Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Hallo. Mein Kumpel hat einen Krypto eingefangen und da mir das noch nie passiert ist wollte ich fragen, ob es sinn macht zuerst ein Backup zu erstellen. Oder ob das überhaupt geht da es ja verschlüsselt ist.
Es steht: All your important files were encrypted on this computer. Encryption was produced using unique public key RSA 1024 generated for this computer.
Wenn er bis innerhlab 72h kein Geld bezahlt, so muss er das doppelte bezahlen. Wie geht man nun vor? Es sind wichtige Daten vorhanden und kein Backup.
Ergänzung ()
Vielleicht eine Info: Das Bildschirm ist schwarz, der Laptop kann nur gestartet und beendet werden.
Manche Krypto-Locker können entschlüsselt werden, dafür bräuchte man aber den Namen.
Für alle anderen hilft nur bezahlen oder auf die Daten zu verzichten.
Sag deinem Kollegen einfach er soll das als Lehrgeld abtun und zukünftig ein neueres OS (Win7, Win10) nutzen und seine wichtigen Daten einfach wenigstens hin und wieder auf eine externe Festplatte oder USB-Stick kopieren.
Fehler 1: XP
Fehler 2: Internet an einem Rechner der keine Updates bekommt und nicht mehr ins Netz darf!
Fehler 3: Wichtige Daten und Kein Backup
Die Daten sind futsch, außer er hat Glück und es gibt schon Decrypter für diesen Trojaner. Ist jedoch eher unwahrscheinlich. Backup machen bringt nur was wenn in Zukunft ein Decrypter kommt. Ansonsten sind die Daten auch im Backup verschlüsselt und du hast nichts gewonnen.
Kurz: Daten sind (erstmal?) weg! Mit Glück gibt es einen Decrypter.
Zudem sollte er dringend seinen PC updaten. Wer noch XP nutzt ist selber schuld. Da kann er auch gleich Russisches Roulette um seine Daten spielen. Ist dasselbe.
Bravo!
Wenn man den Namen des Kryptolockers kennt müsste man sich im Netz informieren ob der Key mittlerweile schon public ist.
Ansonsten im abgesicherten Modus starten und hoffen dass nicht alles schon verschlüsselt ist
System neu aufsetzten und drüber nachdenken, ob man zukünftig nicht auch regelmäßig ein Backup machen sollte.
Ihr könnt zwar versuchen herauszufinden, ob es einen Enschlüsselungsprogramm zum runterladen gibt - sind ja schon einige von den Dingern geknackt worden - aber auf keinen Fall bezahlen. Es ist nichtmal sicher, ob man überhaupt den Schlüssel bekommt.
Wenn die Daten wirklich wichtig sind, kein Backup vorhanden und auch kein öffentlicher Key für die Entschlüsselung verfügbar ist, dann solltet ihr bezahlen. Das ist zwar keine Garantie, dass ihr die Daten wiederbekommt, aber immerhin die beste Chance. Wenn ihr Pech habt sind dann halt Geld und Daten weg, wenn ihr Glück habt, bekommt ihr so wenigstens die Daten wieder.
Du könntest mal auf ID Ransomware und Kaspersky No Ransom die Lösegeld Datei hochzuladen. Eventuell ist es ein bekannter Kroptotrojaner und die bieten dir dann ein Entschlüsselungstool an. Wenn die sagen "unbekannt" oder gibt kein Entschlüsselungsprogramm, dann hat dein Kollege vermutlich pech gehabt.
Es ist eine schlechte Idee einen Rechner mit Krypto-Trojaner nochmal das befallene Betriebssystem starten zu lassen. Sollten die Daten noch nicht komplett verschlüsselt sein, sind es nachher weniger unverschlüsselte...
Bei Virenbefall generell ist ein externes Bootmedium vorteilhaft.
Naja wenn das gehn sollte würde ich über MSCONFiG den Virus suchen im Startmanger und löschen, klingt einfach, ist es auch :-) Dann hat man den Namen des Virus und kann Googeln.
Hab ich schon mehrmals so hinbekommen aber dann auch selbständig nach den Virus gesucht und gelöscht.
Also der Virus heisst MOLE. Ich habe Zugriff auf verschiedene Sachen wie Internet Explorer, oder Explorer selber. Aber z.b. Word DAteien auf dem Desktop können nicht geöffnet werden oder auch andere Dokumente nicht. Fehlende Verknüpfung, Datei kann nicht geöffnet werden usw.
Dein Freund sollte bloß nichts zahlen. Es gibt keine Garantie dass er wirklich den notwendigen Schlüssel für die Entschlüsselung bekommt und außerdem finanziert ihr dann weitere Krypto-Trojaner die dein Freund sich dann "morgen" einfängt.
Oder dass noch Nachforderungen kommen ... so wie wer 500€ zahlt, der zahlt gerne nochmal 200€ weitere oben drauf ...
Abwarten und im Zweifel Festplatte wegschließen ... evtl. kommt in naher Zukunft dann auch ein entsprechendes freies Entschlüsselungstool von den Antivirenhersteller auf den Markt!
Such dir Ordner wo du ADWcleaner und Malewarebytes drin ablegen kannst und starten lass sie abwechselnd durchlaufen, bitte lass den PC ohne Internetverbindung mach nach den neustart Backup der wichtigen Daten nur keine Exe Setup Msi. Danach HDD Platt machen und komplette neuinstallation und dein Kumpel sollte auf nichts Klicken was die Werbung anzeigt sie haben einen Virus auf ihrem PC
In der Regel "fängt" man sich die "nicht ein", sondern hat sie zuvor durch Öffnen eines verseuchten Mailanhangs eigenhändig installiert, oder z.B. durch Dateien, die in Spam-Mails verlinkt wurden.
und da mir das noch nie passiert ist wollte ich fragen, ob es sinn macht zuerst ein Backup zu erstellen.
Das allerdings ist ein Widerspruch in sich. Entweder, die Daten sind wichtig, dann gibt es entsprechend dieser Folgerichtigkeit auch Sicherungen. Oder die Daten sind unwichtig, und man verzichtet daher auf Backups.
Ergänzung ()
Vielleicht eine Info: Das Bildschirm ist schwarz, der Laptop kann nur gestartet und beendet werden.
Auch ein Booten im abgesicherten Modus ist nicht indiziert, da dieser bei moderner Malware nicht vor deren Aktivität schützt. Cryptotrojaner könnten also auch im "abgesicherten Modus" weiter fröhlich Nutzerdaten verschlüsseln.
SilenceIsGolden schrieb:
Wenn die Daten wirklich wichtig sind, kein Backup vorhanden und auch kein öffentlicher Key für die Entschlüsselung verfügbar ist, dann solltet ihr bezahlen.
Das ist natürlich mit der schlechteste Rat, den man geben kann. Denn durch ein Bezahlen fördert man die Kriminellen und sichert ihren Bestand, was in der Folge auch den Fortbestand der verschlüsselnden Malware und in dieser Folge viele weitere Opfer mit sich bringt. Man finanziert damit also die spätere Infektion und Erpressung anderer, leistet somit als Bezahlender im übertragenden Sinne im Prinzip eine Unterstützung zur weiteren Erpressung. So einen Rat zum Bezahlen zu geben, ist daher völlig indiskutabel.
nono01 schrieb:
Naja wenn das gehn sollte würde ich über MSCONFiG den Virus suchen im Startmanger und löschen, klingt einfach, ist es auch :-)
Ist es nicht. Moderne Malware ist weitaus komplexer, als dass sie sich durch das einfache Löschen eines msconfig-Eintrags lahmlegen lassen würde. Zudem bringt diese Maßnahme die verschlüsselten Daten nicht zurück. Und im Gegenteil, ist in so einem Fall die Malware auch eher zu sichern statt zu löschen, da man somit später (nach einigen Monaten) nach Hochladen der Malware bei Malware-Analysten vielleicht noch die Chance hat, die Daten doch noch wieder entschlüsselt zu bekommen.
Nur dazu ist die absolute Mindestvoraussetzung, dass man die genaue Malware kennt, die für die jeweilige Verschlüsselung verantwortlich war. Was man jedoch nicht mehr kann, wenn man eine wesentliche Datei gelöscht haben sollte.
Hab ich schon mehrmals so hinbekommen aber dann auch selbständig nach den Virus gesucht und gelöscht.
Demnach ist Dein System sozusagen dauerkompromittiert, da Du solche Infektionen öfter zu verbuchen hast, jedoch das System in Folge dessen nicht komplett neu aufsetzt, sondern nur einzelne Malware-Dateien löschst, und somit einen nicht vertrauenswürdigen Zustand bestehen lässt. So kann man keinen PC verantwortungsbewusst am Web betreiben.
Dein aktuelles Vorgehen ist absolut fehlindiziert. Dieses System dürfte zum gegenwärtigen Zeitpunkt weder aktiv gebootet, nicht überhaupt ansatzweise mit dem Web verbunden werden.
Aber z.b. Word DAteien auf dem Desktop können nicht geöffnet werden oder auch andere Dokumente nicht. Fehlende Verknüpfung, Datei kann nicht geöffnet werden usw.
Da wird letztlich suggeriert, man könne den PC durch Löschen einzelner Dateien wieder hinbekommen, was sicherheitstechnisch natürlich so nicht gegeben ist. Im Weiteren finden dort abweichende Infektionsszenarien keine Erwähnung. Das wiegt den Leser in einer gefährlichen Scheinsicherheit.
nono01 schrieb:
Ich hab es allerdings immer mit Norton Internet Secrurity gut hin bekommen.
Such dir Ordner wo du ADWcleaner und Malewarebytes drin ablegen kannst und starten lass sie abwechselnd durchlaufen, bitte lass den PC ohne Internetverbindung mach nach den neustart Backup der wichtigen Daten nur keine Exe Setup Msi.
Das ist völlig fehlindiziert. Erstens ist der AdwCleaner gar nicht auf Cryptotrojaner ausgerichtet, zweitens sollte ein (derart) infiziertes System gar nicht mehr gebootet, geschweige denn schreibend darauf zugegriffen werden. Wenn man vielleicht noch Daten rekonstruieren können möchte, darf die bestehende Windows-Installation kein Stück mehr angerührt werden, es muss von einem externen Spezialmedium gebootet werden.
Danach HDD Platt machen und komplette neuinstallation und dein Kumpel sollte auf nichts Klicken was die Werbung anzeigt sie haben einen Virus auf ihrem PC
Auch als Werbung im Internet wenn auf so Seiten gehst hab das mit diesem BKA Trojaner gehabt weil es bei mir auch Kunden gab die solche Werbung anklickten mit dem Popup, "Es wurde mindestens 1 Virus auf ihrem PC gefunden" bitte klicken sie jetzt um diese zu beheben oder auch als Treiber Popup gibts sowas auch.
