CrySIS *.adobe ransomware entschlüsseln

gdm41

Cadet 3rd Year
Dabei seit
Apr. 2013
Beiträge
36
Hi Leute,
ein Kumpel hat sich Ransomware eingefangen, es handelt sich um CrySiS Ransomware, welche die Dateien mit *.adobe verschlüsselt. Ich habe jetzt schon ein bisschen gegoogelt und was ich da rausgefunden habe, macht mir Sorgen.

So wie es aussieht, ist die Verschlüsselung aktuell unknackbar und man muss bezahlen. Hat jemand eine Idee bzw. schon mit dieser Version von CrySiS zu tun gehabt? Backups sind auch alle verschlüsselt :(
 

gdm41

Cadet 3rd Year
Ersteller dieses Themas
Dabei seit
Apr. 2013
Beiträge
36
Yup, Bruzla hat leider Recht. Backupplatte war im System eingebunden.
 

purzelbär

Admiral
Dabei seit
Feb. 2012
Beiträge
7.461

gdm41

Cadet 3rd Year
Ersteller dieses Themas
Dabei seit
Apr. 2013
Beiträge
36
@purzelbär

Danke für den Link, Seite gibt bei mir jedoch einen 500 - Internal Server error.
Mit den Backup war doof, weiß ich, ist aber jetzt auch zu spät...
 

Blumenwiese

Lt. Junior Grade
Dabei seit
Mai 2018
Beiträge
318
Seite klappt bei mir wunderbar, versuch die mal mit nem anderen Browser, mit dem Handy, anderen PC etc pp zu öffnen
 

gdm41

Cadet 3rd Year
Ersteller dieses Themas
Dabei seit
Apr. 2013
Beiträge
36
Ja, die Seite öffnen klappt bei mir auch. Sobald man aber die entsprechenden Dateien hochladen will, kommt bei mir 500 - internal server error. Habs eben nochmal mit EDGE Browser probiert...
 

NOTAUS

Lieutenant
Dabei seit
Juli 2014
Beiträge
767
Wenn die Daten wichtig sind, wirst du erstmal ne Weile warten müssen, bis die aktuelle Verschlüsselung geknackt ist.
 

abulafia

Commodore
Dabei seit
Aug. 2006
Beiträge
4.224
Wenn man das so liest sieht's erstmal schlecht aus, wenn es eine neue Version der Schadsoftware ist. Die alte Verschlüsselung wurde ja auch nicht gebrochen, sondern der Master Key ist aufgetaucht.

Hast du mal ausprobiert ob die Dateien wirklich verschlüsselt wurden? Vielleicht wurde der Schädling noch nicht mit der Verschlüsselung fertig.
 

ThanRo

Lt. Commander
Dabei seit
Okt. 2016
Beiträge
1.350
Drei Möglichkeiten:
- Es gelingt irgendjemandem die Verschlüsselung zu knacken. was im vorliegenden Fall eher unwahrscheinlich ist.
- Dein Kumpel bezahlt die Erpresser. Das ist aber schon deshalb nicht anzuraten, da ihm niemand garantiert, daß seine Daten auch wirklich entschlüsselt werden.
- Das wahrscheinlichste Szenario ist aber, daß dein Kumpel die Daten als Totalverlust abschreiben muß.

Das ist alles äußerst unschön, aber so sieht die Realität aus. Wie zum Geier hat er sich das Zeug überhaupt eingefangen? Im Normalfall benötigt derartige Schadsoftware doch ein Mindestmaß an Kooperation durch den Nutzer.
 

storkstork

Lt. Junior Grade
Dabei seit
März 2010
Beiträge
380
Habt ihr mal hier: https://id-ransomware.malwarehunterteam.com/index.php?lang=de_DE eine verschlüsselte Datei hochgeladen und überprüfen lassen?

Wie oft sollen wir das hier noch predigen? Backups gehören auf eine externe USB Festplatte die vom PC getrennt ist wenn sie nicht benutzt wird. Noch idealer ist es wenn man es auf 2 externen USB Festplatten hätte.
Ich denke das kann man gar nicht oft genug sagen. Oder man sagt gar nichts, jetzt wird der Kollege es wohl selbst merken, dass ein ordenltiches Backup vom System getrennt abgelegt werden sollte.

Edit: eigentlich wollte ich das erst gar nicht abschicken, da ich mir doof vorkam, jemand anders dafür anzuprangern, dass er dem TE Salz in die Wunde streut, aber nach deinem zweiten Hinweis auf die Leichtsinnikkeit kann ich nicht andres :daumen:
Könntest mal im Emsisoft Forum nachfragen.

Und nun sollen wir euch jetzt bemitleiden? Fakt ist ihr wart leichtsinnig im Umgang mit der Backup Festplatte.
Danke, dass du so oft darauf hinweist. Ich denke zwar nicht, dass er danach verlangt hat, aber wenn du möchtest darfst du den TE natürlich auch bemittleiden. Auf den Fakt mit der Leichtsinnigkeit solltest du vielleicht in zwei oder drei Posts nochmal hinweisen :freak:. Ich bin mir nicht sicher, ob der TE oder sein Kollege das schon bemerkt haben :evillol:
 

gdm41

Cadet 3rd Year
Ersteller dieses Themas
Dabei seit
Apr. 2013
Beiträge
36
Soweit ich es bis jetzt rekonstruieren konnte, hat der Angreifer wohl das RDP per Bruteforce geknackt. Hab den Erpresser mal angeschrieben, mal sehen wie viel er haben will.
 

chrigu

Fleet Admiral
Dabei seit
Mai 2012
Beiträge
23.107
Vergiss es, du bekommst keinen Code beim Lösegeld zahlen. Höchstens eine „oh, den nehmen wir aus“ folgemail mit Zusatzforderungen. Festplatten ausbauen, in Schublade stecken, neue einbauen und warten, bis die Verschlüsselung geknackt wurde. Alles andere verhilft dir (ähm deinen Kumpel) zu nichts
 

gdm41

Cadet 3rd Year
Ersteller dieses Themas
Dabei seit
Apr. 2013
Beiträge
36
Ja, er will auch 0,5 btc, was utopisch ist.
btw ist wirklich nen kumpel, hätte kein problem es zuzugeben, wenn mir sowas passiert....
 

purzelbär

Admiral
Dabei seit
Feb. 2012
Beiträge
7.461
Wie dir schon gesagt wurde: dein Kumpel soll die Festplatte in eine Schublade packen und vielleicht gibt es irgendwann ein Enhtschlüsselungs Tool dafür bei bleeping, Emsisoft oder so. Ich würde an Stelle deines Kumpels auch Windows komplett neu aufspielen und wenn das gemacht ist, davon eine Systemsicherung machen mit zum Beispiel Aomei Backupper Standard auf eine externe USB Festplatte denn ich für meine Person würde dem System nicht mehr vertrauen wollen auf dem eine Ransomware war. Bzw mein Glück ist es, das ich sog. Systemsicherungen von Windows 10 auf einer USB Festplatte habe.
 

gdm41

Cadet 3rd Year
Ersteller dieses Themas
Dabei seit
Apr. 2013
Beiträge
36
Mal ne andere Frage, wie sichere einen RDP Zugang vernünftig ab. Sollte DAU sicher sein, vpn wäre zu kompliziert. Wäre hier vllt ein kommerzieller Anbieter wie z.B. Teamviewer eine Alternative?
 
Top