Win11 - Encrypted by trust beim Startup

[David.isi]

Hallo zusammen,
Hoffe erstmal einigermaßen richtig gelandet zu sein mit meinem Anliegen, falls nicht verzeiht meinen Fehler als Neuling hier.

Ich habe die Befürchtung einen Virus o.ä. auf meinem Desktop Pc mit Win11 als Betriebssystem zu haben.

Hatte neulich mal mein Android Tablet über die "RemoteDesktop" app mit meinem desktop ferngesteuert, dann neulich den pc gestartet und beim hochfahren, noch vor dem anzeigen meiner Benuterkonten gibt es einen schwarzen Bildschirm mit der Meldung "Encrypted by trust"

Zwar kann ich mich danach einloggen und windows starten, allerdings hat windows keine exe dateien mehr geöffnet, und in ziemlich allen Ordnern mit meinem persönlichen Dateien ist ein txt file welches "Read-for-recovery" heißt.

Falls noch weitere Infos gut wären lasst es mich wissen, habe nur Panik bezüglich meiner Daten, worunter auch viele wichtichtige logins etc sind.

Ich wäre dankbar wenn jemand weiterhelfen könnte, egal ob komplette lösung oder ein Ansatz oder tipp dazu, hauptsache ich komme irgendwie weiter und weiß ob meine Privaten Daten dadurch gefährdet sind/sein könnten.

Evtl wichtiger Nachtrag an Infos: virenscan hat "Win32/Neshta.a" als infiziert gezeigt, was aber bereinigt scheint bisher.

Danke im Vorraus!
Mfg David

 

[BFF]

Read-for-recovery

Und was steht in der Textdatei?

ich komme irgendwie weiter und weiß ob meine Privaten Daten dadurch gefährdet sind/sein könnten.

Wenn es das ist was ich vermute ist es schon zu spaet.
Wenn es nur um "zerschossenenes" TPM, Bitlocker, Veracrypt geht gibt es vielleicht Hoffnung.

Backup der privaten Daten hast Du sicherlich.

 

[David.isi]

"Email 1:
support2022@cock.li

Email 2:
colony96@cock.li

Your id: 24-stelliger Code aus Buchstaben und Zahlen, habe es mal nicht mit gepostet, habe bisher keine Ahnung wovon bzw wofür diese ist.

Send messages to both emails at the same time

So send messages to our emails, check your spam folder every few hours



If you do not receive a response from us after 24 hours, create a valid email, for example, gmail,outlook
Then send us a message with a new email"

 

[Schlaflos]

Falls du dir Ransomware eingefangen hast, kanns du z. B. hier die Textdatei hochladen, um zu prüfen ob die Ransomware identifiziert werden kann.
https://id-ransomware.malwarehunterteam.com/index.php?lang=de_DE

Sollte sie dadurch identifiziert werden, besteht dier Möglichkeit, dass ein Entschlüsselungstool verfügbar ist.

Hier noch eine Liste bekannter Ransomware mit Auflisung der "Lösegeldforderung"-Textdatei.
https://www.bleib-virenfrei.de/it-sicherheit/ransomware/liste/

 

[TP555]

Hi

Scheint die Zola Ransomware zu sein, der Virus dazu heist :Ransom.Win64.PROTOZOLA.A,
Die hinterlassen eine : Read-for-recovery.txt, so wie der TE sie gefunden hat.

https://www.google.com/search?q="Re...4AQGYAgKgAnKYAwCSBwMxLjGgB5cD&sclient=gws-wiz

mfg.

 

[David.isi]

Falls du dir Ransomware eingefangen hast, kanns du z. B. hier die Textdatei hochladen, um zu prüfen ob die Ransomware identifiziert werden kann.
https://id-ransomware.malwarehunterteam.com/index.php?lang=de_DE

Sollte sie dadurch identifiziert werden, besteht dier Möglichkeit, dass ein Entschlüsselungstool verfügbar ist.

Hier noch eine Liste bekannter Ransomware mit Auflisung der "Lösegeldforderung"-Textdatei.
https://www.bleib-virenfrei.de/it-sicherheit/ransomware/liste/

Ist es momentan egal ob der Pc an sich ausgeschaltet ist oder ich ihn weiterhin in Benutzung habe?

Und was steht in der Textdatei?



Wenn es das ist was ich vermute ist es schon zu spaet.
Wenn es nur um "zerschossenenes" TPM, Bitlocker, Veracrypt geht gibt es vielleicht Hoffnung.

Backup der privaten Daten hast Du sicherlich.

Backup wäre zwar eines da, nur Die letzten 2 Monate an Daten hat es nicht, aktualisieren bzw neues Backup erstellen wird jetzt leider nicht funktionieren, richtig?

 

[David.isi]

Hi

Scheint die Zola Ransomware zu sein, der Virus dazu heist :Ransom.Win64.PROTOZOLA.A,
Die hinterlassen eine : Read-for-recovery.txt, so wie der TE sie gefunden hat.

https://www.google.com/search?q="Read-for-recovery.txt"+ransomware&sca_esv=8ffe4b1216883de0&sca_upv=1&source=hp&ei=h6TbZvL2AdqpkdUPidbM-Q8&iflsig=AL9hbdgAAAAAZtuyl8w_0UZyPcecARxhM-qotiXoCf1z&ved=0ahUKEwiy1vXZz6-IAxXaVKQEHQkrM_8Q4dUDCBA&uact=5&oq="Read-for-recovery.txt"+ransomware&gs_lp=Egdnd3Mtd2l6IiIiUmVhZC1mb3ItcmVjb3ZlcnkudHh0IiByYW5zb213YXJlMgUQIRigATIFECEYoAEyBRAhGKABSKMSUABYAHABeACQAQCYAWegAWeqAQMwLjG4AQPIAQD4AQL4AQGYAgKgAnKYAwCSBwMxLjGgB5cD&sclient=gws-wiz

mfg.

Habe es mir mal angesehen und was beschrieben wird trifft ziemlich genau auf mein Problem zu, nur das ich bisher nichts über gestohlene daten gelesen hatte, was wohl meine schlimmste sorge aktuell bestätigt und persönliche Sachen einsehbar/verändert oder ganz gelöscht sind oder auch noch werden.

Habe jetzt gelesen das die Leute für das entschlüsseln meiner daten Geld verlangen, was logischerweise Schwachsinn ist.

Was kann ich jetzt dagegen tun bzw wie gehe ich vor, und gibt es eine Möglichkeit ohne Datenverlust zur Lösung zu kommen? Oder wiederherstellungsmöglichkeiten in irgendeiner Weise?

 

[MaverickM]

Oder wiederherstellungsmöglichkeiten in irgendeiner Weise?

Windows platt machen, neu installieren und Backup wieder einspielen.

 

[David.isi]

@MaverickM Gerade probiert, wollte erstmal versuchen es zu machen und persönliche Daten zu behalten. Problem dabei ist aber das win11 wohl nicht automatisch neu installiert wird, ohne cd, externe Festplatte oder sowas auch machbar? Sorry, lange her der letzte reset, unter win11 first time.

Klingt vielleicht doof jetzt, aber gibt es nicht einen Weg den Virus bzw die Leute dahinter wieder aus dem system zu werfen, zu blocken oder sowas? Sry meine Kentnisse sind recht basic wenns um sowas geht.

Übrigens dankeschön für die vielen schnellen antworten, auch jetzt noch, beruhigt mich ungemein eure Unterstützung!

 

[pcblizzard]

@David.isi Hast du denn den Hinweis aus Beitrag Nr. 4 probiert?

 

[HamsGruber_84]

Wie sich das list sind deine Daten leider verloren. Hier hilft nur "Diesen PC zurücksetzen" unter "Wiederherstellungsoptionen" . Dabei ist es aber wichtig keine Daten zu behalten sonst ist die Schadsoftware gleich wieder mit an Bord.

Ist es momentan egal ob der Pc an sich ausgeschaltet ist oder ich ihn weiterhin in Benutzung habe?

Der Pc sollte vom Internet getrennt werden damit keine weitere Schadsoftware nachgeladen werden kann und deine Daten nicht in die Cloud kopiert werden können.

Backup wäre zwar eines da, nur Die letzten 2 Monate an Daten hat es nicht, aktualisieren bzw neues Backup erstellen wird jetzt leider nicht funktionieren, richtig?

Korrekt.

Nach der sauberen Neuinstallation würde ich alle Passwörter ändern. Insbesondere E-Mail!! Ein Passwortklau ist ebenfalls sehr wahrscheinlich. Egal ob du das Lösegeld zahlst oder nicht werden deine Daten demnächst zur "Resteverwertung" im Darknet weitergegeben für Identitätsdiebstahl mit Online-Bestellungen auf deinen Namen etc.

 

[David.isi]

@pcblizzard ich versuche es aktuell mal schnell, hoffen das es funktioniert, werde Rückmeldung geben

 

[Schlaflos]

Ist es momentan egal ob der Pc an sich ausgeschaltet ist oder ich ihn weiterhin in Benutzung habe?

Der erste Schritt, der immer durchgeführt werden muss, wenn ein System von einer Ransomware infiziert ist, ist eine vollständige Netzwerktrennung durchzuführen. Dies soll verhindern das A. Die Ransomware sich weiter im Netzwerk verbreitet und B. keine weiteren Daten abfliessen können.

Der zweite Schritt ist, das System herunterfahren, um falls noch möglich eine weitere Verschlüsselung der Daten zu stoppen. Ransomware ist bei der Verschlüsselung von Daten viel efizienter geworden im Laufe der Zeit.

Früher wurde eine Datei noch komplett verschlüsselt, heute werden in der Regel nur die ersten Bytes verschlüsselt und dadurch kann die Ransomware in kürzere Zeit, mehr Dateien durch eine Verschlüsselung unzugänglich machen, bevor eine mögliche Erkennung durch die vorhandene AV- oder EDR-Anwendung statt findet.

Erschwerend kommt hinzu, der Ablauf einer Ransomware-Infizierung. Weil die eigentlichen Ransomware, ist nicht die erste schadhafte Datei, die auf das System gelangt, diese wird erst nachgeladen. Bei der Erstinfizierung wird das System "gescannt" um zu erfahren welche AV- oder EDR-Anwendung auf dem System vorhanden ist.
Dadurch kommt es nicht selten vor, dass diese dann sogar deaktiviert wird.

Falls dies geschehen ist, wird die Ransomware nachgeladen. Falls eine AV- oder EDR-Anwendung in diesem Stadium des Angriffs noch aktiv ist, wird diese auch bei unbekannter und neuer Ransomware diese stoppen, weil in kurzer Zeit, viele Dateien unbenannt, erstellt und gelöscht wurden. Deshalb gibts auch immer mal wieder False Positives, wenn z. B. eine unbekannte Backup-Anwendung ihren Dienst verichtet, ist ein ähnliches verhalten.

Aber zurück zum Thema. Ist das System heruntergefahren, muss es neu aufgesetzt werden. Denn ohne eine forensische Analyse kann nur geraten werden, was alles an dem System manipuliert wurde.

Sollten einige persönliche Daten von der Verschlüsselung nicht betroffen gewesen sein und davon kein Backup existieren, dann kann natürlich versucht werden diese Daten mit einer Linux Live CD oder dergleichen zu sichern und in einer sicheren Umgebung auf Manipulation gescannt werden. Und prüfen was davon noch zu retten is.

Kommen wir nun zum Thema des möglichen Datenabflusses, gehe erst einmal davon aus, dass alle deine persönliche Daten, die auf dem System vorhanden waren, nun in den Händen Dritter sich befinden. Was sie damit machen ist unbekannt. Möglich Szenarien sind Spear-Phishing-Angriffe, allgemeines Social Engenering und das gute alte Identitätsdiebstahl Thema.

Für einen Angreifer wäre z. B. interessant, wenn durch persönliche Daten erkennbar ist, bei welchem Unternehmen du arbeitest, um zu versuchen über dich, durch gezielte Angriffe in das Netzwerk deines Arbeitgebers zu gelangen.

Aber dafür muss der Angreifer auch die möglichen erbeuteten Daten auswerten, ob dies geschieht hängt wohl von Zeit und Ressourcen des Angreifers ab.

Je nachdem was du zur Passwort-Sicherheit genutzt hast, solltest du auch alle deine Passwörter ändern. Nehmen wir mal an du hast einen Passwortmanager genutzt und das Masterpasswort in einer Textdatei in deinem Benutzerverzeichnis abgelegt, dann sind alle Daten in diesem Passwortmanager als kompromitiert einzustufen.

Solltest du Passwörter im Browser abgespeichert haben, ohne ein Masterpasswort eingerichtet zu haben, dann bestht die hohe Wahrscheinlichkeit, dass alle dort hinterlegten Passwörter beim Angreifer sich befinden. Beim Firefox müssen dazu glaube ich nur zwei Dateien kopiert werden und diese enthalten die Passwörter. Diese beiden Dateien können einfach jeder Firefox Installation im Profil hinkopiert werden und schon hat das Profil Zugriff drauf.

Ich hoffe es ist verständlich, das nur ein neu aufsetzten des System, daher nicht unbedingt Folgeschäden verhindert, wenn keine weiteren Maßnahmen durchgeführt werden.

Und ab jetzt solltest du auch etwas mehr aufmerksamer sein, bei jeder erhaltene E-Mail. Sei skeptischer als sonst, wenn du auf einmal unerwartete E-Mails bekommst die dich durch diesen Angriff erbeutete Daten direkter ansprechen.

Mach dich aber deswegen nicht verrückt, befolge einfach den guten alten gesunden menschlichen Verstand, beim Umgang mit E-Mails.

Abschliessend wäre interessant zu wissen, ob die Infizierung durch das Android Tablet stattfand, weil dann ist es als kompromitiertes System einzustufen und sollte als solches auch behandelt werden.

Ich wünsche dir viel Erfolg und dass du keinen größeren Schaden als ein "wenig" Datenverlust davon trägst.