Locky und Teslacrypt gleichzeitig eingefangen
- Ersteller kampfnudel
- Erstellt am
Zündkerze
Lt. Junior Grade
- Registriert
- Dez. 2007
- Beiträge
- 344
Keine Sicherung der BA ... ich werf mich weg. Unsere Profs haben uns mehrfach gesagt das wir Sicherungen machen sollen (USB Stick, Cloud, CD usw.) Das ganze sollte auch selbstverständlich sein und macht höchstens eine Minute Arbeit -.-
Als was strebst du einen Bachelor an? Sollte es in Richtung Informatik gehen.... gute Nacht
Als was strebst du einen Bachelor an? Sollte es in Richtung Informatik gehen.... gute Nacht
Autokiller677
Fleet Admiral
- Registriert
- Jan. 2009
- Beiträge
- 10.424
Laptop formatieren, Windows neu installieren, Backup einspielen.
Ach halt, noch so ein Idiot ohne Backup...
Naja, ich will mal nett sein: Hast du deine BA vielleicht irgendjemand zum Korrekturlesen geschickt? Oder mal ausgedruckt? Irgendwo auf einem Instituts-/Laborrechner (hier liegen hoffentlich noch eventuelle Messdaten?!).
Ansonsten musst du wohl mit deiner Idiotie leben, da hilft nix. Besonders da du dir gleich zwei Programme eingefangen hast, ist es recht unwahrscheinlich, dass die Entschlüsselung klappt. Wenn Dateien doppelt verschlüsselt sind und du nicht weißt, in welcher Reihenfolge, werden die Entschlüsselungstools wohl fehlschlagen.
Für die Zukunft: Dropbox (Cloud) oder Synkron für ein simples Backup auf USB Stick / ext. Festplatte. Und für Bachelorarbeit und co. ein git oder svn - schon für die Versionierung.
Naja, wenn der Change von V8 auf V9 halt "alles" ist (verschlüsselt halt), dann werden halt hier alle alten Daten gespeichert, hilft ja nix. Machen andere Systeme (svn, git, Windows Versionsverlauf etc.) ja auch so.
Ach halt, noch so ein Idiot ohne Backup...
Naja, ich will mal nett sein: Hast du deine BA vielleicht irgendjemand zum Korrekturlesen geschickt? Oder mal ausgedruckt? Irgendwo auf einem Instituts-/Laborrechner (hier liegen hoffentlich noch eventuelle Messdaten?!).
Ansonsten musst du wohl mit deiner Idiotie leben, da hilft nix. Besonders da du dir gleich zwei Programme eingefangen hast, ist es recht unwahrscheinlich, dass die Entschlüsselung klappt. Wenn Dateien doppelt verschlüsselt sind und du nicht weißt, in welcher Reihenfolge, werden die Entschlüsselungstools wohl fehlschlagen.
Für die Zukunft: Dropbox (Cloud) oder Synkron für ein simples Backup auf USB Stick / ext. Festplatte. Und für Bachelorarbeit und co. ein git oder svn - schon für die Versionierung.
sdwaroc schrieb:
Naja, wenn der Change von V8 auf V9 halt "alles" ist (verschlüsselt halt), dann werden halt hier alle alten Daten gespeichert, hilft ja nix. Machen andere Systeme (svn, git, Windows Versionsverlauf etc.) ja auch so.
WhyNotZoidberg?
Vice Admiral
- Registriert
- Aug. 2014
- Beiträge
- 6.797
kampfnudel schrieb:
keine backups? ist ja nicht so, dass man das nicht automatisiert ablaufen lassen kann.
Autokiller677
Fleet Admiral
- Registriert
- Jan. 2009
- Beiträge
- 10.424
Wenn es gut sein soll: Schwer. Angeschlossene Systeme werden oft mit verschlüsselt, durch eine Blitz mitgegrillt etc. Cloud geht nur bedingt (meine BA hatte mit Daten über 100GB, das macht meine Leitung nicht mit), daher wurde der SVN auch täglich auf eine ext. HDD gesichert, die sonst offline liegt.WhyNotZoidberg? schrieb:
keine backups? ist ja nicht so, dass man das nicht automatisiert ablaufen lassen kann.
Der Verdacht, dass du trollen willst, liegt wirklich nicht so fern. Du beschreibst erst das mit Abstand schlimmste Szenario, dass man sich als Student im Zusammenhang mit Ransomware vorstellen kann und zeigst dich dann völlig uneinsichtig zum Thema Backup.
Sollte das wirklich alles so passiert sein, dann kannst du mit etwas Glück eine Version der BA wiederherstellen, indem du im freien Festplattenbereich nach gelöschten Dateien suchen lässt. "Lässt" deshalb, weil du dir dringend professionelle Hilfe suchen solltest. Sieh ein, dass es hier nicht nur um Fotos geht (ärgerlich, aber wohl eher persönlicher Wert) sondern auch um deine Arbeit, deren Verlust dich den Abschluss deines Studiums kosten kann!
Sollte das wirklich alles so passiert sein, dann kannst du mit etwas Glück eine Version der BA wiederherstellen, indem du im freien Festplattenbereich nach gelöschten Dateien suchen lässt. "Lässt" deshalb, weil du dir dringend professionelle Hilfe suchen solltest. Sieh ein, dass es hier nicht nur um Fotos geht (ärgerlich, aber wohl eher persönlicher Wert) sondern auch um deine Arbeit, deren Verlust dich den Abschluss deines Studiums kosten kann!
- Registriert
- Juni 2007
- Beiträge
- 8.787
Die Geschichte mit Dropbox und Konsorten würde mich aber auch interessieren: wenn ich mir so einen Verschlüsselungstrojaner einfange (egal ob unter Windows oder MacOS), dann verschlüsselt der natürlich auch die Dateien in den entsprechenden Ordnern für die Cloud (es sei denn natürlich man nutzt nur den Web-Client, aber Cloud-Storage ohne Desktop-Client wär mir persönlich viel zu umständlich...). Sind diese Dateien dann ebenfalls unwiderruflich verloren (was laut sdwaroc der Fall ist) oder besteht die Möglichkeit der Wiederherstellung (wie der blablub1212 behauptet)? Und wie schauts aus bei OneDrive, Google Drive, iCloud, Amazon Cloud Drive etc.?
Autokiller677
Fleet Admiral
- Registriert
- Jan. 2009
- Beiträge
- 10.424
tiash schrieb:
Glaub mir, so unrealistisch ist sowas nicht. Ich kenne genug Personen, die so agieren. Auch bestärkt durch die IT-Vorstellung in Filmen und Serien, bei der selbst aus der verbrannten Festplatte noch alles Wiederhergestellt wird. Da denken die Leute, sie bekommen hier einen Link zum Mega-Tool und in einer Stunde ist alles wieder da.
Es ist traurig, aber solange IT in Schulen nicht ordentlich gelehrt wird, wird es immer genug Trottel geben, die mit dem Drag&Drop auf eine externe überfordert sind.
WhyNotZoidberg?
Vice Admiral
- Registriert
- Aug. 2014
- Beiträge
- 6.797
Autokiller677 schrieb:
gut, dass man die hdds,usb-sticks fürs backup anstecken muss und nachher wieder abziehen muss (sollte), da geh ich nicht von arbeit aus.
ich meinte eher zb via robocopy etc sichern gewisser bereiche (sofern kein komplettes backup). kann sogar meine schwiegermutter (und die ist alles andere als begabt im umgang mit pcs) mittlerweile.
blablub1212
Rear Admiral
- Registriert
- Sep. 2009
- Beiträge
- 5.992
Kurz nochmal zu Dropbox, Dropbox macht in der Regel keine Diffs sondern vollständige Snapshots in den meisten Fällen.
/edit: Inzwischen macht DropBox BinDiffs (https://www.dropbox.com/de/help/8), jedoch lässt sich das Verhalten gleich ansehen, denn durch die Verschlüsselung ändert sich der vollständige Inhalt der Datei und ein Vergleich ist nicht mehr möglich. Daher wird eine ganz neue Datei in DropBox angelegt und man kann auf die alte Version zurückspringen, wenn sie denn nicht wie bei Locky zu erst verschlüsselt und dann gelöscht wird.
Ihr könnt Locky auch gerne mal mit einem Dokument in eurer Dropbox simulieren:
Die Datei file.ext wird erst verschlüsselt und umbenannt und anschließend gelöscht. Wenn ihr dann auf die Dropbox Website geht, dann könnt ihr die Datei suchen und euch wird der neue Eintrag mit der *.locky Endung angezeigt und darunter die alte Datei als gelöscht. Nun einfach mal einen Rechtsklick auf die gelöschte Datei machen und auf Wiederherstellen klicken.
/edit: Inzwischen macht DropBox BinDiffs (https://www.dropbox.com/de/help/8), jedoch lässt sich das Verhalten gleich ansehen, denn durch die Verschlüsselung ändert sich der vollständige Inhalt der Datei und ein Vergleich ist nicht mehr möglich. Daher wird eine ganz neue Datei in DropBox angelegt und man kann auf die alte Version zurückspringen, wenn sie denn nicht wie bei Locky zu erst verschlüsselt und dann gelöscht wird.
Ihr könnt Locky auch gerne mal mit einem Dokument in eurer Dropbox simulieren:
Code:
zip file.ext.locky -0 -e file.ext
Enter password:
Verify password:
adding: file.ext (stored 0%)
rm file.extDie Datei file.ext wird erst verschlüsselt und umbenannt und anschließend gelöscht. Wenn ihr dann auf die Dropbox Website geht, dann könnt ihr die Datei suchen und euch wird der neue Eintrag mit der *.locky Endung angezeigt und darunter die alte Datei als gelöscht. Nun einfach mal einen Rechtsklick auf die gelöschte Datei machen und auf Wiederherstellen klicken.
Zuletzt bearbeitet:
PEASANT KING
Commander
- Registriert
- Okt. 2008
- Beiträge
- 2.412
Vielleicht hast du ja Glück und es sind ältere Versionen der Malware, dann kannst du versuchen diese selbst zu entschlüsseln.
Mit welchen Tools kannst du über Google erfahren.
Ansonsten Pech gehabt. Wer keine Backups anlegt ist wohl selber Schuld. Gleiches gilt übrigens für hirnloses Anhang durchforsten von Emails
ohne auf Absender und andere Auffälligkeiten zu achten.
Mit welchen Tools kannst du über Google erfahren.
Ansonsten Pech gehabt. Wer keine Backups anlegt ist wohl selber Schuld. Gleiches gilt übrigens für hirnloses Anhang durchforsten von Emails
ohne auf Absender und andere Auffälligkeiten zu achten.
Sollte man dann nicht wenigstens im Nachgang feststellen, dass man ohne Backup vielleicht doch ein wenig dumm dasteht, statt hier noch zu pöbeln? Aber ja, vermutlich ist die Naivität mancher Menschen im Bezug auf nicht greifbare digitale Daten größer, als ich immer wieder hoffe.
Wenn ich das Verhalten der Trojaner richtig verstehe, dann ist das ja eher ein Neuanlegen einer verschlüsselten Version (mit anderer Dateiendung) und anschließendes Löschen der ursprünglichen Dateien. Hier wird also nicht wirklich der gleiche Datenbereich überschrieben.
Das Wiederherstellen einer versehentlich gelöschten Datei stellt in der Dropbox zumindest kein Problem dar. Könnte mir vorstellen, dass das auch bei anderen Cloudspeichern klappt.
Edit: Zu langsam :/.
autoshot schrieb:
Wenn ich das Verhalten der Trojaner richtig verstehe, dann ist das ja eher ein Neuanlegen einer verschlüsselten Version (mit anderer Dateiendung) und anschließendes Löschen der ursprünglichen Dateien. Hier wird also nicht wirklich der gleiche Datenbereich überschrieben.
Das Wiederherstellen einer versehentlich gelöschten Datei stellt in der Dropbox zumindest kein Problem dar. Könnte mir vorstellen, dass das auch bei anderen Cloudspeichern klappt.
Edit: Zu langsam :/.
- Registriert
- März 2016
- Beiträge
- 5
Sorry, aber ich kann es gerade gar nicht gebrauchen mich niedermachen zu lassen. Die Vorwürfe sind einfach fehl am Platz.
Wie kann ich denn nachvollziehen, ob die Dateien noch woanders gespeichert sind?
Wie kann ich denn nachvollziehen, ob die Dateien noch woanders gespeichert sind?
Trollolol? Wer fertigt keine Backups seine Bachelorarbeit an, das ist schon recht unglaubwürdig. Und dann klickt man sich mal eben durch zig Anhänge, öffnet die Dokumente von dubiosen Absendern und aktiviert auch noch die Makros? No effing way.
lappenkaese1399
Ensign
- Registriert
- Jan. 2006
- Beiträge
- 201
Da ich ja irgendwie Mitleid mit den ganzen Trotteln habe, die so fahrlässig handeln wie du, würde ich folgendermaßen vorgehen:
1) Von einem live-windows booten / Windows auf andere Platte installieren
2) Recover My Files von GetData erwerben (oder anderes präferiertes Wiederherstellungsprogramm, das auch funktioniert)
3) hoffen, dass locky die Daten gelöscht hat und die alten versuchen wieder her zu stellen
4) ansonsten wie dominic.e sagte, nach Word tmp Dateien suchen
5) externe Platte erwerben und Backups anlegen!
Ich denke nicht, dass sich der ganze Kram wieder entschlüsseln lässt. Es ist ja noch nicht einmal bekannt, in welcher Reihenfolge verschlüsselt wurde.
1) Von einem live-windows booten / Windows auf andere Platte installieren
2) Recover My Files von GetData erwerben (oder anderes präferiertes Wiederherstellungsprogramm, das auch funktioniert)
3) hoffen, dass locky die Daten gelöscht hat und die alten versuchen wieder her zu stellen
4) ansonsten wie dominic.e sagte, nach Word tmp Dateien suchen
5) externe Platte erwerben und Backups anlegen!
Ich denke nicht, dass sich der ganze Kram wieder entschlüsseln lässt. Es ist ja noch nicht einmal bekannt, in welcher Reihenfolge verschlüsselt wurde.
WhyNotZoidberg?
Vice Admiral
- Registriert
- Aug. 2014
- Beiträge
- 6.797
kampfnudel schrieb:
nachschauen, eventuell???
cc0dykid
Lieutenant
- Registriert
- Nov. 2013
- Beiträge
- 622
Der Fehler liegt, meiner Meinung nach nicht am fehlenden Back-Up. Ich habe auch kein Back-Up (steinigt mich nicht), aber ich klicke mich auch nicht durch Anhänge (!) weil ich auf eine Mail warte. Dadurch, dass die betroffene Person anscheinend so viele Mails mit Anhängen bekommt, kann das nur Spam sein. Vor allem erkennt man auch Spam, wenn man einen halbwegs gesunden Menschenverstand hat und die Augen aufmacht.
Autokiller677
Fleet Admiral
- Registriert
- Jan. 2009
- Beiträge
- 10.424
kampfnudel schrieb:
Naja, wo du deine Dateien mal gespeichert hast wissen wir doch nicht... da musst du dich schon selber erinnern.
Ja, hier hätte man verhindern können. Den Blitzeinschlag oder Festplattenausfall hältst du so aber auch nicht auf. Und wenn z.B. eine vertrauenswürdige Seite gehackt wird und plötzlich Malware ausliefert, hilft brain.exe auch nicht mehr, weil man ja nur die "sichere" Seite besucht.cCody schrieb:
Zuletzt bearbeitet:
schonGEZockt
Lieutenant
- Registriert
- Jan. 2011
- Beiträge
- 588
Könnte ich interessenshalber dein Thema erfahren?Autokiller677 schrieb:
Ich sehe auch nicht das Problem in den fehlenden Backups, sondern eher in der Torheit, komische Email-Anhänge zu öffnen und (speziell) bei Locky auch noch die Makros in Word zu aktivieren. Oder waren sie Standard-aktiviert?
Wieso sind die beiden Word Dokumente auf deinem Desktop nicht verschlüsselt? Hast du sie nach der Infizierung erstellt? Oder trollst du ein bisschen?
Zuletzt bearbeitet: