ComputerBase Menü
Aktuelles

Mit Crypto Malware Infiziert

Die alten liegen jetzt wie bei purzelbär im Schrank. Nur hatte ich die schon ganz vergessen.
Zum Vergrößern anklicken....
Da muss ich etwas klarstellen;)ich habe keine Festplatte im Schrank liegen die mit irgendwas infiziert ist. Ic habe nur meinen PC mit der 500 GB Systemfestplatte drin auf der 3 Partitionen sind und eine USB Festplatte für Backups der 3 Partitionen die nur dann eingeschaltet wird wenn ich in mehr oder weniger regelmässigen Abständen Backups der Partitionen machen will. Wichtige persönliche Daten wie Fotos, Dokumente usw hab ich nicht viele sind alle unter meinem Benutzernamen mit dabei und werden jedes Mal mitggesichert wenn ich ein Backup von C mache. Andere mir wichtige Dateien habe ich auf USB Sticks und von den USB Sticks wiederum Kopien auf der USB Festplatte quasi auch als Sicherungen. Ich hab auch das Glück das mein System bis jetzt all die Jahre nicht mit einer Malware konfrontiert wurde die mich gezwungen hätte das System neu aufzusetzen oder ein Systembackup von C einzuspielen. Einzig im Frühjahr 2012 geriet ich durch eigene Unachtsamkeit an einen BKA/GVU Ransom der meinen Bildschirm sperrte, war kurz erschrocken und spielte sofort ein Systembackup von C zurück das ich zufälligerweise 2 Tage vorher gemacht hatte.
Der Rat von purzelbär ist glaube ich nicht so gemeint, dass die Platte aus Sicherheitsgründen in den Schrank gelegt werden soll, sondern um die Daten dort zu konservieren, bis es eine Entschlüsselungsmöglichkeit gibt. Da diese mittlerweile gefunden ist kann man sich das Einlagern also sparen.
Zum Vergrößern anklicken....
Ja so war das gemeint und zum Glück für betroffene User gibt es jetzt ein Tool gegen Petya das dessen Verschlüsselung bzw Sperrung aufhebt bzw löscht.
 
Dieser Virus, der einem vorspielt, dass das BKA wegen Illegalem Kram den Rechner gesperrt hat und eine Zahlung über U-Cash fordert?
Denn genau das war mein Kamerad ..... dann hatten wir da den Gleichen. Das hat 2012 verdammt viele erwischt. Die ersten paar Minuten hatte ich echt Angst gehabt, dass die Bullen meinen Rechner wirklich gesperrt haben :D
 
Dieser Virus, der einem vorspielt, dass das BKA wegen Illegalem Kram den Rechner gesperrt hat und eine Zahlung über U-Cash fordert?
Zum Vergrößern anklicken....
Ja genau war das:Dund im nachhinein erfuhr ich das die Variante bei mir nichts verschlüsselte und wenn ich das System im Abgesicherten Modus mit Eingabeaufforderung hochgefahren hätte, hätte ich den seinerzeit mit Malwarebytes Scan löschen können.
 
CaptainPicard24 schrieb:
Dieser Virus, der einem vorspielt, dass das BKA wegen Illegalem Kram den Rechner gesperrt hat und eine Zahlung über U-Cash fordert?
Denn genau das war mein Kamerad ..... dann hatten wir da den Gleichen. Das hat 2012 verdammt viele erwischt. Die ersten paar Minuten hatte ich echt Angst gehabt, dass die Bullen meinen Rechner wirklich gesperrt haben :D
Zum Vergrößern anklicken....

Den Trojaner hatte ich auch schon in dem Thread hier erwähnt auf den ersten Seiten,den hatte eine Freundin und ein Kumpel drauf,,der Kumpel war panisch zum Router gelaufen und hatte den Stecker gezogen erzählte er mir.Die Freundin hatte gleich gewust das es eine Verarsche war weil die nix weiter kannte wie ICQ und Firefox.

Aber der ließ sich ganz easy deaktivieren im Abgesicherten Modus über start ->Ausführen -> msconfig unter Systemstart hatte ich ihn deaktiviert und konnte normal ins Windows danach.

Aber ich hab gerade das hier bei heise gefunden http://www.heise.de/security/meldun...-3173463.html?wt_mc=rss.security.beitrag.atom

Verschlüsselungstrojaner sind im Augenblick sehr beliebt wie es scheint.
 
verschlüsselt hatte der bei mir auch nichts. Ich habe das Vista trotzdem platt gemacht und Windows 7 neu aufgezogen.
Irgendwie sollte ich vllt. dankbar sein. Sonst hätte ich heute immernoch Vista drauf.
 
Wardaddy schrieb:
Der Bekannte sagte das er sagte die Arbeiten mit großen Namenhaften Firmen zusammen um das teil vom Notebook entfernen zu können.Was mich eher wundert ist hier sagte niemand hey sei Vorsichtig die Festplatte geht dabei vieleilcht schrott oder ich hab es überlesen.Ich glaub er hat wie ich am Anfang nicht so ganz verstanden wie das funktioniert.bei mir ist ja das Problem gewesen ich wuste nicht wie ich den Petya Sector Extractor ausführen kann um an die Werte zu kommen.Was das programm selber macht hatte ich aber verstanden,ich vermute das hat der ITler in der Werkstatt nicht verstanden darum sagt er die Festplatte könnte dabei zerstört werden.

Vermute ich mal.
Zum Vergrößern anklicken....

"Sie haben den Zugriff auf Ihre Daten verlohren?"

Das sind absolute Vollidioten. Jetzt mal völlig unabhängig von der Seite, die so aussieht, als wäre sie aus dem letzten Jahrtausend.
 
Hi,ich habe hier die Festplatte mit dem Petya Trojaner und ich habe den Petya Self Extrakter heruntergeladen aber der Extraktor findet die mit Petya Infizierte Festplatte nicht.

Selbst wenn man das Notebook startet erscheint nicht mal mehr der Bildschirm mit dem Totenkopf,keien AHnung was die da in der Werkstatt gemacht haben aber es ist jetzt völlig unmöglich da noch was zu entschlüsseln.

nach nunmehr 7 Wochen konnte ich mir ein eigenes Bild davon machen und die in der Werkstatt haben da weiß der Teufel was mit gemacht aber entschlüsseln ist nicht mehr.
 

Anhänge

  • 2016-05-29 14.52.03.jpg
    2016-05-29 14.52.03.jpg
    383 KB · Aufrufe: 320
Zuletzt bearbeitet:
Naja, das hatte ich doch schon in #72 angesprochen. Wenn die Malware "entfernt" wird, ist ein nachträgliches Entschlüsseln evtl. nicht mehr möglich. So etwas Ähnliches könnte jetzt der Fall sein. Petya ist zwar weg, die Daten aber auch.
Deswegen sich am besten mit der Werkstatt in Verbindung setzen, um mehr Infos zu erhalten.
 
Hat die verschlüsselte Festplatte denn immer noch die Partitionen mit "RAW"-Dateisystem, oder wurde die Platte komplett geleert?
Sonst könntest du zumindest versuchen den Petya-Bootloader neu zu schreiben und schauen, ob der Totenkopf wieder startet.
 
Bei Petya muss doch so weit ich mal gelesen habe, der MBR komplett neu geschrieben werden weil ja auch die Partitionstabelle im MBR manipuliert wird und man mit dieser Infizierung keine Festplatten bzw Partitionen erkennt. Wurde doch alles glaube ich in dem Thread hier angesprochen.
Für die Zukunft @Wardaddy: sei dahinter her immer Backups deiner persönlichen Daten und deiner im PC verbauten Festplatte zu machen, dann ist der Schock nur von kurzer Dauer weil auch Petya es nicht übersteht wenn du ein Komplettbackup deiner Festplatte hast und du das einspielst und wenn du solche Backups erstellst, achte darauf das der MBR mitgesichert wird was aber glaube ich bei den Programmen Paragon usw. Standard ist.
 
Das stimmt so nicht ganz.
Petya überschreibt zwar den Windows-MBR, allerdings mit seinem eigenen gültigen MBR. Mit diesem wird dann der Totenkopfscreen gebootet. In diesem Screen kann der Entschlüsselungscode eingegeben werden. Nach dem Entschlüsseln stellt Petya von alleine den originalen MBR wieder her.

Wenn die verschlüsselte Platte an einen zweiten Rechner geklemmt wird, kann(!) es passieren, dass Windows den Petya-MBR unbrauchbar macht, dann bootet die Platte gar nicht mehr.
In diesem Fall muss der spezielle Petya-Bootloader zum Beispiel mit HxD neu geschrieben werden.
 
Genau kann ich mich nicht mehr daran erinnern, aber ich meine gelesen zu haben das Petya quasi einen eigenen MBR schreibt mit so veränderter Partitionstabelle drin das das Windows Setup dann keine Partitionen darin finden könne und man müsse den veränderten MBR samt Partitionstabelle löschen und neu machen damit das Windows Setup dann wieder Partitionen erkennt und Windows booten kann aber damit werden dann halt noch nicht die Verschlüsselungen und Infizierungen repariert bzw entschlüsselt. Wie dem auch sei Dank so etwas: schrecken mich weder Petya, Locky noch andere Erpressungstrojaner wirklich weil diese USB Festplatte nur dann eingeschaltet wird wenn ich ein Backup bzw Image(ich nenne es Backup)machen will und die sonst offline ist und nicht von den Erpressungstrojanern verschlüsselt werden kann.
 
Gibt es eine Anleitung um den Bootloader mit HxD neuzuschreiben ? Dann versuch ich das mal,verlieren kann man ja jetzt nichts mehr.

ich weiß nicht was der in der Werkstatt gemacht hat aber mein Bekannter sagte das der dort wohl etwas damit überfordert war die Festplatte auszubauen,also hat der vielelicht sogar wie hier schon erwähnt wurde ein AV eingelegt und das System gescannt,nach neuestem Stand hat der den sogar erkannt und entfernt.

Ich hab aber auch eine andere idee,die vielleicht funktionieren könnte und zwar wenn Petya nicht mehr da ist bräuchte ich eine Petya.exe und kann die auf eienn USB stick packen und über eine Windowslive Cd neu aktivieren,denn ich konnte mit der Windows Install CD über die Eingabeaufforderung auf die Festplatte zugreifen und auch Programme starten von der festplatte selber so wie von einem USb stick,so hatte ich nämlich den Petye Selfsextractor auf einen USB Stick und hab den dann lokal mit der Windows Install CD über eine CMD gestartet,aber der sagt Petya ist nicht da.


Das System neu Infizizieren währe vielleicht eine Lösung.
 
Zuletzt bearbeitet:
Wardaddy schrieb:
Gibt es eine Anleitung um den Bootloader mit HxD neuzuschreiben?
Zum Vergrößern anklicken....

Du lädst dir einfach HxD runter, öffnest die Petya-Platte im Schreibmodus und überschreibst den ersten Sektor mit dem Petya-Bootloader.
Diesen findest du auf https://blog.malwarebytes.org/threat-analysis/2016/04/petya-ransomware/ etwas weiter unten (Direktlink).

Pass auf, dass du nicht die falsche Platte erwischst. Die Petya-Platte hat wie im verlinkten Bild in Sector 1 eine ganze Reihe von 7 stehen (37 37 37 37 ... in Hexadezimalschreibweise).

Das ganze ist natürlich nur sinnvoll, wenn du vorher mal in die Datenträgerverwaltung schaust und prüfst, welche Partionen auf der Platte noch drauf sind und welches Dateisystem angezeigt wird. Korrekterweise müsste dort RAW stehen, wenn deine Werkstatt da noch nichts kaputt gemacht hat.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz