Ransom Ware auf Windows 7 Laptop

[schlingel3377]

Hi,

hab hier einen Laptop von älteren Herrschaften, Aussage: Dateien gehen nicht mehr.
Jetzt sehe ich hier, dass die alle Endungen haben und finde gleich zwei verschiedene Ransom Ware Instructions in txt Dateien, wo steht, dass alles encrypted wurde und man TOR installieren soll und Seite xy aufrufen soll und den Anweisung folgen. Da ist Ende im Gelände, oder? Backup sinnlos und bezahlen auch keine Option oder wie sehe ich das?

Die Laptop Tastatur funktioniert auch nicht, angeschlossene USB Tastatur aber schon, keine Ahnung, ob das an der Ransom Ware liegt, oder eh kaputt ist.
System neu aufsetzen eine Option (mit Verlust aller Daten) oder direkt Laptop verschrotten? Ist schon ziemlich alt von 2010 rum mit i3 2100 Mhz oder so, 4 GB Ram.

Vielen Dank im Voraus.

 

[QwayZee]

Verbrennen und Neuanschaffung planen.

Spaß beiseite - kannste erkennen um welche Ransomware es sich handelt?

 

[Sithys]

Kommt doch ganz drauf an... verschrotten, warum? Ein neu aufgesetztes, schlankes Gerät kann man für vieles einsetzen. Ich würd den platt machen und behalten.

 

[Visceroid]

Also erstmal würde ich feststellen welche Ransomware da aktiv war.
Dann nachsehen ob es dafür ein Entschlüsselungstool gibt.

Dann würde ich Windows neu aufsetzen, ein neues Gerät wird für die Herrschaften vermutlich keinen Vorteil bringen.

Tastatur kann natürlich einfach defekt sein oder das Kabel hat sich intern gelockert, kann man aus der Ferne schwer abschätzen.

 

[schlingel3377]

Da sind gleich zwei Textdateien, die Instruktionen beinhalten. Die Datein haben alle die Endung der einen TXT: XHFVCMGQRS. Dazu wird nix gefunden. Werd mal eine der Dateien hier hochladen:
https://id-ransomware.malwarehunterteam.com/index.php?lang=de_DE

Kann ich den USB Stick, den ich zum Dateiholen vom Laptop zu meinem Rechner benutzt habe bedenkenlos anstecken, oder muss da eine Infektion befürchtet werden?

Edit: die andere TXT heißt CBUTME-Manual.

 

[BlackNinja2019]

Solche Experimente würde ich unterlassen.
Es sei denn du willst dein PC auch verschlüsselt haben.
Scheinbar weißt du nicht was ein Verschlüsselungstrojaner ist und was der macht?

 

[schlingel3377]

Solche Experimente würde ich unterlassen.
Es sei denn du willst dein PC auch verschlüsselt haben.
Scheinbar weißt du nicht was ein Verschlüsselungstrojaner ist und was der macht?

Wie soll ich eine Datei davon sonst testen, den Laptop will ich nicht ans Netz anschließen?

 

[BlackNinja2019]

Wie soll ich eine Datei davon sonst testen, den Laptop will ich nicht ans Netz anschließen?

Na wie macht man das wohl bei Windows 7?
Erstelle dir ein Notfall USB Stick oder CD/DVD von einem Namenhaften AV Programm Hersteller wie zum Beispiel Kaspersky. ISO laden und bootbares Medium erstellen. Scanne den Laptop damit offline!
Es wird schon das richtige finden und in Quarantäne verschieben.

 

[schlingel3377]

Na wie macht man das wohl bei Windows 7?
Erstelle dir ein Notfall USB Stick oder CD/DVD von einem Namenhaften AV Programm Hersteller wie zum Beispiel Kaspersky. ISO laden und bootbares Medium erstellen. Scanne den Laptop damit offline!

Ich will nicht den Laptop scannen, sondern eine von den nun verschlüsselten Dateien auf o. g. Seite prüfen lassen, um zu sehen, welche Verschlüsselung es ist und ob noch eine Chance besteht. Was auf dem Rechner ist, ist mir im Prinzip egal, der wird entweder neu aufgesetzt oder in Ruhestand geschickt.

 

[BlackNinja2019]

Kaspersky scannt die Daten und entschlüsselt die Dateien oder was wolltest du machen?
Der Laptop soll doch bedienbar werden oder nicht?

Oder rette die Daten die wichtig sind mit einem Linux Live System.

Ergänzung (10. Juli 2019)

Ich will nicht den Laptop scannen, sondern eine von den nun verschlüsselten Dateien auf o. g. Seite prüfen lassen, um zu sehen, welche Verschlüsselung es ist und ob noch eine Chance besteht. Was auf dem Rechner ist, ist mir im Prinzip egal, der wird entweder neu aufgesetzt oder in Ruhestand geschickt.

Na dann ist es doch egal was es für eine Verschlüsselung ist, wenn kein Interesse an den Daten besteht.

 

[schlingel3377]

Doch, Interesse an den Daten besteht. Der PC ist als solches auch bedienbar. Werd mir Kaspersky Boot CD mal anschauen, aber nach meinen Verständnis ist die Chance ziemlich gering, dass genau ein Virenprogramm genau die Verschlüsselung knacken kann.

 

[BlackNinja2019]

Kaspersky kann mit Ransomware umgehen.
Ein Versuch ist es wert.
Wenn der Laptop noch bedienbar ist, dann kannst du auch die 30 Tage Testversion auf den Laptop laden und scannen lassen. Und auch dann das Notfall Medium erstellen lassen und nochmal offline scannen.
Schau einfach was gefunden wird und lass es nur in Quarantäne verschieben nicht löschen!

Ergänzung (10. Juli 2019)

Ransomware verschlüsselt meistens oder bzw. immer der ganzen PC.
Einzelne Dateien ist ungewöhnlich.
Vielleicht sind es nur ganz normale Viren oder Trojaner?
Hatten die eigentlich Virenschutz bei Windows 7 drauf?

 

[schlingel3377]

Kaspersky kann mit Ransomware umgehen.
Ein Versuch ist es wert.
Wenn der Laptop noch bedienbar ist, dann kannst du auch die 30 Tage Testversion auf den Laptop laden und scannen lassen. Und auch dann das Notfall Medium erstellen lassen und nochmal offline scannen.
Schau einfach was gefunden wird und lass es nur in Quarantäne verschieben nicht löschen!

Ergänzung (10. Juli 2019)

Ransomware verschlüsselt meistens oder bzw. immer der ganzen PC.
Einzelne Dateien ist ungewöhnlich.
Vielleicht sind es nur ganz normale Viren oder Trojaner?
Hatten die eigentlich Virenschutz bei Windows 7 drauf?

Avira ist drauf. Und das System läuft, auch wenn am Anfang eine Fehlermeldung zu einer Windows Datei kommt. Verschlüsselt sind alle Videos, Bilddateien und anderes Zeug, eben mit o. g. Endung. Dazu befinden sich zwei Anweisungsdateien auf dem Rechner.
Werd mal gucken, was die Kaspersky Rescue Disk ergibt.

 

[BlackNinja2019]

Du kannst Avira nicht mit Kaspersky vergleichen.
Wahrscheinlich auch noch Avira Freeware?
Das wird ohne Probleme umgangen.

 

[schlingel3377]

Du kannst Avira nicht mit Kaspersky vergleichen.
Wahrscheinlich auch noch Avira Freeware?
Das wird ohne Probleme umgangen.

Das ist mir schon klar. Vermutlich saß das Problem vorm Bildschirm, wie immer.
Kann mir trotzdem nicht vorstellen, dass Kaspersky die verschlüsselten Dateien entschlüsseln kann, aber wir werden sehen.
Update nötig wenn die KRD gestartet ist oder ist das in der aktuell runtergeladenen Version aktuell genug? Dann spar ich mir die Internetanbindung des Laptops.
Der Rechner wurde offensichtlich im März zuletzt benutzt, da die Erpresserdateien von diesem Datum sind.

 

[purzelbär]

Ransomware verschlüsselt meistens oder bzw. immer der ganzen PC.
Einzelne Dateien ist ungewöhnlich.

Was redest du da? die Zeiten in denen Ransomware den Desktop verschlüsselte so das man darauf nicht zugreifen kann und stattdessen mit einem Fake Polizei Desktop konfrontiert wurde, sind vorbei bzw sehr alte Varianten von Ransomware. Heutige Ransomware verschlüsselt dem User Dateien wie Fotos, Dokumente usw und erpresst dann die nur dann wieder zu entschlüsseln wenn man mit Bitcoin Lösegeld bezahlt.

Kann mir trotzdem nicht vorstellen, dass Kaspersky die verschlüsselten Dateien entschlüsseln kann, aber wir werden sehen.

Kann der normale Kaspersky auch nicht aber wenn du bzw die Herrschaften Glück haben gibt es für die Ransomvarianten die wohl zugeschlagen haben, Entschlüsselungstools. Dazu musst du Dateien die verschlüsselt wurden hier hochladen: https://id-ransomware.malwarehunterteam.com/index.php?lang=de_DE

 

[schlingel3377]

Hi purzelbär,

genau das wollte ich ja oben machen und wurde dann abgehalten
Es ist also Gandgrab 4.0/5.0 und angeblich entschlüsselbar.

 

[BlackNinja2019]

genau das wollte ich ja oben machen und wurde dann abgehalten
Es ist also Gandgrab 4.0/5.0 und angeblich entschlüsselbar.

Viel Erfolg!

 

[Govo1995]

Gandgrab bis V5.2 ist entschlüsselbar mit dem Bitdefender Decryptor.

 

[schlingel3377]

Gandgrab bis V5.2 ist entschlüsselbar mit dem Bitdefender Decryptor.

Den hatte ich bis gerade in der Mache, er erkennt nur den cbutme, nicht aber den anderen mit den verschiedenen Buchstaben und damit sind alle Dateien verschlüsselt. Keine Ahnung, bin mit meinem Latein am Ende. Das Ding ist auch so langsam, da ist alles eine Qual.