Virus - Alle Dateien und Festplatten sind verschlüsselt - pumarestore@india.com

Feut mich mich für dich und denk immer dran: Backups, auch die sog. Systemsicherungen immer auf eine USB Festplatte oder weil du ja genug Festplatten hast, doppelt auf 2 verschiedene USB Festplatten.
 
Ergänzung ()


Heute früh bezahlt, am Nachmittag das Tool "Decryption" bekommen mit Key und Anweisung, alle Dateien auf 7 Festplatten entschlüsselt. Ich ärgere mich auch sehr das 218 Euro für so ein Mist weg sind und ich mag auch keine Betrüger, aber die Dateien waren zu wichtig und das Warten auf ein Entschlüsselungs-Tool im Internet hätte zu viele Nerven gekostet
 
Zuletzt bearbeitet:
Seit gestern bin ich doch leider auch auf den Trojaner „Gandcrab v.5.04.“ reingefallen (als getarntes Word Dokument/72 KB per email erhalten, “ all your files, documents photos datbases and other important files are encrypted and have the extension: .JXZUJTVC”)

Meine relevanten Systemeinheiten:
1) SSD (dual Part.)
1a-Part) W10pro (wurde infiziert)
1b-Part) W7pro (länger nicht mehr genutzt)
2) HD/1TB (85% volles Datengrab/Samsung 5400rpm)
wurde nur teils infiziert (soweit ich das erkennen kann)

Als der Trojaner loslegte (>> Ordner/Dateien von oben nach unten/im Explorer), bemerkte/hörte ich das auffällige „Rattern/Arbeiten“ der HD/1TB und stoppte nach ca 1 Min W10 durch runterfahren.
Die oberen Ordner/Dokumente (Word, Bilder, Musikfiles u.ä) wurden bereits codiert mit der sichtbaren extension “.JXZUJTVC” und machen etwa 15% der HD/Daten aus.
Alle Ordner/Dokumente darunter sind noch ok (lassen sich öffnen/bearbeiten / wie immer).

Glücklicherweise hatte ich alle sehr wichtigen Dateien routinemäßig 2 Tage zuvor (auf externe HD/liegt im Schrank) gesichert. Jedoch u.a. nicht gesichert sind meine letzten System-Images (Aomei) mit W10 (und W7) und wurden von „Gandcrab“ codiert. Einige weniger wichtige Files (Word, Bilder, Musikfiles u.ä) wurden ebenso codiert. Hätte ich gerne wieder, aber nicht so schlimm erstmal.

Ich habe mit W10 so einem Trojaner-Entferner laufen lassen, der nix gefunden hat, evtl. nicht, weil ich zuvor diese infizierte email gelöscht hatte. W10-Defender findet/meldet jetzt nix und W10 arbeitet wie immer, nix zu merken( CPU Auslastung 6-10% im idle, Ethernet, Datentransfer quasi NULL, also wie immer).

Vor 1 Woche hatte ich mir zuletzt ein W10 Image (Aomei) geschrieben, das ich gerne zurückschreiben würde, aber leider ist es codiert worden und nun unbrauchbar.

Aus Dez 2017 hätte ich noch ein W10 Image (Aomei) auf einer anderen HD liegen, aber eigentlich viel zu alt und benötigt wohl ewig neue updates.

Kann ich W10 jetzt einfach so weiternutzen oder kommt „Gandcrab v.5.04.“ evtl. tükisch zurück und killt dann alle meine Daten ?
Eine Neuinstallation (cleaninstall) will ich unbedingt vermeiden, lieber die Images wieder lesbar bekommen, muss ja auch nicht sofort sein, solange ich ersteinmal weitermachen kann.

Übrigens, wenige nun wichtige fehlende Daten habe ich auf der HD/per USB anschließbar. Kann ich die unbedenklich kurz mal anschließen, um diese Dateien zu ersetzen ?

Vielleicht gibt es in ein paar Wochen ja eine Decodierung für diese infizierten files (mögl. kostenlos).
Was meint Ihr ? Freue mich über Hilfestellung. :)
 
Zuletzt bearbeitet:
forfuture schrieb:
Seit gestern bin ich doch leider auch auf den Trojaner „Gandcrab v.5.04.“ reingefallen (als getarntes Word Dokument/72 KB per email erhalten,
Dann hat Du allerdings sehr wahrscheinlich automatisch Makros zur Ausführung in Office-Dokumenten erlaubt, und/oder verwendest alte, nicht hinreichend gepatchte Software. Dies ist Infektionen im besonderen zuträglich.

Meine relevanten Systemeinheiten:
1) SSD (dual Part.)
1a-Part) W10pro (wurde infiziert)
1b-Part) W7pro (länger nicht mehr genutzt)
Partitions-"Grenzen" stellen für Malware keine Grenzen dar.

Als der Trojaner loslegte (>> Ordner/Dateien von oben nach unten/im Explorer), bemerkte/hörte ich das auffällige „Rattern/Arbeiten“ der HD/1TB und stoppte nach ca 1 Min W10 durch runterfahren.
In solchen Fällen ist gar ein hartes "Runterfahren" zu empfehlen.

Alle Ordner/Dokumente darunter sind noch ok (lassen sich öffnen/bearbeiten / wie immer).
Dieser Satz deutet darauf hin, dass Du unter dem laufenden kompromittierten System weiterhin Zugriffe auf die Datenplatte durchführst. Beides ist keine gute Entscheidung, da im Hintergrund ggf. Schreibzugriffe auf den Datenträger ablaufen und somit die Chancen etwaiger Wiederherstellungen minimieren.

Glücklicherweise hatte ich alle sehr wichtigen Dateien routinemäßig 2 Tage zuvor (auf externe HD/liegt im Schrank) gesichert.
Und genau da im Schrank muss diese Platte auch erstmal bleiben. Weil nur da sind die Daten sicher.

Jedoch u.a. nicht gesichert sind meine letzten System-Images (Aomei) mit W10 (und W7) und wurden von „Gandcrab“ codiert.
Sicherungsimages gehören auch nie intern sondern zwangsläufig immer extern abgelegt. Macht man das anders, sind die Images im Falle eines Falls nichts wert -- so wie nun hier.

Einige weniger wichtige Files (Word, Bilder, Musikfiles u.ä) wurden ebenso codiert. Hätte ich gerne wieder, aber nicht so schlimm erstmal.
Für alle Daten, die Du wieder haben willst, gilt: Betroffene Datenfestplatte ausbauen und in den Schrank legen, bis eine etwaige Entschlüsselung möglich geworden ist.

Ich habe mit W10 so einem Trojaner-Entferner laufen lassen, der nix gefunden hat, evtl. nicht, weil ich zuvor diese infizierte email gelöscht hatte.
Erstens kannst Du mit einem "Trojaner-Entferner" ohnehin keinen notwendigerweise vertrauenswürdigen Zustand wiederherstellen (Klick!), zweitens ist Dein Ansatz, bei einem Verschlüsselungstrojaner diesen bzw. dessen Komponenten löschen zu wollen kontraproduktiv, wenn Du später ggf. Deine Daten wieder entschlüsseln können möchtest, denn dazu würden dann Teile des Schädlings zur Rekonstruktion benötigt! Deshalb ist das Löschen-Wollen der Malware in diesem Fall der zweifach falsche Weg.

W10-Defender findet/meldet jetzt nix und W10 arbeitet wie immer, nix zu merken( CPU Auslastung 6-10% im idle, Ethernet, Datentransfer quasi NULL, also wie immer).
Das ist hinsichtlich der nun stattfindenden Sicherheitsbewertung allerdings völlig irrelevant und allenfalls ein oberflächlich bemerktes Symptom bzw. Ausbleiben von Symptomen. Es sagt jedoch nichts dahingehend aus, dass das System nun frei von Malware wäre.

Vor 1 Woche hatte ich mir zuletzt ein W10 Image (Aomei) geschrieben, das ich gerne zurückschreiben würde, aber leider ist es codiert worden und nun unbrauchbar.
Es ist nicht deswegen unbrauchbar, weil es "codiert" wurde, sondern weil Du es intern abgelegt hattest.

Aus Dez 2017 hätte ich noch ein W10 Image (Aomei) auf einer anderen HD liegen, aber eigentlich viel zu alt und benötigt wohl ewig neue updates.
Das wäre dann so.

Kann ich W10 jetzt einfach so weiternutzen
Natürlich nicht. Das System ist kompromittiert und muss daher entweder durch ein sauberes Image ersetzt oder ganz frisch neu aufgesetzt werden.
-> http://oschad.de/wiki/Kompromittierung

oder kommt „Gandcrab v.5.04.“ evtl. tükisch zurück und killt dann alle meine Daten ?
Auch ein zeitversetztes Aktivwerden von Verschlüsselungsmalware ist in der Vergangenheit vorgekommen.

Eine Neuinstallation (cleaninstall) will ich unbedingt vermeiden, lieber die Images wieder lesbar bekommen,
Da Du das Lesbar-Machen der Images erstmal vergessen kannst, bleiben Dir nur zwei Wege: Entweder, das alte Image einzuspielen, oder das komplette Neuaufsetzen. Denn Warten...

muss ja auch nicht sofort sein, solange ich ersteinmal weitermachen kann.
... und einfach erstmal so "weiter machen" kannst Du mit dem System in diesem Zustand ganz sicher nicht.

Übrigens, wenige nun wichtige fehlende Daten habe ich auf der HD/per USB anschließbar. Kann ich die unbedenklich kurz mal anschließen, um diese Dateien zu ersetzen ?
Natürlich nicht. Man schließt niemals seine Backup-Platte, und in diesem Fall sogar noch die letzte verbliebene, an ein kompromittiertes System an!

Vielleicht gibt es in ein paar Wochen ja eine Decodierung für diese infizierten files (mögl. kostenlos).
Was meint Ihr ? Freue mich über Hilfestellung. :)
Sowas kommt immer wieder vor. Deshalb:

1.) Interne Datenplatte erstmal ausbauen und in den Schrank legen.
2.) Alle Partitionen auf der SSD auflösen, und dann entweder das alte Image zurückspielen, oder Windows 10 frisch installieren.
3.) Neue interne Datenplatte besorgen, einbauen.
4.) Erst jetzt die Backup-Platte via USB anschließen und benötigte Daten auf die interne neue HDD rüber kopieren.
 
  • Gefällt mir
Reaktionen: just_f
forfuture schrieb:
Seit gestern bin ich doch leider auch auf den Trojaner „Gandcrab v.5.04.“ reingefallen (als getarntes Word Dokument/72 KB per email erhalten, “


Schau dir mal das Tool für den Defender (Config Defender, Link in der Sig.) an. Da kann man vieles einstellen und hat alles im Blick.
Auch kann man dort den Exploid Guard einstellen.
Der erste Punkt dürfte dich interessieren. "Block exe. contend from E-Mail client and webmail".
Damit solche Dateien nicht ausgeführt werden.

Condfender.JPG
 
  • Gefällt mir
Reaktionen: CMDCake und BalthasarBux
Ersteinmal ganz herzlichen Dank für die soweit ausführliche Unterstützung in meinem Ärgernis.

Bei weiteren Websuchen zum Dekodieren meiner befallenen files bin ich bisher noch nicht wirklich weitergekommen, ausser zu solchen Bezahltools wie "Decryption" (@GoldenEighties) oder „DataRecoveryPro“.
Aber immerhin gibt es eine schnelle Lösung für betroffene Leute, wie im Falle von @GoldenEighties kürzlich beschrieben.

Das zweite Mal binnen meines rd 20J.-PC-Lebens bin ich sehr froh, ein backup meiner Daten gepflegt zu haben. Seinerzeit war es der Totalausfall einer Daten-HD und heute ist es der Virentotalangriff auf meine Daten-HD. Nie wirklich hatte ich mit sowas gerechnet und erlebte nun, wie schnell (1 Min) auf meiner HD bereits "vollzogen" (rd. 15%) werden konnte.

Ganz widerlich ist es auch, dass meine mühevolle „C:“-System-Pflege (mit Aomei) nahezu ausgelöscht. Auch meine eigentextliche „history“ dazu ist unbrauchbar, weil unlesbar geworden. Eine kleine Erleichterung gibt es jedoch, weil ich neben dem noch vorhandenen „Aomei-Image/Dez2017 “ nun noch eines aus „Mai2018“ auf meiner kleinen TV-USB-Platte gefunden habe. Als hätte ich Böses geahnt, kopierte ich vorm halben Jahr ein System-Image einfach auch mal auf die tragbare TV-HD. Seither habe ich zum Glück wenig Softwareänderungen vorgenommen und bekäme die Nachpflege wohl hin.

Bisher habe ich aber noch nix weiter unternommen und @Dr. McCoy schreibt nun, ich solle meine System-SSD komplett plattmachen, um dann ein Dualboot (W10+W7) neu aufzusetzen. Bisher war ich immer der Auffassung, das Rückschreiben eines System-Images (aktuell Aomei) ist eine Cluster-für-Cluster Wiederherstellung, ein 100%iges Überschreiben und somit einer Neuinstallation (Virenbefreiung) gleichzusetzen. Zwar gibt es system-zugehörig auch noch das „MBR“, aber kann sich dort ein Virus nachhaltig einrichten ? In der Datenträgerverwaltung sieht dazu alles aus wie immer. Ich meine, wir sprechen hier doch nur von PC-Anwendern und nicht vom Computer-Virenbefall des Deutschen Bundestages, von NSA-Trojanern oder ähnlichem.

Ob nun zu XP-Zeiten (damals mit Acronis-Sicherung) oder W10 (Aomei), wenn das System irgendwann plötzlich mal nicht mehr richtig lief, eine Warnung, Viren oder irgendwas war, schrieb ich einfach das vorherige Image zurück, alles wieder supi. Genau dafür liebe ich diese „Backupper“ ja, rückschreiben, dabei Kaffeetrinken, erledigt.
 
Zuletzt bearbeitet:
Ja, wird vor dem Rückschreiben auch mitgelistet, bevor ich das GO gebe und auch dort sollten alle Cluster 1:1 überschrieben werden. Dasselbe für W7, hat trotz dualboot auch ein eigenes MBR, wird ebenso aufgeführt/mitgelistet. Alles 1:1 wie im Gerätemanager auch zu sehen ist. Wenn das MBR infiziert wäre, kann ein Virus nicht überleben. Wenn ich diesen Dreck jetzt schon durchmachen muß, dann bitte etwas Komfort dabei :p
Diese ewige Vorsorge muß ja auch was für sich haben :)
 
forfuture schrieb:
Bisher habe ich aber noch nix weiter unternommen und @Dr. McCoy schreibt nun, ich solle meine System-SSD komplett plattmachen, um dann ein Dualboot (W10+W7) neu aufzusetzen. Bisher war ich immer der Auffassung, das Rückschreiben eines System-Images (aktuell Aomei) ist eine Cluster-für-Cluster Wiederherstellung, ein 100%iges Überschreiben und somit einer Neuinstallation (Virenbefreiung) gleichzusetzen.

Nope! Es gibt Images und es gibt andere Images. Bei vielen Backup-Programmen musst du die Cluster-by-Cluster-Option aktivieren (falls überhaupt vorhanden). Eine Cluster-by-Cluster-Kopie wäre ein komplettes überschreiben der Festplatte.

Es ist aber fraglich, ob der Virus nicht durch das möglicherweise Abtasten der verseuchten Platte durch das Backup-Programm nicht übertragen werden kann ... falls du das vorhast. :confused_alt:
 
Zurück
Oben