Virus - Alle Dateien und Festplatten sind verschlüsselt - pumarestore@india.com
- Ersteller GoldenEighties
- Erstellt am
- Registriert
- März 2015
- Beiträge
- 61
Ergänzung ()
Heute früh bezahlt, am Nachmittag das Tool "Decryption" bekommen mit Key und Anweisung, alle Dateien auf 7 Festplatten entschlüsselt. Ich ärgere mich auch sehr das 218 Euro für so ein Mist weg sind und ich mag auch keine Betrüger, aber die Dateien waren zu wichtig und das Warten auf ein Entschlüsselungs-Tool im Internet hätte zu viele Nerven gekostet
Zuletzt bearbeitet:
new Account()
Banned
- Registriert
- Mai 2018
- Beiträge
- 7.198
Übrigens: Windows hat sogar ein Feature, dass gegen solche (und evtl. auch gegen andere) Malware schützt: https://docs.microsoft.com/en-gb/wi...guard/enable-controlled-folders-exploit-guard
forfuture
Lieutenant
- Registriert
- Feb. 2017
- Beiträge
- 769
Seit gestern bin ich doch leider auch auf den Trojaner „Gandcrab v.5.04.“ reingefallen (als getarntes Word Dokument/72 KB per email erhalten, “ all your files, documents photos datbases and other important files are encrypted and have the extension: .JXZUJTVC”)
Meine relevanten Systemeinheiten:
1) SSD (dual Part.)
1a-Part) W10pro (wurde infiziert)
1b-Part) W7pro (länger nicht mehr genutzt)
2) HD/1TB (85% volles Datengrab/Samsung 5400rpm)
wurde nur teils infiziert (soweit ich das erkennen kann)
Als der Trojaner loslegte (>> Ordner/Dateien von oben nach unten/im Explorer), bemerkte/hörte ich das auffällige „Rattern/Arbeiten“ der HD/1TB und stoppte nach ca 1 Min W10 durch runterfahren.
Die oberen Ordner/Dokumente (Word, Bilder, Musikfiles u.ä) wurden bereits codiert mit der sichtbaren extension “.JXZUJTVC” und machen etwa 15% der HD/Daten aus.
Alle Ordner/Dokumente darunter sind noch ok (lassen sich öffnen/bearbeiten / wie immer).
Glücklicherweise hatte ich alle sehr wichtigen Dateien routinemäßig 2 Tage zuvor (auf externe HD/liegt im Schrank) gesichert. Jedoch u.a. nicht gesichert sind meine letzten System-Images (Aomei) mit W10 (und W7) und wurden von „Gandcrab“ codiert. Einige weniger wichtige Files (Word, Bilder, Musikfiles u.ä) wurden ebenso codiert. Hätte ich gerne wieder, aber nicht so schlimm erstmal.
Ich habe mit W10 so einem Trojaner-Entferner laufen lassen, der nix gefunden hat, evtl. nicht, weil ich zuvor diese infizierte email gelöscht hatte. W10-Defender findet/meldet jetzt nix und W10 arbeitet wie immer, nix zu merken( CPU Auslastung 6-10% im idle, Ethernet, Datentransfer quasi NULL, also wie immer).
Vor 1 Woche hatte ich mir zuletzt ein W10 Image (Aomei) geschrieben, das ich gerne zurückschreiben würde, aber leider ist es codiert worden und nun unbrauchbar.
Aus Dez 2017 hätte ich noch ein W10 Image (Aomei) auf einer anderen HD liegen, aber eigentlich viel zu alt und benötigt wohl ewig neue updates.
Kann ich W10 jetzt einfach so weiternutzen oder kommt „Gandcrab v.5.04.“ evtl. tükisch zurück und killt dann alle meine Daten ?
Eine Neuinstallation (cleaninstall) will ich unbedingt vermeiden, lieber die Images wieder lesbar bekommen, muss ja auch nicht sofort sein, solange ich ersteinmal weitermachen kann.
Übrigens, wenige nun wichtige fehlende Daten habe ich auf der HD/per USB anschließbar. Kann ich die unbedenklich kurz mal anschließen, um diese Dateien zu ersetzen ?
Vielleicht gibt es in ein paar Wochen ja eine Decodierung für diese infizierten files (mögl. kostenlos).
Was meint Ihr ? Freue mich über Hilfestellung.
Meine relevanten Systemeinheiten:
1) SSD (dual Part.)
1a-Part) W10pro (wurde infiziert)
1b-Part) W7pro (länger nicht mehr genutzt)
2) HD/1TB (85% volles Datengrab/Samsung 5400rpm)
wurde nur teils infiziert (soweit ich das erkennen kann)
Als der Trojaner loslegte (>> Ordner/Dateien von oben nach unten/im Explorer), bemerkte/hörte ich das auffällige „Rattern/Arbeiten“ der HD/1TB und stoppte nach ca 1 Min W10 durch runterfahren.
Die oberen Ordner/Dokumente (Word, Bilder, Musikfiles u.ä) wurden bereits codiert mit der sichtbaren extension “.JXZUJTVC” und machen etwa 15% der HD/Daten aus.
Alle Ordner/Dokumente darunter sind noch ok (lassen sich öffnen/bearbeiten / wie immer).
Glücklicherweise hatte ich alle sehr wichtigen Dateien routinemäßig 2 Tage zuvor (auf externe HD/liegt im Schrank) gesichert. Jedoch u.a. nicht gesichert sind meine letzten System-Images (Aomei) mit W10 (und W7) und wurden von „Gandcrab“ codiert. Einige weniger wichtige Files (Word, Bilder, Musikfiles u.ä) wurden ebenso codiert. Hätte ich gerne wieder, aber nicht so schlimm erstmal.
Ich habe mit W10 so einem Trojaner-Entferner laufen lassen, der nix gefunden hat, evtl. nicht, weil ich zuvor diese infizierte email gelöscht hatte. W10-Defender findet/meldet jetzt nix und W10 arbeitet wie immer, nix zu merken( CPU Auslastung 6-10% im idle, Ethernet, Datentransfer quasi NULL, also wie immer).
Vor 1 Woche hatte ich mir zuletzt ein W10 Image (Aomei) geschrieben, das ich gerne zurückschreiben würde, aber leider ist es codiert worden und nun unbrauchbar.
Aus Dez 2017 hätte ich noch ein W10 Image (Aomei) auf einer anderen HD liegen, aber eigentlich viel zu alt und benötigt wohl ewig neue updates.
Kann ich W10 jetzt einfach so weiternutzen oder kommt „Gandcrab v.5.04.“ evtl. tükisch zurück und killt dann alle meine Daten ?
Eine Neuinstallation (cleaninstall) will ich unbedingt vermeiden, lieber die Images wieder lesbar bekommen, muss ja auch nicht sofort sein, solange ich ersteinmal weitermachen kann.
Übrigens, wenige nun wichtige fehlende Daten habe ich auf der HD/per USB anschließbar. Kann ich die unbedenklich kurz mal anschließen, um diese Dateien zu ersetzen ?
Vielleicht gibt es in ein paar Wochen ja eine Decodierung für diese infizierten files (mögl. kostenlos).
Was meint Ihr ? Freue mich über Hilfestellung.
Zuletzt bearbeitet:
Dr. McCoy
Fleet Admiral
- Registriert
- Aug. 2015
- Beiträge
- 12.116
Dann hat Du allerdings sehr wahrscheinlich automatisch Makros zur Ausführung in Office-Dokumenten erlaubt, und/oder verwendest alte, nicht hinreichend gepatchte Software. Dies ist Infektionen im besonderen zuträglich.forfuture schrieb:
Partitions-"Grenzen" stellen für Malware keine Grenzen dar.
In solchen Fällen ist gar ein hartes "Runterfahren" zu empfehlen.
Dieser Satz deutet darauf hin, dass Du unter dem laufenden kompromittierten System weiterhin Zugriffe auf die Datenplatte durchführst. Beides ist keine gute Entscheidung, da im Hintergrund ggf. Schreibzugriffe auf den Datenträger ablaufen und somit die Chancen etwaiger Wiederherstellungen minimieren.
Und genau da im Schrank muss diese Platte auch erstmal bleiben. Weil nur da sind die Daten sicher.
Sicherungsimages gehören auch nie intern sondern zwangsläufig immer extern abgelegt. Macht man das anders, sind die Images im Falle eines Falls nichts wert -- so wie nun hier.
Für alle Daten, die Du wieder haben willst, gilt: Betroffene Datenfestplatte ausbauen und in den Schrank legen, bis eine etwaige Entschlüsselung möglich geworden ist.
Erstens kannst Du mit einem "Trojaner-Entferner" ohnehin keinen notwendigerweise vertrauenswürdigen Zustand wiederherstellen (Klick!), zweitens ist Dein Ansatz, bei einem Verschlüsselungstrojaner diesen bzw. dessen Komponenten löschen zu wollen kontraproduktiv, wenn Du später ggf. Deine Daten wieder entschlüsseln können möchtest, denn dazu würden dann Teile des Schädlings zur Rekonstruktion benötigt! Deshalb ist das Löschen-Wollen der Malware in diesem Fall der zweifach falsche Weg.
Das ist hinsichtlich der nun stattfindenden Sicherheitsbewertung allerdings völlig irrelevant und allenfalls ein oberflächlich bemerktes Symptom bzw. Ausbleiben von Symptomen. Es sagt jedoch nichts dahingehend aus, dass das System nun frei von Malware wäre.
Es ist nicht deswegen unbrauchbar, weil es "codiert" wurde, sondern weil Du es intern abgelegt hattest.
Das wäre dann so.
Natürlich nicht. Das System ist kompromittiert und muss daher entweder durch ein sauberes Image ersetzt oder ganz frisch neu aufgesetzt werden.
-> http://oschad.de/wiki/Kompromittierung
Auch ein zeitversetztes Aktivwerden von Verschlüsselungsmalware ist in der Vergangenheit vorgekommen.
Da Du das Lesbar-Machen der Images erstmal vergessen kannst, bleiben Dir nur zwei Wege: Entweder, das alte Image einzuspielen, oder das komplette Neuaufsetzen. Denn Warten...
... und einfach erstmal so "weiter machen" kannst Du mit dem System in diesem Zustand ganz sicher nicht.
Natürlich nicht. Man schließt niemals seine Backup-Platte, und in diesem Fall sogar noch die letzte verbliebene, an ein kompromittiertes System an!
Sowas kommt immer wieder vor. Deshalb:Vielleicht gibt es in ein paar Wochen ja eine Decodierung für diese infizierten files (mögl. kostenlos).
Was meint Ihr ? Freue mich über Hilfestellung.
1.) Interne Datenplatte erstmal ausbauen und in den Schrank legen.
2.) Alle Partitionen auf der SSD auflösen, und dann entweder das alte Image zurückspielen, oder Windows 10 frisch installieren.
3.) Neue interne Datenplatte besorgen, einbauen.
4.) Erst jetzt die Backup-Platte via USB anschließen und benötigte Daten auf die interne neue HDD rüber kopieren.
Neronomicon
Captain
- Registriert
- Dez. 2009
- Beiträge
- 3.214
forfuture schrieb:
Schau dir mal das Tool für den Defender (Config Defender, Link in der Sig.) an. Da kann man vieles einstellen und hat alles im Blick.
Auch kann man dort den Exploid Guard einstellen.
Der erste Punkt dürfte dich interessieren. "Block exe. contend from E-Mail client and webmail".
Damit solche Dateien nicht ausgeführt werden.
forfuture
Lieutenant
- Registriert
- Feb. 2017
- Beiträge
- 769
Ersteinmal ganz herzlichen Dank für die soweit ausführliche Unterstützung in meinem Ärgernis.
Bei weiteren Websuchen zum Dekodieren meiner befallenen files bin ich bisher noch nicht wirklich weitergekommen, ausser zu solchen Bezahltools wie "Decryption" (@GoldenEighties) oder „DataRecoveryPro“.
Aber immerhin gibt es eine schnelle Lösung für betroffene Leute, wie im Falle von @GoldenEighties kürzlich beschrieben.
Das zweite Mal binnen meines rd 20J.-PC-Lebens bin ich sehr froh, ein backup meiner Daten gepflegt zu haben. Seinerzeit war es der Totalausfall einer Daten-HD und heute ist es der Virentotalangriff auf meine Daten-HD. Nie wirklich hatte ich mit sowas gerechnet und erlebte nun, wie schnell (1 Min) auf meiner HD bereits "vollzogen" (rd. 15%) werden konnte.
Ganz widerlich ist es auch, dass meine mühevolle „C:“-System-Pflege (mit Aomei) nahezu ausgelöscht. Auch meine eigentextliche „history“ dazu ist unbrauchbar, weil unlesbar geworden. Eine kleine Erleichterung gibt es jedoch, weil ich neben dem noch vorhandenen „Aomei-Image/Dez2017 “ nun noch eines aus „Mai2018“ auf meiner kleinen TV-USB-Platte gefunden habe. Als hätte ich Böses geahnt, kopierte ich vorm halben Jahr ein System-Image einfach auch mal auf die tragbare TV-HD. Seither habe ich zum Glück wenig Softwareänderungen vorgenommen und bekäme die Nachpflege wohl hin.
Bisher habe ich aber noch nix weiter unternommen und @Dr. McCoy schreibt nun, ich solle meine System-SSD komplett plattmachen, um dann ein Dualboot (W10+W7) neu aufzusetzen. Bisher war ich immer der Auffassung, das Rückschreiben eines System-Images (aktuell Aomei) ist eine Cluster-für-Cluster Wiederherstellung, ein 100%iges Überschreiben und somit einer Neuinstallation (Virenbefreiung) gleichzusetzen. Zwar gibt es system-zugehörig auch noch das „MBR“, aber kann sich dort ein Virus nachhaltig einrichten ? In der Datenträgerverwaltung sieht dazu alles aus wie immer. Ich meine, wir sprechen hier doch nur von PC-Anwendern und nicht vom Computer-Virenbefall des Deutschen Bundestages, von NSA-Trojanern oder ähnlichem.
Ob nun zu XP-Zeiten (damals mit Acronis-Sicherung) oder W10 (Aomei), wenn das System irgendwann plötzlich mal nicht mehr richtig lief, eine Warnung, Viren oder irgendwas war, schrieb ich einfach das vorherige Image zurück, alles wieder supi. Genau dafür liebe ich diese „Backupper“ ja, rückschreiben, dabei Kaffeetrinken, erledigt.
Bei weiteren Websuchen zum Dekodieren meiner befallenen files bin ich bisher noch nicht wirklich weitergekommen, ausser zu solchen Bezahltools wie "Decryption" (@GoldenEighties) oder „DataRecoveryPro“.
Aber immerhin gibt es eine schnelle Lösung für betroffene Leute, wie im Falle von @GoldenEighties kürzlich beschrieben.
Das zweite Mal binnen meines rd 20J.-PC-Lebens bin ich sehr froh, ein backup meiner Daten gepflegt zu haben. Seinerzeit war es der Totalausfall einer Daten-HD und heute ist es der Virentotalangriff auf meine Daten-HD. Nie wirklich hatte ich mit sowas gerechnet und erlebte nun, wie schnell (1 Min) auf meiner HD bereits "vollzogen" (rd. 15%) werden konnte.
Ganz widerlich ist es auch, dass meine mühevolle „C:“-System-Pflege (mit Aomei) nahezu ausgelöscht. Auch meine eigentextliche „history“ dazu ist unbrauchbar, weil unlesbar geworden. Eine kleine Erleichterung gibt es jedoch, weil ich neben dem noch vorhandenen „Aomei-Image/Dez2017 “ nun noch eines aus „Mai2018“ auf meiner kleinen TV-USB-Platte gefunden habe. Als hätte ich Böses geahnt, kopierte ich vorm halben Jahr ein System-Image einfach auch mal auf die tragbare TV-HD. Seither habe ich zum Glück wenig Softwareänderungen vorgenommen und bekäme die Nachpflege wohl hin.
Bisher habe ich aber noch nix weiter unternommen und @Dr. McCoy schreibt nun, ich solle meine System-SSD komplett plattmachen, um dann ein Dualboot (W10+W7) neu aufzusetzen. Bisher war ich immer der Auffassung, das Rückschreiben eines System-Images (aktuell Aomei) ist eine Cluster-für-Cluster Wiederherstellung, ein 100%iges Überschreiben und somit einer Neuinstallation (Virenbefreiung) gleichzusetzen. Zwar gibt es system-zugehörig auch noch das „MBR“, aber kann sich dort ein Virus nachhaltig einrichten ? In der Datenträgerverwaltung sieht dazu alles aus wie immer. Ich meine, wir sprechen hier doch nur von PC-Anwendern und nicht vom Computer-Virenbefall des Deutschen Bundestages, von NSA-Trojanern oder ähnlichem.
Ob nun zu XP-Zeiten (damals mit Acronis-Sicherung) oder W10 (Aomei), wenn das System irgendwann plötzlich mal nicht mehr richtig lief, eine Warnung, Viren oder irgendwas war, schrieb ich einfach das vorherige Image zurück, alles wieder supi. Genau dafür liebe ich diese „Backupper“ ja, rückschreiben, dabei Kaffeetrinken, erledigt.
Zuletzt bearbeitet:
Neronomicon
Captain
- Registriert
- Dez. 2009
- Beiträge
- 3.214
Soweit ich weiß sichert Aomei den MBR auch mit.
forfuture
Lieutenant
- Registriert
- Feb. 2017
- Beiträge
- 769
Ja, wird vor dem Rückschreiben auch mitgelistet, bevor ich das GO gebe und auch dort sollten alle Cluster 1:1 überschrieben werden. Dasselbe für W7, hat trotz dualboot auch ein eigenes MBR, wird ebenso aufgeführt/mitgelistet. Alles 1:1 wie im Gerätemanager auch zu sehen ist. Wenn das MBR infiziert wäre, kann ein Virus nicht überleben. Wenn ich diesen Dreck jetzt schon durchmachen muß, dann bitte etwas Komfort dabei 
Diese ewige Vorsorge muß ja auch was für sich haben
Diese ewige Vorsorge muß ja auch was für sich haben
A
asdwetgtrhe5sre
Gast
forfuture schrieb:
Nope! Es gibt Images und es gibt andere Images. Bei vielen Backup-Programmen musst du die Cluster-by-Cluster-Option aktivieren (falls überhaupt vorhanden). Eine Cluster-by-Cluster-Kopie wäre ein komplettes überschreiben der Festplatte.
Es ist aber fraglich, ob der Virus nicht durch das möglicherweise Abtasten der verseuchten Platte durch das Backup-Programm nicht übertragen werden kann ... falls du das vorhast.
