So wie bei jeder potentiellen "Datenrettung".

2) Low-Level Image der Festplatte inkl. MBR mit einem 2. sauberen PC erstellen, wo die infizierte Festplatte im nur-lese-Modus betrieben wird (am besten irgendein Linux). Ich habe dieses Tool erfolgreich unter Windows genutzt: HDD Raw Copy Tool.

3) Original Festplatte weglegen und abwarten. Manchmal werden im Nachhinein entschlüsselungs-Tools angeboten.

4) Anzeige erstatten. Die bearbeitungs-Intensität von Cyber-Verbrechen durch die Polizei ist abhängig von der
Anzahl ukkumulierter Anzeigen bzgl. des Verbrechens: mehr Anzeigen -> intersievere Verfolgung.

5) Je nach Wichtigkeit der Daten in Erwägung ziehen, Lösegeld zu bezahlen. ABER: es kann durchaus sein, dass du nach der Zahlung nichts mehr hörst. Deswegen raten alle Stellen davon ab.


Es ist schon eine Saudumme Sache. Un hinterher zu sagen "spiel doch einfach ein Backup zurück" ist ein blöder Tipp, wenn man keines hat. Auf der anderen Seite ist jeder (auch Arbeitnehmer) für die regemäßige Sicherung der Daten verantwortlich. Wenn es kein Crypto Trojaner ist, ist es ein HDD crash oder ein Brand.

Ganz davon abgesehen scheint dein Bekannter jemand zu sein, der Anhänge in Mails öffnet, ohne sich genau
azusehen, was für ein Dateityp das ist. So jemand sollte privates und von der Arbeit sicher nicht auf einem Gerät mischen. Das ist grob fahrlässig. Auch wenn der Chef gesagt hat: "machs auf". In dem Fall könnte man theoretisch sogar den Chef für die privaten Daten haftbar machen. Aber das ist ein anderes Thema.

Also für die Zukunft: Täglich / Wöchentlich Backup auf externe Festplatte, die nach dem Backup abgezogen wird. Um ganz sicherzugehen abwechselnd auf 2 verschiedene Externe, damit der Trojander nicht das einzige Backup was man hat verschlüsselt.

Mir ist vor einem Monat meine Daten Festplatte (eine Seagate Barracuda) abgeraucht. Ist ähnlich ärgerlich. Ich hatte ein Backup zum Glück. Ich empfehle dieses Tool: hardlinkBackup

Vier Glück.
 
Zuletzt bearbeitet:
16-Bit schrieb:
1) Platte ist verschlüsselt. In welcher Form ist egal.
Zum Vergrößern anklicken....

Das ist nicht egal. Wenn nur die MFT verschlüsselt wurde, liegen die (meisten) Daten nach wie vor unverschlüsselt vor und können wiederhergestellt werden.

16-Bit schrieb:
2) Low-Level Image der Festplatte inkl. MBR mit einem 2. sauberen PC erstellen
Zum Vergrößern anklicken....

Den infizierten MBR mitsichern ist keine gute Idee, weil damit die Gefahr der erneuten Aktivierung des Schädlings besteht. Wozu soll denn das Image überhaupt dienen?
 
Wenn die gesamte Platte gespiegelt wird kann man, wenn alle anderen Versuche fehlschlagen, immernoch versuchen Lösegeld zu zahlen. Sichert man nur die Partition mit der verschlüsselten MFT ist man von da an auf sich allein gestellt.

Wenn man danach aber sowieso das Original in den Schrank legt und nicht das Image, dann kann man das natürlich auch sein lassen. Das Image würde man in dem Fall nur zur Datenrettung verwenden (dabei sollte man nie auf dem Original arbeiten, um versehentlichen Schreibzugriff zu vermeiden)
 
kisser schrieb:
Den infizierten MBR mitsichern ist keine gute Idee, weil damit die Gefahr der erneuten Aktivierung des Schädlings besteht.
Zum Vergrößern anklicken....

Wenn du eine Kopie zur Analyse in einem 2. PC als Laufwerk einbindest ist egal was und wie infiziert ist. Code der nichtgezielt ausgeführt wird, kann keinen Schaden anrichten.

Ich gehe in meinem Post sowieso davon aus, dass vorerst auf keinen Fall mehr versucht wird, die infizierte Platte zum Booten zu nutzen. Das versteht sich glaube ich von selbst.
 
Zuletzt bearbeitet:
Das ist mir schon klar. Es braucht aber nur versehentlich die Bootreihenfolge nicht zu stimmen und der Schaden ist angerichtet, daher die "Gefahr".

/edit: Ich würde den MBR separat in eine Image Datei sichern und durch eine nichtinfizierte Version ersetzen.
 
Das hilft aber auch nicht mehr weiter, wenn man nicht ins Windows kommt. Dann muss man im BIOS/EFI nach den entsprechenden Einstellungen suchen. Das Handbuch des jeweiligen Mainboardherstellers ist vermutlich die beste Quelle um Namen und Ort der relevanten Einstellungen zu finden, die man überprüfen muss.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Crizzo
News Minecraft: Mods und Plugins auf CurseForge waren mit Malware infiziert
Antworten
13
Aufrufe
3.492
dev/random
dev/random
SVΞN
News AppGallery: Joker-Malware infiziert über 500.000 Huawei-Smartphones
6 7 8
Antworten
146
Aufrufe
35.763
Blutschlumpf
Blutschlumpf
Frank
News Manipulierte Hosts: NAS-Systeme von QNAP mit unbekannter Malware infiziert
6 7 8
Antworten
155
Aufrufe
30.719
Andreas_
A
Toby-ch
BIOS/UEFI mit Ransomware infiziert
Antworten
14
Aufrufe
2.801
andy_m4
andy_m4
Frank
News Apple: Hunderte Apps im App Store mit Malware infiziert
4 5 6
Antworten
119
Aufrufe
18.721
iSight2TheBlind
I
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz