Erpresser-Virus auf Laptop

[Tammuz]

Hallo.

Vorab: Ich bin IT-Laie und nur mit einigen Anwenderprogrammen vertraut. Bitte keine übermäßigen Vorkenntnisse erwarten.

Heute Abend hat ein krimineller Virus alle meine Dateien verschlüsselt (Ende "kxde"), was normalerweise mit einer Erpressung verbunden ist (ein paar 100 Euro für Entschlüsselung überweisen). Mir ist nicht bekannt, dass ich eine solche Aufforderung erhalten habe.

Natürlich würde ich das nicht zahlen, auch wenn meine Dateien einigen Wert haben. Kopien von der z.Zt. für mich wichtigsten Datei (ein Drehbuchskript) habe ich vor Tagen per Mail an Freunde geschickt, so dass sie nicht in Mitleidenschaft gezogen wurde.

Die Gegenmaßnahmen für diesen Fall lesen sich im Netz sehr kompliziert und so, dass ein Laie wie ich sie kaum ausführen könnte. Zudem besteht das Risiko der Datenzerstörung beim Wiederherstellungsprozess.

Habt ihr Ideen, was in diesem Fall zu tun ist?

Ist das Virus weiter aktiv auf meiner Festplatte oder hat es die Dateien nur zu einem bestimmten Zeitpunkt angegriffen?

Danke.

 

[Dr. McCoy]

Hast Du einen zweiten PC/Laptop zur Verfügung? Bitte an diesem PC jetzt nichts anstöpseln!

1. Welches Betriebssystem befindet sich auf dem betroffenen PC?
2. Lade bitte eine verschlüsselte Datei zur Identifizierung des Ransomware-Typs hier hoch und poste bitte das Ergebnis!
3. Bitte den fraglichen PC offline nehmen bzw. vom Netzwerk trennen!

 

[ghecko]

Habt ihr Ideen, was in diesem Fall zu tun ist?

Isolieren und dekontaminieren. Also formatieren.
Je nachdem wie wichtig die Daten sind könnte man schauen, welche Software hier am Werk war und/oder versuchen mit exakt gleichen, unverschlüsselten Dateien den Schlüssel anhand verschlüsselter Daten auf dem Laptop zu extrahieren. Das ist aber teils mit Aufwand/Geld verbunden, musst also selbst entscheiden ob es das wert ist.

Aber das wichtigste ist vorerst die Isolation. Rechner darf nicht mehr im Netz, Datenträger die mit dem Rechner Kontakt hatten, dürfen nicht mehr an andere Rechner.

 

[Tammuz]

Ja, ich habe eine zweiten Laptop mit WLAN. Leider war heute Abend ein Stick dort schon angeschlossen, der vorher an dem betroffenen Laptop steckte.

Da auf dem zweiten Laptop keine Dateien sind, weiß ich nicht, ob das Virus dort auch schon ist.

Die Frage ist halt, ob es aktiv bleibt oder nur zu einem Zeitpunkt aktiv war. Ich werde es nachher noch überprüfen.

Windows 7 auf dem betroffenen Laptop.

 

[madmax2010]

Auf einem anderen PC einen neuen Windows 10 usb stick anlegen, Windows neu installieren.
Dann Daten aus einem backup einspielen.
Alle speichermedien die in den letzten tagen / wochen mit dem PC verbunden waren und die direkt beschrieben werden konnten sind als kompromitiert anzusehen

Windows 7 auf dem betroffenen Laptop.

.....
Man soll keine unabsicherbaren Betriebssysteme nutzen. Nie.

 

[Dr. McCoy]

Leider war heute Abend ein Stick dort schon angeschlossen, der vorher an dem betroffenen Laptop steckte.

Ja, sowas sollte natürlich auf jeden Fall unterlassen werden. @ghecko hat das schon das passende Wort gewählt: Isolieren!

Windows 7 auf dem betroffenen Laptop.

Windows 7 ist sehr unsicher, wird nicht mehr mit neuen Sicherheitsfeatures und Patches versorgt und darf schon lange nicht mehr online eingesetzt werden!

 

[Tammuz]

Isolieren und dekontaminieren. Also formatieren.

Zerstört das nicht die Dateien? Ich will sie doch rekonstruieren.

Alle speichermedien die in den letzten tagen / wochen mit dem PC verbunden waren und die direkt beschrieben werden konnten sind als kompromitiert anzusehen

Ich will aber nicht (nur) die Hardware retten, sondern vor allem die Dateien.

Das ist mein Hauptanliegen.

Als ich den Stick in den zweiten Laptop steckte, war mir das Problem noch nicht aufgefallen.

Wie gesagt: Der Virus wurde erst vor ca. 2 Stunden aktiv.

 

[Fujiyama]

Man macht bei solchen Fällen die Kiste platt also installiert Windows neu und spielt dann die Daten wieder ein.
Ein großen gefallen mit dem uralten Windows 7 hast du dir nicht gemacht, damit macht man es dem Gesindel besonders einfach.

Generell ist es schwierig da was zu entschlüsseln, wenn man Glück hat erscheint nach einiger Zeit ein Tool womit man die Kiste wieder retten kann. (also entschlüsseln kann)

 

[madmax2010]

Ich will aber nicht (nur) die Hardware retten, sondern vor allem die Dateien.

wenn du kein backup hast, sind die chancen extrem gering. da kannst du nur hoffen, dass dir jemand ne rechnung schickt.
was du machen kansnt, ist die festplatte ausbauen und schauen was du mit testdisk unter linux von einem 3. PC aus findest.

 

[Dr. McCoy]

Die Frage ist halt, ob es aktiv bleibt oder nur zu einem Zeitpunkt aktiv war.

Eine solche Malware eliminiert sich nicht von alleine! Das System und alle daran angeschlossenen Datenträger müssen als infiziert betrachtet werden!

Zerstört das nicht die Dateien? Ich will sie doch rekonstruieren.

Dann poste bitte das Ergebnis des oben genannten ID-Dateiscans!
-> https://id-ransomware.malwarehunterteam.com/index.php?lang=de_DE

Ich will aber nicht (nur) die Hardware retten, sondern vor allem die Dateien.

Windows 7 plus keine Datenbackups ist natürlich Worst Case!

 

[ghecko]

Windows 7 auf dem betroffenen Laptop.

gut, das hast du dir in dem Fall selbst zuzuschreiben. Manche vertreten hier (noch) eine andere Meinung, aber wir können es nur stets wiederholen: Windows 7 gehört nicht mehr ins Netz. Du weißt jetzt auch, warum.
Das schlimme ist halt, das dein Rechner die Seuche weiter verbreitet und du so andere mit rein ziehst.

Wie gesagt: Der Virus wurde erst vor ca. 2 Stunden aktiv.

Nein, der hat vor 2h seine Arbeit abgeschlossen. Nämlich ab da, wo du bemerkt hast das alles mögliche verschlüsselt ist. Was er davor gemacht hat und wie lange er schon aktiv war kann keiner wissen. Die Dinger reproduzieren sich gerne, bevor sie sich bemerkbar machen. Deswegen nennt man die Teile ja "Virus". Liegt in deren Charakter.

 

[Rickmer]

Windows 7 wird seit über 2 Jahren nicht mehr mit Updates (inkl. Sicherheitsupdates) supportet. Da hast du's der Ransomware sehr leicht gemacht...

Dann noch keine Backups -> deine einzige Hoffnung ist, dass die Ransomeware bekannt und geknackt ist und es eine freie Entschlüsselungsmethode gibt. Dafür brauchen wir das Ergebnis von dem ID-Scan, den Dr. McCoy verlinkt hat.

 

[redjack1000]

Zerstört das nicht die Dateien? Ich will sie doch rekonstruieren.

Hast Du ein Backup?

Wenn nein, kauf Dir ein neuen Datenträger, bau den in dein Laptop ein und installiere das System neu.
Den befallenen Datenträger, kannst Du dann in einen Schrank legen und warten, bis es die passende Software zum entschlüsseln gibt.

Cu
redjack

 

[floxorius]

Alles Plattmachen und Backup einspielen, wenn kein Backup vorhanden dann draus lernen und zukünftig ein Backup erstellen. Früher waren es Hardwarefehler an den Festplatten, heute sind es Viren oder Ransomware aber die Probleme und auch deren Lösung bleiben in der Regel gleich. Wichtige Daten brauchen ein Backup! Irgendwann macht jeder diese Erfahrung und erzählt im Anschluss allen die er kennt wie wichtig Backups sind. 1 / 10 macht dann auch ein Backup und die anderen 9 tauchen irgendwann in einem Internetforum mit der gleichen Frage wieder auf.

 

[Tammuz]

Ich lasse am Montag einen Fachmann kommen.

 

[bart0rn]

Keine Ahnung ob sowas hilft.. aber mein Google-Ergebniss wollt ich dennoch mal präsentieren.

https://de.howtofix.guide/kxde-virus-file-2/

Hängt aber natürlich davon ab, ob Du genau von diesem Typ betroffen bist.

 

[Cardhu]

Die Wahrscheinlichkeit, dass du die Daten ohne Zahlung wiederherstellen kannst, liegt irgendwo bei 0.

Fraglich ist eher, ob du die Daten nach Zahlung auch entschlüsselt bekommst. Das ist nicht bei jeder Software der Fall und teils auch bewusst unmöglich gemacht.

ps: Da sich so ein Virus nicht einfach so installiert, solltest du dein Surfverhalten überdenken. Falls du weißt, wie es dazu kam, ist das ein Anfang, ansonsten musst du wohl radikal umdenken. Sowas wird nämlich immer öfter passieren.

 

[Fujiyama]

Den Fachmann kann man sich vermutlich sparen, der wird auch nix machen können.

 

[Dr. McCoy]

Da sich so ein Virus nicht einfach so installiert

Auf alten Betriebssystemen (wie hier Windows 7) mit alter Software kann eine Drive-By-Infektion (beim Aufruf einer beliebigen, selbst einer seriösen Website) ohne Weiteres Zutun des Nutzers bereits ausreichen, und das System ist kompromittiert.

 

[ghecko]

Da sich so ein Virus nicht einfach so installiert, solltest du dein Surfverhalten überdenken.

Tür und Tor stand sperrangelweit offen. Vor dem Surfverhalten sollte man die Auswahl seiner Software überdenken, mit der man auf Tournee geht:

Windows 7