Ransomware RSAUtil Dateien entschlüsseln

[Dine115]

Hallo zusammen,

ein Bekannter hat sich leider was ganz übles eingefangen..
Wie der Titel bereits sagt, Ransomware. Mithilfe eines Tools konnte ich sogar schon die genaue Art bestimmen - RSAUtil.

Da leider KEIN Backup mehr existiert (war aufm NAS gespeichert, das natürlich mit dem Netz verbunden und wurde freundlichst vom Angreifer formatiert) versuche ich nun die verschlüsselten Dateien irgendwie wiederherzustellen, ohne dem Angreifer sein Geld zu zahlen.

Es handelt sich leider um wirklich wichtige Dateien, die unbedingt benötigt werden.

Ich habe schon etliche Tools (Kaspersky, Trend Micro, Malwarebytes, Acronis,...) versucht aber keines war bis jetzt erfolgreich.

Habt ihr noch Ideen wie ich es versuchen könnte?
Ich habe außerdem 2 Dateien in der verschlüsselten und in der unverschlüsselten Version, da der Angreifer mir das als Nachfrage auf "Sicherheit" nach der Bezahlung geschickt hat.
Kann ich mit den Dateien die Verschlüsselung herausfinden?

Falls es hilft, die Textdatei des Angreifers:

Hi friend...

For instructions on how to recovery the files, write to me:

bunny73737@protonmail.com
bunny73737@gmx.de
bunny73737@india.com

In the letter, indicate your personal ID (see the file format).
If you have not received an answer, write to me again.

Vielen Dank für Eure Hilfe!

Gruß Nadine

 

[En3rg1eR1egel]

Es handelt sich leider um wirklich wichtige Dateien, die unbedingt benötigt werden.

dies ist leider nicht möglich...
wären es wichtige daten gewesen, würden wir selbstverständlich ein backup vorfinden.

ergo können es keine wichtigen daten sein.

 

[till69]

ergo können es keine wichtigen daten sein.

Ja, solche Klugsch….-Posts sind immer extrem hilfreich

 

[En3rg1eR1egel]

wer die wahrheit nicht erkennen will...

 

[purzelbär]

Ladet mal eine verschlüsselte Datei hier hoch: https://id-ransomware.malwarehunterteam.com/index.php?lang=de_DE dann erfahrt ihr ob es schon ein Entschlüsselungstool gibt oder nicht. Unabhängig davon Datensicherung jetzt machen, die Festplatte formatieren wenn es nur eine Partition C gibt, bei mehreren sichtbaren Partitionen die Partitionen löschen und das System komplett neu aufspielen mittels Windows DVD oder USB Stick. Keine Zurücksetzung machen denn bei dieser werden Benutzerkonmto usw. nicht gelöscht und gerade dort hat ja die Ransomware zugeschlagen.

Ergänzung (22. April 2018)

Ja, solche Klugsch….-Posts sind immer extrem hilfreich

Er hat aber recht damit, auch wenn es Betroffene oder User wie du nicht gerne hören wollen.

 

[BlubbsDE]

Offensichtlich gibt es aber Beratungsbedarf. Du solltest das Deinem Bekannten ganz klar sagen. Backups gehören niemals auf Medien, die vom Rechner aus immer erreichbar sind. Das sind keine Backups.

 

[daniel_m]

https://www.nomoreransom.org/de/decryption-tools.html

Vielleicht ist RSAutil nur eine Abwandlung oder ein anderer Name eines bereits bekannten Verschlüsselungstrojaners. Dann könnte eines der Tools vielleicht helfen. Aber die Wahrscheinlichkeit ist eher gering, denn dumm sind die Typen nun auch nicht. Lege aber auf jeden Fall eine Sicherung aller verschlüsselten Daten an, falls es in Zukunft mal ein Tool zum entschlüsseln gibt.

Wenn ihr die Daten nicht entschlüsseln könnt, sie aber dringend benötigt werden, dann werde ihr wohl zahlen müssen.

Und ansonste hat En3rg1eR1egel schon das wichtigste gesagt: Wenn kein Backup vorhanden ist, waren die Daten wohl nicht soooo wichtig. Und ein Backup zusammen mit den Daten auf dem gleichen NAS ist keines. Also in Zukunft eine sinnvolle Backup-Strategie erarbeiten und umsetzen damit sich sowas nicht wiederholen kann.

@till69: Das ist auch kein Klugsch...-Post gewesen, sondern die traurige Wahrheit. Die muss man auch mal aussprechen. Es im Gegenteil noch weniger hilfreich, wenn sowas immer als unvorhersehbares und blödes Pech abgetan wird, was man nicht hätte verhindern können. Das ist es nämlich nicht. Es ist eigenes Verschulden.

 

[M@rsupil@mi]

Habt ihr noch Ideen wie ich es versuchen könnte?

Aktuelle: Nichts
Es ist aktuell wohl keine Entschlüsselungsmethode bekannt: https://id-ransomware.malwarehunter...case=908d67bed3ff5a23a798e420b186e13e5b487437

Da kann man nur noch warten, ob sich das in X Monaten / Jahren vielleicht noch ändert.

 

[areiland]

Und vor allem auch ein aktuelles Windows mit allen Patches benutzen! Denn eigentlich sind die Lücken, über die solche Ransomware auch Netzlaufwerke angreift, schon seit mehr als einem Jahr geschlossen.

 

[Dine115]

dies ist leider nicht möglich...
wären es wichtige daten gewesen, würden wir selbstverständlich ein backup vorfinden.

ergo können es keine wichtigen daten sein.

Kann ich mich nur anschließen, sehr hilfreicher Kommentar.
Die Kalorien für den Kommentar hättest du dir sparen können.

Es wurde täglich ein Backup aufs NAS gemacht, dass dieses jedoch nicht im Netz hängen darf..
Sorry aber das kann man ihm nicht verübeln, das weiß nicht jeder.

 

[purzelbär]

Für die Zukunft: das Backup Medium, in eurem Fall das NAS darf nicht online im Netzwerk sein, sollte offline sein wenn es nicht gebraucht wird sonst hat Ransomware leichtes Spiel und verschlüsselt auf allen Datenträgern im Netzwerk. Nicht vergessen: System komplett neu aufsetzen denn das ist jetzt nicht mehr vertrauenswürdig und es wäre fahrlässig damit noch zu arbeiten.

dass dieses jedoch nicht im Netz hängen darf..
Sorry aber das kann man ihm nicht verübeln, das weiß nicht jeder.

Jetzt wisst ihr es und bezahlt dafür teuer durch den Verlust der Dateien die verschlüsselt wurden.

 

[Dine115]

So, erstmal Danke für die schnellen Antworten.

Ich gebe Euch natürlich Recht, die Datensicherung war auf diese Weise nicht die Beste war.
Allerdings sind solche Kommentare nicht sinnvoll und helfen mir nicht weiter.

Er hat seine Belehrung diesbezüglich bereits bekommen und in Zukunft wird das Ganze sinnvoll und sicher gesichert und geschützt.

Gerade bin ich auf einen Beitrag gestoßen, bei dem jemand das Problem mithilfe eines Tools von Dr.Web lösen konnte.

https://www.bleepingcomputer.com/fo...lp-topic-how-return-filestxt-helppmeindiacom/

Ich probiere das jetzt und melde mich dann wieder.

 

[M@rsupil@mi]

Was mir noch eingefallen ist: Ist auf dem NAS ein Papierkorb aktiviert, den nur der NAS-Admin auf dem Gerät einsehen kann? Dann findest du dort vielleicht die ursprünglichen Daten oder zumindest einen Teil davon.

 

[purzelbär]

Gerade bin ich auf einen Beitrag gestoßen, bei dem jemand das Problem mithilfe eines Tools von Dr.Web lösen konnte.

https://www.bleepingcomputer.com/for...lppmeindiacom/

Ich probiere das jetzt und melde mich dann wieder.

Die Entschlüsselung durch Dr.Web wird aber wahrscheinlich kosten: https://translate.google.com/transl...-return-filestxt-helppmeindiacom/&prev=search schau dir mal Posting 13 dort an.

 

[andy_m4]

Offensichtlich gibt es aber Beratungsbedarf. Du solltest das Deinem Bekannten ganz klar sagen. Backups gehören niemals auf Medien, die vom Rechner aus immer erreichbar sind. Das sind keine Backups.

Dann musst Du ihm aber auch sagen, wie er denn Backups machen soll. Irgendwann muss er ja den Backup-Datenträger einbinden und spätestens dann ist das Backupmedium gefährdet (wenn auch zeitlich begrenzt).

Ein Ansatz wäre zum backuppen ein Live-System zu verwenden das man für den Zweck bootet.
Ist etwas nervig bringt aber Sicherheitsgewinn. Das Problem bei nervigen Sachen ist es, dass man sie eben nicht so häufig macht.
Ne weitere Alternative wäre, wenn Backups zwar auf nem Server gemacht werden aber diese versioniert sind. Die verschlüsselte Variante wäre dann eben nur ne neue Version. Außerdem könnte man auf dem Client ein eigenen Benutzer für Backups anlegen. Nur dieser hat dann Zugriff auf die Nutzerdaten und auf den Backup-Server und führt regelmäßig ein Skript aus, welches die Nutzerdaten sichert.

Backups können also mitunter ne komplizierte Sache sein, wenn man es _richtig_ machen will. Nur in den Raum zu werfen, dass man ordentliche Backups machen soll hilft alleine wenig.

 

[brianmolko]

Er hat aber recht damit, auch wenn es Betroffene oder User wie du nicht gerne hören wollen.

Dann erzähl mir mal bitte, wo du dein Backup speicherst?

 

[BlubbsDE]

Auf Medien, die nur zu Backupzwecken mit dem Rechner verbunden werden.

 

[brianmolko]

Schon klar. Mir ging es eher um die Anzahl der verschiedenen Backupmedien. Nur 1 externe Festplatte mit "Backups" zähle ich nicht als vollwertiges Backup. Und soweit ich weiß nutzt Purzelbär nur eine Festplatte als Backup, die sich dann auch garantiert noch daheim in der Nähe des Originals befindet.

 

[BlubbsDE]

Sicher gilt das als Backup. Nicht das sicherste, aber es ist OK. Man hat die Daten doppelt und physikalisch getrennt voneinander.

 

[purzelbär]

Dann erzähl mir mal bitte, wo du dein Backup speicherst?

Um deine Neugierde zu befriedigen: auf einer externen USB Festplatte die offline ist und nur eingeschaltet wird wenn ich Backups bzw Images mache oder eines davon zurückspiele. Zudem habe ich auch noch mir wichtige Dateien wie Lizenzen, Passwörter usw auf mindestens 2 USB Sticks von den ich auch Kopien auf der USB Festplastte habe.

Ergänzung (22. April 2018)

Schon klar. Mir ging es eher um die Anzahl der verschiedenen Backupmedien. Nur 1 externe Festplatte mit "Backups" zähle ich nicht als vollwertiges Backup. Und soweit ich weiß nutzt Purzelbär nur eine Festplatte als Backup, die sich dann auch garantiert noch daheim in der Nähe des Originals befindet.

Das ist ja wohl meine Sache oder? So wichtige Dateien habe ich nicht um die auf ein weiteres Backup Medium zu haben das meinetwegen ausser Haus in zum Beispiel einem Schliessfach einer Bank gelagert ist.

Ergänzung (22. April 2018)

Sicher gilt das als Backup. Nicht das sicherste, aber es ist OK. Man hat die Daten doppelt und physikalisch getrennt voneinander.

Tja brianmolko sieht das wohl anders und meint er müsse mir sagen was ich wie zu machen habe
Und jetzt zu dir brianmolko: was hast du für eine Backup Strategie?