Support-Anrufer angeblicher Microsoft-Mitarbeiter hat das Notebook verschlüsselt?

[Weckmann]

Hallo,
ein Bekannter hat mir sein Laptop gebracht und erzählt, ein angeblicher Microsoft-Mitarbeiter hat sich nach Virusbefall bei ihm aufgeschaltet und wollte den Virus löschen. Leider ist mein Bekannter darauf reingefallen und jetzt ist sein Notebook verschlüsselt. Jetzt soll er 200,-€ überweisen und dann könnte der Microsoft-Mitarbeiter das Notebook wieder reparieren.
Diese Betrüger finden aber auch immer wieder welche, die auf so einer Masche reinfallen!!
Gibt es ein Lösungsweg, um das Notebook wieder zu entschlüsseln?

 

[CMDCake]

Ohne zu wissen was der "Mitarbeiter" mit dem Rechner angestellt hat, kann man eigentlich nur zu Format C:/ raten.

 

[rapanui]

Wird wohl diese Masche gewesen sein: https://www.youtube.com/watch?v=xNskW4RVbQY

 

[smart-]

Die entscheidende Frage ist hier ja wohl, ob wichtige Daten auf der Partition liegen... Wenn nicht, dann sowieso gleich formatieren.
Falls wichtige Daten drauf sind mal schlau machen welche Verschlüsselung das genau ist.
Muss man irgendeinen Code eingeben? Teilweise gibts die je im Internet, wenn das ganze bereits geknackt wurde und älter ist.
Was genau wird angezeigt?

 

[alterSack66]

Wenn du hoffentlich ein Backup hast mach das Teil platt. Falls nicht eigentlich auch.

 

[sebulba05]

Der hatte bestimmt einen leicht indischen Dialekt. Plätten und neu aufsetzten. Wenn kein Backup vorhanden waren die Daten per Definition sowieso unwichtig...

 

[Weckmann]

Es erscheint die gleiche Anmeldemaske wie im Video. Das scheint die gleiche Masche gewesen zu sein, genau so hat er es mir auch erklärt. Gibt es keine Lösung, dieses Kennwort wieder aufzuheben

 

[micv]

Ich habe das zwar noch nicht gehabt, aber habe in einem Video dazu gesehen, das jemand die Verschlüsselung entfernt hat, indem er durch die Win10 Startwiederherstellung einen älteren Systemwiederherstellungspunkt geladen hat. Danach war das Passwort entfernt.

Hier das Video dazu: https://youtu.be/KDTwtbMIoiI

In den Kommentaren hat jemand sogar noch eine andere Lösung dazu. Also entfernbar ist es wieder. Aber danach würde ich Daten sichern und den PC neu aufsetzen.

 

[T3Kila]

Hatten Bekannte von mir auch schon mal

Mit ein bisschen Glück war die Kiste nicht lange an, dann lassen sich die meisten Daten von der Platte über ein zweites System (im Optimalfall Live Linux) abziehen.
Also Daten sichern (falls nötig) & Virenscan, dann platt machen

 

[Merle]

Nicht laufen lassen (den PC), HDD ausbauen, an anderem PC Daten soweit nicht verschlüsselt retten (ein Linux LiveOS tuts auch auf dem PC selbst), danach neu installieren. Bekannten aufklären.

 

[Sterntaste]

ich frage mich, wie man heute darauf noch reinfallen kann. Die Masche ist nicht neu. Da ruft jemand an, gibt vor von Microsoft zu sein und dass man verdächtige, nach Viren anmutende Aktionen vom Rechner ausgehend beobachtet haben will. Und dass man helfen kann.
Jetzt mal ehrlich, wer darauf reinfällt, dem gehört jeglicher Umgang mit Informationstechnologie entzogen und für die Zukunft verboten.
Woher will Microsoft denn wissen, selbst wenn es solche Beobachtungen bei denen GÄBE, zu wem der betroffene Rechner gehört, wie die Telefonnummer des Nutzers ist? Spätestens hier müsste einem denkenden Menschen doch das große Fragezeichen kommen und ein gewisses Mißtrauen entstehen. Für so einen Dienst könnte man erwarten, dass der was kostet. Wer fragt und als Antwort "kostenlos" erhält, der sollte sich dann mal fragen, wie Microsoft zu einem so großen und reichen Konzern geworden ist. Mit Kostenlos-Hilfsdiensten garantiert nicht. Die wollen und müssen Geld verdienen im Sinne der Aktionäre. Auch aus diesem Grund kann so ein Anruf nichts Gutes verheißen. Es gibt immer einen Haken.

Sorry, für die, die darauf reinfallen, kann ich kein Verständnis mehr entwickeln. Die haben oft auch ein einziges, leicht zu erratendes Passwort für alles und die klicken garantiert in jeder erhaltenen Email auf den Anhang, bestätigen jede Abfrage im Blitzverfahren ohne Texte zu lesen mit JA und jeden Link und wenn danach gefragt wird, dann werden schnell und unüberlegt Passwörter und Pins rausgegeben, um irgendwas zu bestätigen oder zu reaktivieren. Eigentlich sind so leichtgläubige Menschen eine Gefahr für sich selber.

Es gibt auch Leute, die würden "Herr bitte schmeiß Hirn vom Himmel" rufen, das würde aber, fürchte ich, nichts nutzen, da die Bedürftigen hier rechtzeitig zur Seite gehen oder einen Regenschirm aufspannen.

 

[micv]

Wenn es das erwähnte Problem ist, dass ein Passwort erstellt wurde von den Betrüger, lässt es sich leicht beheben. Da braucht man nicht so komplizierte Wege gehen.

 

[alterSack66]

Ich kaufe jede Woche ein iPhone bei Amazon und soll meine Daten bestätigen. Mach den PC platt und gut ists. Vielleicht noch so ein Entfernungs-Tool von Kaspersky oder so. Aber Vertrauen hätte ich in den PC dann nicht mehr.

 

[firexs]

@Sterntaste: bist ja ein ganz toller. Tellerrand und so? Neben Business ist der Markt auch gut belegt mit sog. Aldi PCs. Kiste kaufen, einrichten und fertig ist der Adminacount beim Kunden.
Alleine dies ist schon nicht dem einfachen Kunden zuzumuten, dass dieser damit umzugehen weiss.

Ich habe beruflich regelmässig mit derartigen Patienten zu tun. Der Mensch an sich ist nun mal naiv.

Hier bei CB/FB ist man nunmal nicht der Nabel der Welt, sondern gerade mal 1% aller Nutzer auf der Welt.

 

[alterSack66]

@firexs: Recht hat er schon, ist schon ziemlich naiv, jemand komplett Fremden Zugriff auf den Rechner zu gestatten. Wenn einer auf eine Phising-Mail klickt kann ja mal passieren. Aber einen Anfrufer?

 

[smart-]

Jetzt mal ehrlich, wer darauf reinfällt, dem gehört jeglicher Umgang mit Informationstechnologie entzogen und für die Zukunft verboten.

Ich bin zwar selbst in der IT tätig und immer wieder genervt wenn Kunden so gar keine Ahnung haben, aber deine Ansicht ist definitiv übertrieben. Es gibt schlichtweg viele naive Leute, die man mit Tricks hinters Licht führen kann und die Betrüger werden immer kreativer. Bei uns gab es auch immer wieder den Fall, dass sich jemand als Polizist ausgegeben hat und bei alten Leuten in die Wohnung gekommen ist - hinterher war dann Bargeld verschwunden. Das ist einfach ausnutzen gewisser Leute, die es nicht besser wissen und sofort glauben, ja der Typ ist ja von Microsoft ach ja, die kommen gar nicht erst auf den Gedanken, dass es ein Betrug sein könnte und hinterfragen das nicht. Warum? Weil diese Nutzer nicht informiert sind, die lesen nicht seit Jahren IT-News oder sind wie du hier im Forum aktiv. Der 0815 Nutzer weiß kaum mehr als was ein PC ist und vielleicht noch Microsoft und genau mit der Masche bekommen sie die Leute dann dran.

Ich muss sogar sagen, speziell diese Masche ist sehr erfolgreich bei Unternehmen und ein riesen Problem für den IT-Support. Es kann in Ausnahmefällen nämlich tatsächlich sein, dass ein Kollege vom IT-Support oder tatsächlich mal von einem Drittanbieter Rechnerzugriff braucht und das kommt immer wieder vor, ich kann dir zu 100% garantieren, du könntest bei zig Firmen einfach in irgendeiner Abteilung anrufen und dich als ITler ausgeben und das du schnell mal Zugriff auf den Rechner brauchst, wegen Problem X.

Oft gibt es da einfach keine Schulungen für die Mitarbeiter und keine klaren Regeln was die IT angeht, ich habe da schon viel chaotisches gesehen, auch bei Kollegen in der IT, mich wundert das alles überhaupt nicht, da ist nicht nur Omi und Opi betroffen. Social Engineering sollte dir auch ein Begriff sein. Gab doch mal einen Betrüger, der ist bei der CIA auf alle Rechner rein gekommen, weil er ständig irgendwo angerufen hat und sich als jemand ausgegeben hat und immer mehr Infos bekommen hat bis er genug Infos hatte um auf die Rechner zu kommen und wenn man das selbst bei der CIA schafft, dann weiste was mit IT-Sicherheit los ist.

 

[Merle]

Dieses nur Passwort setzen kann aber viel mehr Konsequenzen nach sich ziehen als hier angenommen wird. Wenn es NUR ein Passwort wäre, könnte man es beheben.
Nur wäre ich mir da nicht so sicher. Parallel könnte ein Programm Dateien verschlüsseln, mit jeder Sekunde auf der Anmeldemaske verliert man dann mehr Daten.
(Wie bei Ransomware eben.)
Darum der Rat mit Linux.
Zum Rest hier im Thread: es sollte auch keiner Auto fahren dürfen, der es nicht schafft, im Notfall ne Glühbirne zu Tauschen oder ne Sicherung. Steht alles im Handbuch. Es gibt Leute, die auf Dienstleistungen angewiesen sind, und gerade ITler sollten sich darüber nicht beschweren 😂😂

 

[Weckmann]

Wenn es das erwähnte Problem ist, dass ein Passwort erstellt wurde von den Betrüger, lässt es sich leicht beheben. Da braucht man nicht so komplizierte Wege gehen.

Und der wäre..?

 

[Simpson474]

Mit dem "syskey" Tool wird nur die Registry verschlüsselt, die Daten werden damit nicht verschlüsselt. Falls keine weiteren Verschlüsselungstools installiert wurden, so können die Daten z.B. mit einem Linux Live-System einfach kopiert werden. Anschließend würde ich eine Neuinstallation empfehlen - man weiß ja nicht, was vom "Support"-Mitarbeiter noch alles am Rechner gemacht wurde.

Falls du mutig bist, so kannst du ein Registry-Backup einspielen und somit die Verschlüsselung entfernen (ich würde aber den sauberen Weg empfehlen):
https://www.youtube.com/watch?v=c_y2kHpCNfQ

 

[micv]

Richtig, reg backup einspielen oder per Systemwiederherstellungspunkt wiederherstellen. Das spielt auch ein reg Backup zurück. Und geht ohne Kommandozeile.

Ergänzung (29. März 2018)

@Weckmann Weiter oben in meinem Post, wird das im Video erklärt. Und geschrieben habe ich es auch.