ComputerBase Menü
Aktuelles

Mit Crypto Malware Infiziert

Wardaddy

Wardaddy

Banned
Registriert
Juli 2015
Beiträge
616
Hialso ein Bekanter von mir hat sich mit eienr Crypto Malware Infiziert und ich würd gern wissen wie ich diese am einfachsten und besten entfernen kann.Ich weiß von ihm nur das der Schädling beim Start des Computers einen Totenkopf auf dem Bildschirm zeigt,kdenn ich sonst nur aus Hollywood Filmen aber egal.

Wenn ihr mir hier einfach Links und Artikel zur bekämpfung des Schädlings posten könnten währe das sehr hilfreich.hab auch schon selber was gefunden,das muss ichm ir aber erst einmal alles durchlesen http://www.msxfaq.de/tools/cryptoprotect/index.htm
 
Zuletzt bearbeitet:
jepp würde ich auch sagen..am besten festplatte formatieren damit du sichergehen tust..das auch wirklich nix von der malware noch irgendwo versteckt ist...und dann entweder neu installieren das betriebssystem oder nen imagebackup neu einspielen
 
Stop! Bei Petya nicht direkt die Festplatte formatieren. Für den Produktivbetrieb sind die Daten verloren, das stimmt. Nach aktuellem Wissensstand verschlüsselt Petya aber nicht die ganze Festplatte sondern 'nur' die MFT. Die ist so eine Art Inhaltsverzeichnis die dem Computer sagt, welche Dateien wo auf der Festplatte liegen. Mit entsprechender Software zur Datentettung kann es unter Umständen noch möglich sein, Daten wiederherzustellen, indem man die ganze Platte von vorne nach hinten durchsucht. Das ist aber mit erheblichem Aufwand verbunden und lohnt nur, wenn es um wirklich wichtige Dinge geht.

Es gilt also das, wozu man bei Cryptotrojanern eigentlich immer raten sollte: Ein Backup der Festplatte machen und bei Seite legen. Mit Glück findet jemand neue Details heraus, durch die man wieder an die Daten kommt.
 
Wenn es Petya ist und danach schaut es aus, hat dein Bekanter ein heftiges Problem und ihm würde nur ein Backup der Festplatte helfen einzuspielen wenn er eines hat oder er müsste das probieren was hier schon empfohlen wurde: https://www.computerbase.de/forum/t...us-immer-noch-da.1571643/page-2#post-18630413 (lese bitte den ganzen Thread durch damit du es verstehst). Bei Petya hilft es sogar nicht wenn die Festplatte wie sonst üblich formatiert wird und man dann Windows neu aufspielen will sondern die einzige Hoffnung scheint Diskpart clean zu sein oder eben halt ein Backup auf einer USB Festplatte der Festplatte zu denen ich auch immer wieder hier in dem Forum rate.
Nach aktuellem Wissensstand verschlüsselt Petya aber nicht die ganze Festplatte sondern 'nur' die MFT. Die ist so eine Art Inhaltsverzeichnis die dem Computer sagt, welche Dateien wo auf der Festplatte liegen.
Zum Vergrößern anklicken....
Da liegst du aber vermutlich falsch mit deiner Vermutung:
dass der Verschlüsselungstrojaner Petya Festplatten in zwei Phasen verschlüsselt. Vermeiden Opfer einen Neustart ihres Computers und verhindern so die Ausführung von Phase Zwei, können sie ihre Daten relativ einfach retten. Wird die zweite Phase ausgeführt, gibt es im Moment kein probates Mittel gegen die Verschlüsselung des Trojaners. Allerdings sucht Petya als erstes die Systemplatte und scheint auch nur diese zu verschlüsseln. Hat man seine Daten auf einer zweiten Platte, kann man diese also ausbauen und kann die Daten auf ein anderes System retten.
Zum Vergrößern anklicken....
Quelle: http://www.heise.de/newsticker/meld...luesselung-bisher-nicht-knackbar-3160177.html demnach verschlüsselt Petya in Phase 2 die Festplatte auf der das System installiert ist und natürlich auch den MBR und Petya überlebt es sogar und wird nicht gelöscht wenn man den MBR neu schreibt, es scheint nur Diskpart clean zu helfen(siehe Link zum anderen Thread).
 
Zuletzt bearbeitet:
Es tut mir leid, aber der Heise-Artikel ist da nicht auf dem neuesten Stand. Hier die Primärquelle (GData hat die Ransomware zuerst gefunden und analysiert fleißig):
https://www.gdata.de/pressecenter/artikel/neuartige-ransomware-verschluesselt-ganze-festplatten

Dort heißt es:
Zusätzlich werden auch Dateisystemtabellen verschlüsselt, die eine Art Inhaltsverzeichnis für die Festplatte sind. Die Daten selbst werden dabei nicht berührt, allerdings werden sowohl diese als auch das installierte Betriebssystem für den Benutzer durch die Verschlüsselung unzugänglich.
Zum Vergrößern anklicken....

Die Verlinkung zum GData SecurityBlog für technische Details am Ende des Artikels funktioniert leider nicht, ich vermute aber mal, dass es um den Artikel hier geht:
https://blog.gdata.de/2016/03/28223-ransomware-petya-ein-technischer-uberblick
 
Es gilt also das, wozu man bei Cryptotrojanern eigentlich immer raten sollte: Ein Backup der Festplatte machen und bei Seite legen. Mit Glück findet jemand neue Details heraus, durch die man wieder an die Daten kommt.
Zum Vergrößern anklicken....
Man sollte schon vorher regelmässig Systembackups von der Systemfestplatte machen und Datensicherungen von persönlichen, wichigen Dateien auf eine USB Festplatte die man dann auch immer wieder wegnimmt wenn die Sicherungen gemacht wurden.
Ergänzung ()

tiash schrieb:
Es tut mir leid, aber der Heise-Artikel ist da nicht auf dem neuesten Stand. Hier die Primärquelle (GData hat die Ransomware zuerst gefunden und analysiert fleißig):
https://www.gdata.de/pressecenter/artikel/neuartige-ransomware-verschluesselt-ganze-festplatten

Dort heißt es:


Die Verlinkung zum GData SecurityBlog für technische Details am Ende des Artikels funktioniert leider nicht, ich vermute aber mal, dass es um den Artikel hier geht:
https://blog.gdata.de/2016/03/28223-ransomware-petya-ein-technischer-uberblick
Zum Vergrößern anklicken....
Bleibt das Problem das das System bzw die Festplatte nicht geladen werden kann weil Petya im MBR sitzt und es auch nicht hilft den Bootloader neu zu schreiben. So wie ich es in dem anderen Thread verstanden habe, hilft da nur Diskpart clean aber ich befürchte mit Diskpart clean wird auch alles auf der Festplatte gelöscht(?). Deshalb sag ich immer in Foren aber hauptsächlich hier: Leute macht Systembackups und Datensicherungen auf eine wegnehmbare USB Festplatte.
 
Zuletzt bearbeitet:
Zunächst noch ein Hinweis:
Bei Windows 10 Installationen, die von UEFI booten kann man problemlos wieder an die Daten kommen (wie steht in den obigen Links). Technisch klingt das für mich eigentlich so, als sollte das auch bei anderen UEFI-Installationen gehen, aber dazu gibt es bisher noch keine Information.

Für Rettungsversuche: Es gibt doch genug Möglichkeiten, an Daten auf einer Festplatte zu kommen. Entweder man startet von einem externen Medium oder man baut die Platte aus und hängt sie an ein anderes System. Dann kann man in Ruhe eine 1-zu-1 Kopie auf einen Reservedatenträger machen (wer keinen hat überlegt sich eben, ob es ihm die ~50€ wert ist). Ich würde zum Klonen einfach Linux dd verwenden. Da gibt es ja aber auch diverse andere, benutzerfreundlichere, Software. Wenn die Kopie fertig ist, kann man aus dem laufenden Betriebssystem heraus auch gleich die Platte überschreiben (diskpart, ein beliebiges anderes Programm, oder auch direkt wieder dd). Auf dem Rechner heißt es dann Neuinstallation und beim nächsten Mal vorsorgen, mit dem Plattenimage kann man versuchen ein paar Dinge zu retten.
 
tiash schrieb:
Stop! Bei Petya nicht direkt die Festplatte formatieren. Für den Produktivbetrieb sind die Daten verloren, das stimmt. Nach aktuellem Wissensstand verschlüsselt Petya aber nicht die ganze Festplatte sondern 'nur' die MFT. Die ist so eine Art Inhaltsverzeichnis die dem Computer sagt, welche Dateien wo auf der Festplatte liegen. Mit entsprechender Software zur Datentettung kann es unter Umständen noch möglich sein, Daten wiederherzustellen, indem man die ganze Platte von vorne nach hinten durchsucht. Das ist aber mit erheblichem Aufwand verbunden und lohnt nur, wenn es um wirklich wichtige Dinge geht.

Es gilt also das, wozu man bei Cryptotrojanern eigentlich immer raten sollte: Ein Backup der Festplatte machen und bei Seite legen. Mit Glück findet jemand neue Details heraus, durch die man wieder an die Daten kommt.
Zum Vergrößern anklicken....

Hallo ihr Lieben!

Keine Ahnung wie weit fortgeschritten der "schlechte" Zustand der Festplatte ist. Wenn es sich tatsächlich um Petya handelt, gibt es dazu ein interessantes Video von SemperVideo.

Gruß Andi
 
Der Hinweis ist ganz gut, sobald der Totenkopf aber erstmal angezeigt wird sollte bereits alles im Hintergrund verschlüsselt worden sein. Gemeinerweise passiert das ja direkt nach dem Neustart, der auf den Bluescreen folgt. Ein durchschnittlicher Nutzer wird also wohl kaum schnell genug reagieren, um der Verschlüsselung zuvor zu kommen.
 
Ok,ich habe noch nichts gemacht,der Bekante kommt mit seinem Laptop heute erst zu mir.Ich weiß auch noch nciht wie der laptop aufgebaut ist,also ob er ein CD Laufwerk hat oder so.Kann ich nicht eine Notfall CD von meinem Bitdefender machen und diese dann beim Booten des laptops nach der malware suchen und entfernen lassen.

Ich weiß Kaspersky kann sowas,der erstellt ein Linux Image zum Booten.
 
Zuletzt bearbeitet:
Kann ich nicht eine Notfall CD von meinem Bitdefender machen und diese dann beim Booten des laptops nach der malware suchen und entfernen lassen.

Ich weiß Kaspersky kann sowas,der erstellt ein Linux Image zum Booten.
Zum Vergrößern anklicken....
Kannst du machen.........aber damit kriegst du weder Petya komplett gelöscht und schon gleich gar nicht aus dem MBR raus, da hilft nur Diskpart oder vergleichbares und auch die verschlüsselten Dateien bekommst du damit nicht bereinigt. Kurzum: Dein Bekannter hat wahrscheinlich die A.... Karte gezogen.
 
Wardaddy schrieb:
Ok,ich habe noch nichts gemacht,der Bekante kommt mit seinem Laptop heute erst zu mir.Ich weiß auch noch nciht wie der laptop aufgebaut ist,also ob er ein CD Laufwerk hat oder so.Kann ich nicht eine Notfall CD von meinem Bitdefender machen und diese dann beim Booten des laptops nach der malware suchen und entfernen lassen.

Ich weiß Kaspersky kann sowas,der erstellt ein Linux Image zum Booten.
Zum Vergrößern anklicken....

Du willst es nicht verstehen, oder?

Es gibt nichts mehr zu scannen, weil das Dateisystem verschlüsselt wurde - und du kannst es nicht ohne Zahlung eines Lösegelds entschlüsselt.

Crypto-Malware ist keine Schadsoftware die man "mal eben" mit Bitdefender entfernen kann.
 
@wardaddy
Wenn der rote Totenkopf Bildschirm zu sehen war, dann hat Petya schon alles verschlüsselt auf was es gestossen ist und zur Zeit gibt es dafür kein Entschlüsselungstool mit dem man die Petya Verschlüsselung aufheben könnte. Mein Rat: baut die Festplatte aus, legt die in einen Schrank und kauft eine neue Festplatte für den Computer. Oder aber ihr nehmt so etwas wie Diskpart löscht damit alles auf der Festplatte was ein paar Stunden dauert je nach Grösse der Festplatte und installiert dann Windows neu nachdem der MBR neu geschrieben wurde nach dem löschen mit Diskpart. Egal für welchen Weg ihr euch auch entscheidet: ihr müsst Windows komplett neu aufsetzen, alles neu installieren und auch andere vorhandene Partitionen sollten neu gemacht werden weil man nicht weiß ob sich da nicht doch etwas von Petya eingeschlichen hat auch wenn dort nichts verschlüsselt wurde. Ihr solltet auf jeden Fall hergehen, eine USB Festplatte kaufen und dann vom neuen System regelmässig Backups der Festplatte im PC machen und Datensicherungen wichtiger persönlicher Daten. Beides auf die USB Festplatte. Backup Programm für die Systembackups braucht ihr nicht extra eines kaufen da gibt es 4 gute Freeware Programme die ich dir nenne und von denen du eines nehmen kannst.
Paragon Backup & Recovery Free
Aomei Backupper Standard/free
Easeus Todo Backup Free
Macrium Reflect Free
 
Versuchen kann man es ja mal. Insbesondere wenn es da wohl aktuell noch Möglichkeiten gibt an die Daten zu kommen. Allerdings wird es auch von Petya mit der Zeit neuere Versionen geben, wo "Schwachstellen" ausgebessert werden.


Dabei bitte auch den letzten Absatz im verlinkten Thread beachten: Bei Erfolg erst einmal nur die Userdaten retten und danach das System komplett neu aufsetzen und damit beginnen die Platte via Diskpart mit clean (all) zu säubern. Erst danach das OS neu aufspielen.
 
Zuletzt bearbeitet:
Liest du denn eigentlich die Beiträge und die dort verlinkten Artikel in diesem Thread aufmerksam Wardaddy?

Falls ja bezweifle ich, ohne das böse zu meinen, dass du eine große Hilfe für deinen Bekannten bist. Es mangelt dir offenbar an technischen Verständnis, um die Antworten auf deine Rückfragen selbst zu erschließen.

Nochmal in aller Deutlichkeit: Sobald der Totenkopf auftaucht, ist das Kind in den Brunnen gefallen. Du kannst so viel reparieren, wie du willst. Zu dem Zeitpunkt hat der Virus bereits die Festplatte verschlüsselt. Wenn du die genannten Befehle anwendest reparierst du den Master Boot Record und der Rechner bootet wieder ohne eine Meldung vom Virus. Windows startet dann aber trotzdem nicht, weil der Computer die Windowsdateien nicht vorfindet (wegen der Verschlüsselung).

Alles, was du tun kannst, wurde hier genannt. Zu unterscheiden sind die Fälle "Windows 10/UEFI Boot" (Daten wiederherstellen leicht) und "alles andere" (Daten wiederherstellen sehr schwierig).
 
C't sagt die 3 wichtigsten Maßnahmen gegen Cryptotrojaner sind:

1) Backups
2) Backups

und 3) Backups...
 
tiash schrieb:
Liest du denn eigentlich die Beiträge und die dort verlinkten Artikel in diesem Thread aufmerksam Wardaddy?
Zum Vergrößern anklicken....


Ich lese die Beiträge aufmerksam durch,nur deine ignoriere ich weil jeder eine freundliche Antwort parat hat und auch sehr höfflich Antworrtet nur du nicht,das ist alles.

Die Beiträge der anderen enthalten auch sehr nützliche Informationen für die ich mich bedanke.

Also dachte ichm ir das ganze so,ich führe die behle in dem Video aus so das der Rechner startet und dann entferne ich Patya mit einem Removel Tool AV oder so und dann mit einem Data Recovery Tool die Daten herstellen.

So dachte ich mir das im großen und ganzen mit den genannten Information,entweder funktioniert es oder halt nicht.Wenns funktioniert ist gut wen nicht Pech gehabt oder nach weiteren Lösungen suchen oder warten.
 
Also dachte ichm ir das ganze so,ich führe die behle in dem Video aus so das der Rechner startet und dann entferne ich Patya mit einem Removel Tool AV oder so und dann mit einem Data Recovery Tool die Daten herstellen.

So dachte ich mir das im großen und ganzen mit den genannten Information,entweder funktioniert es oder halt nicht.Wenns funktioniert ist gut wen nicht Pech gehabt oder nach weiteren Lösungen suchen oder warten.
Zum Vergrößern anklicken....
Du willst es wirklich nicht wahrhaben oder? Petya sitzt auf der Festplatte drauf, hat alles auf der Festplatte verschlüsselt inkl. den MBR und da hilft nur eines wenn die Festplatte wieder genutzt werden soll: Diskpart clean der gesamten Festplatte. Erst danach kanst du wieder Windows neu installieren und alles was Petya verschlüsselt hat, kriegst nicht mehr mit keinem Tool. Es sei denn du gehst darauf ein und bezahlst, dann kriegst du vielleicht ein Entschlüsselungstool.
Ergänzung ()

16-Bit schrieb:
C't sagt die 3 wichtigsten Maßnahmen gegen Cryptotrojaner sind:

1) Backups
2) Backups

und 3) Backups...
Zum Vergrößern anklicken....
Ja das ist der beste Schutz vor Ransoms bzw vor Cryptotrojaner .
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz