ComputerBase Menü
Aktuelles

CryptoWall/TeslaCrypt Ransomware Virus - Dateiendung nun .vvv

ceddy

ceddy

Lieutenant
Registriert
Dez. 2008
Beiträge
989
Hallo,

in Bekannter hat gestern eine E-Mail mit einem .zip Anhang bekommen. Da die E-Mail auch an Freunde von ihm gesendet wurde und es um ein Klassentreffen ging, hat er den Anhang dann geöffnet. Vorerst ist nichts passiert. Bedenklich: Die E-Mail ist weder im Spam Ordner gelandet (Microsoft E-Mail Konto) noch hat das Virenprogramm reagiert (Avira AntiVir PRO).

Als er jedoch heute morgen seinen PC gestartet hat kamen die Meldungen:

20151209_101036_resized.jpg
20151209_101134_resized.jpg

ALLE Daten sind nun verschlüsselt als .VVV Datei. Heftig finde ist, dass auch alles auf seinem Server (welcher per Netzlaufwerk eingebunden war) nun verschlüsselt ist.

Das Backup ist natürlich ein halbes Jahr als :rolleyes: und das RAID bringt in solchen Fällen natürlich herzlich wenig.

Schattenkopien, Wiederherstellungspunkt und gelöschte Dateien habe ich alles schon überprüft! Da haben die Programmierer der Ransomware ordentliche Arbeit geleistet. Im Internet steht das die mit der Masche schon mehrere Millionen gemacht haben. Da es ein Erpressungsversuch ist, haben wir bei der Polizei angerufen. Mehr aus Neugierde und damit die Polizei das in ihre Statistik aufnehmen kann. Uns wurde allerdings gesagt das die dafür nicht zuständig seien und für die Statistiken bringt dies nichts... :mad:

Der CryptoWall/TeslaCrypt Ransomware Virus scheint immer weiter entwickelt worden zu sein und liegt nun in einer neueren Version vor, sodass bisher nicht wirklich viel dazu im Internet zu finden ist.

Hat jemand von euch damit evt. Erfahrung gemacht? Oder ein Tipp für uns wie man evt. sogar wieder an die Daten ran kommen kann? Und mit welchen Programm würdet ihr den PC am Besten reinigen? (abgesehen von Antivirus Programm)
 
Im Moment gibt es keine Möglichkeit, die Verschlüsselung zu knacken. An die Daten kommt ihr nur ran, in dem ihr das Lösegeld bezahlt oder darauf hofft, dass in den nächsten Wochen, Monaten oder Jahren der Entschlüsselungskey bekannt wird.

Grundsätzlich sollte man ein einmal kompromittiertes System komplett neu aufsetzen. Man weiß nie, was die Schadsoftware alles angerichtet hat.
 
Einfach neu aufsetzen und die lehren daraus ziehen nicht Emailanhänge zu öffnen (wer nutzt das überhaupt noch..)
 
Ich danke euch für die schnellen und ehrlichen Antworten! Dann werde ich das System neu aufsetzen und darauf pochen das die öfter mal ein Backup erstellen. Das Geld wird nicht gezahlt, ich möchte ungern so etwas finanziell unterstützen. Außerdem weiß man nicht ob danach wirklich alles entschlüsselt wird. Mal schauen evt. gibt es ja auch bald ein Workaround zum entschlüsseln.

Aber E-Mail Anhänge werden in meinen Beruf und Umfeld doch noch recht häufig genutzt :p
 
Wenn die Virenautoren langsam mal aus ihren Fehlern lernen, dann wird es schon bald (vielleicht schon bei diesem Exemplar) keine Möglichkeit mehr geben, die Daten zu entschlüsseln. Die Kryptographie gibt das schon jahrelang her, lediglich bei der Schlüsselableitung wurde bisher häufig noch auffallend stümperhaft gearbeitet. Man ist gut damit bedient sich damit abzufinden, dass derart verschlüsselte Daten unwiederbringlich verloren sind.
Falls es kritische Daten sind die einen erheblichen finanziellen Verlust nach sich ziehen würden, kann man darüber nachdenken, zu bezahlen. Ich halte davon ja auch überhaupt nichts, aber wenn es erst einmal zu spät ist ist das die letzte Möglichkeit, die man noch hat.

Grundsätzlich zeigt dieser Fall aber wieder einmal, dass man nicht nur ein regelmäßiges Backup braucht, sondern dass dieses eben auch noch ordentlich gesichert werden muss (also nicht auf einem ständig eingebundenen Netzlaufwerk).
 
Moin!
Das gleich traf mich gestern als mich ein Bekannter um Hilfe bat, da er meinte, dass seine Excel-Dateien defekt seien. Cleverer Weise hatte er seine Backup Platte immer schön im HDD-Bay stecken und damit dauerhaft verbunden. Alles an Fotos und Office Dateien sind damit weg. Kein weiteres Backup vorhanden...
Schattenkopien und Wiederherstellungspunkt habe ich auch zuerst geprüft, auch alles weg. Was das angeht, haben die Ersteller auf jeden Fall ganze Arbeit geleistet.
 
tiash schrieb:
Wenn die Virenautoren langsam mal aus ihren Fehlern lernen, dann wird es schon bald (vielleicht schon bei diesem Exemplar) keine Möglichkeit mehr geben, die Daten zu entschlüsseln.
Zum Vergrößern anklicken....
Das wäre aber schlecht für die Virenautoren. Denen geht es schließlich nicht darum Daten zu zerstören, sondern darum Lösegeld zu bekommen. Und wenn sich rumsprechen würde, dass die Lösegeldzahlung nichts bringt, gibt es weniger Geld.
Das wäre eine Lose-Lose-Situation.
 
Da kann man für die Zukunft lernen, eine Systemsicherung (Image) und eine Datensicherung auf eine externe Festplatte anzulegen und die Festplatte nur zur Datensicherung anschließen. Dann kann man so ein Dilemma verhindern. Bezahlen ist ein großes Risiko, die Gefahr ist groß das die Kriminellen das Geld nehmen und kein Entschlüsselungstool liefern.
 
acidarchangel schrieb:
Moin!
Das gleich traf mich gestern als mich ein Bekannter um Hilfe bat, da er meinte, dass seine Excel-Dateien defekt seien. Cleverer Weise hatte er seine Backup Platte immer schön im HDD-Bay stecken und damit dauerhaft verbunden. Alles an Fotos und Office Dateien sind damit weg. Kein weiteres Backup vorhanden...
Schattenkopien und Wiederherstellungspunkt habe ich auch zuerst geprüft, auch alles weg. Was das angeht, haben die Ersteller auf jeden Fall ganze Arbeit geleistet.
Zum Vergrößern anklicken....
Oh Menno man macht doch keine Backups vom System oder von wichtigen Daten auf eine Festplatte die im PC eingebaut ist. Dafür nimmt man eine USB Festplatte die man nur anschliesst oder einschaltet wenn diese benutzt wird. Und noch etwas: nicht nur ein Systembackup machen, sondern in regelmässigen Abständen immer wieder mal ein neues machen denn was nutzt mir ein Systembackup das schon ein halbes Jahr oder älter alt ist?
 
purzelbär schrieb:
Oh Menno man macht doch keine Backups vom System oder von wichtigen Daten auf eine Festplatte die im PC eingebaut ist. Dafür nimmt man eine USB Festplatte die man nur anschliesst oder einschaltet wenn diese benutzt wird. Und noch etwas: nicht nur ein Systembackup machen, sondern in regelmässigen Abständen immer wieder mal ein neues machen denn was nutzt mir ein Systembackup das schon ein halbes Jahr oder älter alt ist?
Zum Vergrößern anklicken....
Mir musst du das nicht sagen. ;)
 
Raybeez schrieb:
Das wäre aber schlecht für die Virenautoren. Denen geht es schließlich nicht darum Daten zu zerstören, sondern darum Lösegeld zu bekommen.
Zum Vergrößern anklicken....

Damit meinte ich natürlich das Entschlüsseln, ohne dass das Passwort bekannt ist, so wie es für zahlreiche Cryptotrojaner heute eben noch Helferprogramme gibt, mit denen man die Verschlüsselung rückgängig machen kann. Dieser Teil wird garantiert bald nicht mehr möglich sein.
Und natürlich kann man sich auch nach dem Bezahlen nicht sicher sein, dass die Daten entschlüsselt werden. Es gibt genug Fälle, in denen nichts passiert ist nach einer Zahlung. Trotzdem scheint diese Art der Trojaner weiterhin sehr lukrativ zu sein.
 
Ich habe in ein paar Foren gelesen, dass wirklich ein Entschlüsselungstool geliefert wurde aber das ist sicherlich nur eine Ausnahme.
 
Es würde doch sehr viel besser zum Geschäftsmodell passen, wenn das eben nicht die Ausnahme ist.
 
...noch hat das Virenprogramm reagiert...
Zum Vergrößern anklicken....

Das wundert mich kaum. Schaut man sich auf Virustotal.com so mal rein interessehalber an wie schnell Hersteller reagieren, überrascht einen das nicht mehr so.

Eine Variante von TeslaCrypt im .doc-Format wurde am 14.12.2015 17:08 auf Virustotal.com eingereicht.
Am 16.12.2015 02:27 erkannten immerhin schon 18 Scanner den Schädling, darunter BitDefender, Emsisoft, F-Secure, GData, Kaspersky, McAfee, Microsoft, Symantec.
Scanner die bis dahin immer noch schwiegen: AVG, Avast, Avira, ESET-NOD32, Malwarebytes, Panda, Qihoo.
 
Hallo,
man muss da schon unterscheiden.

Die .doc-Dateien sind, isoliert betrachtet, ja nicht schädlich, und es ist gut möglich, dass die Exe-URL heute gar nicht mehr exisitiert.

Davon abgesehen sind die Erkennungsraten beim eigentlichen Trojaner auch regelmäßig schlecht.
Eine TeslaCrypt-Exe, die mir heute abend über den Weg gelaufen ist(2/55):
TC.png
https://www.virustotal.com/de/file/...e042a8faae77957ca2623f9a/analysis/1450297984/
 
Hallo

Ich bin dann mal auch betroffen von diesem Virus der mir alle Dateien verschlüsselt hat :mad:

Ich hoffe das es bald ein Lösung gibt diese wieder zu entschlüsseln.
 
syndrom schrieb:
Ich hoffe das es bald ein Lösung gibt diese wieder zu entschlüsseln.
Zum Vergrößern anklicken....

Das kann Monate dauern oder auch nie geschehen. Für solche Zwecke wäre ein recht neues Backup nun sehr nützlich.
 
...Die .doc-Dateien sind, isoliert betrachtet, ja nicht schädlich,...
Zum Vergrößern anklicken....

Ja, per se sind sie nicht schädlich. Kommt drauf an was man drauß macht, siehe Beitrag #1 oder:

http://www.heise.de/security/meldun...ngstrojaner-kommt-mit-Word-Datei-3039927.html

Ich bin dann mal auch betroffen von diesem Virus der mir alle Dateien verschlüsselt hat.
Zum Vergrößern anklicken....

Eventuell kann der TeslaDecoder hilfreich sein.

http://www.bleepingcomputer.com/for...pt-exx-ezz-ecc-files-encrypted-by-teslacrypt/

http://www.bleepingcomputer.com/virus-removal/teslacrypt-alphacrypt-ransomware-information
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Windell
Suche alternatives E-Mail Programm mit gutem Spam Filter
2
Antworten
28
Aufrufe
2.243
cumulonimbus8
cumulonimbus8
Squicky
Samsung Smart Switch / Backup für Gerättausch
Antworten
6
Aufrufe
413
be_myself
be_myself
M
PC schreibt oft gleichen Buchstabenreihenfolge z.B. ccccccccccc
Antworten
15
Aufrufe
909
Goldsmith
Goldsmith
M
Bestätigung der E-Mail-Adresse - echt oder fake?
Antworten
11
Aufrufe
8.345
|SoulReaver|
|SoulReaver|
.point
Whatsapp Spamnachrichten: iOS vs. Android
Antworten
16
Aufrufe
1.018
AYAlf
AYAlf
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz