.micro Dateien TeslaCrypt Trojaner

[Lord-Nirox]

Hallo,
Ich stehe vor einem Problem.
Situation: PC mit "Viren", alle Dateien sind mit der Endung .micro
Der PC wurde schon mit Malwarebytes und Kaspersky Rettungs-CD so weit es geht gesäubert.
Vorsichtshalber wurden die Dateien gesichert (in der .micro Form)
Das Programm TeslaDecoder kann leider nicht helfen, da ich herausgefunden
habe das es die VERSION 4 von TeslaCrypt zu sein scheint.
Bin schon seit gestern in Google unterwegs...
Hatte jemand von euch sowas schon mal ?
Könnte Hilfe gebrauchen.
Und nein, wie immer sind die Daten nicht vorher gesichert worden.
Ist auch nicht mein PC, ich soll nur die Karre wieder ausm Dreck ziehen...

MfG.
Lord-Nirox

 

[Sephe]

Nach meinen Informationen gibt es noch keinen Decrypter für Tesla 4.

Also: Entweder Bitcoins zahlen - kannste aber jetzt vergessen, da du den pc von teslacrypt gesäubert hast, oder auf die Daten verzichten.

Auf jeden Fall die Micro-Dateien aufbewahren, VIELLEICHT wird es irgendwann einen Decrypter für Tesla4 geben.

 

[hrafnagaldr]

Ach es gibt schon v4? Unerheblich, auch für v3 gibts keinen Decrypter und wenn die Verschlüsselung sauber implementiert wurde wirds auch keinen geben.
Klingt für mich nach A-Karte, sorry.

 

[tiash]

Wenn es jetzt schon eine v4 gibt, dann besteht ja zumindest für v3 Opfer die Chance, dass sich dort noch ein Fehler eingeschlichen hat.

Grundsätzlich gilt aber: Je weiter die Entwicklung von TeslaCrypt (und anderen Cryptotrojanern) voranschreitet, desto unwahrscheinlicher wird das Entschlüsseln.

Edit: Bei .micro scheint es sich um den bereits bekannten TeslaCrypt v3 zu handeln, nicht um eine neue Version 4. Nichts desto trotz gilt aber auch die Version immernoch als unknackbar.

 

[max_1234]

Lt. Heise wurde ab v3 sauber verschlüsselt -> kann man nix mehr machen.

mfg,
Max

 

[Lord-Nirox]

ok, Thema erledigt.
Zaubern kann ich nicht, deren Pech.
Vielleicht sichern se ab jetzt ihre Daten wie ich es schon vor Jahren gesagt habe..
Ich frag mich immer noch wo die sich den eingefangen haben. Die haben "Keine Ahnung"...
Edit: DeslaDecoder sagte was mit Version 4.. + Trauriger Smiley
MfG.
Lord-Nirox

 

[purzelbär]

Lord-Nirox, rede mal mit den Leuten das die ab jetzt regelmäsig ihre Daten sichern auf eine USB Festplatte und das die Leute auch damit anfangen regelmässig Backups/Images machen von ihrer im Computer verbauten festplatte. Alles was die dazu brauchen ist eine USB Festplatte als Ziellaufwerk für die Sicherungen und ein Backup Programm wo du hier 4 gute Freeware Programme finden würdest und die ausreichend sind:
https://www.paragon-software.com/de/home/br-free/
http://www.backup-utility.com/de/free-backup-software.html
http://www.macrium.com/reflectfree.aspx
http://www.todo-backup.com/products/home/free-backup-software.htm

Ich frag mich immer noch wo die sich den eingefangen haben. Die haben "Keine Ahnung"...

2 Möglichkeiten: entweder haben die einen E-Mail Anhang geöffnet oder aber Teslacrypt kam im Browser per Exploit Infizierung. Ob es noch andere Wege gibt weiß ich nicht.

 

[Lord-Nirox]

Paragon benutze ich selber
Selbst meiner Tante sage ich das fast Monatlich... als ich letztens
nachgefragt hatte war immer noch nichts gesichert..
Ich selber benutze mehrere externe HDDs + USB Sticks + Sicherung auf einem Notebook (mein "NAS")
ICH bin gerüstet
MfG.
Lord-Nirox

 

[purzelbär]

Du sollst ja deinen Bekannten Druck machen in Richtung Sicherungen und Backups
Edit: Du könntest wenn du magst deinen Bekannten auch zusätzlich Malwarebytes Anti Ransom installieren das aber noch Beta ist und bei Locky vor einiger Zeit erst dann als Schutz griff als Locky schon ein paar Dateien(ich glaube es waren um die 20)verschlüsselt hatte. Download(bitte Manuelle Installation wählen): http://www.chip.de/downloads/Malwarebytes-Anti-Ransomware_88768596.html

 

[Lord-Nirox]

Das ist leider (gefühlt) aussichtsloser als die Daten zu entschlüsseln
MfG.
Lord-Nirox

 

[purzelbär]

Entweder die hören auf dich und lernen daraus oder es passiert wieder. Kannst ja mal drohen wenn Sie nicht auf dich hören, das du dann künftig nicht mehr als "Feuerwehrmann" zur Verfügung stehen würdest

 

[tiash]

Letztendlich ist jeder eben für seine eigenen Daten verantwortlich. Als technischer Versierter rennt man da oft vor Wände und möchte am liebsten verzweifeln. Man muss aber auch einsehen, dass man niemanden zu Backups zwingen kann. Wer sie nicht macht muss leider damit leben, dass ich am Ende sage: Tut mir Leid, die Daten sind nicht mehr zu retten.

Wobei ich im Schadensfall tendenziell in eine neue Festplatte investieren und die alte einlagern würde. Je mehr vom Originaldateisystem noch übrig ist (Metadaten, Ordnerstruktur, Registry...) desto höher die Chancen, dass irgendwann ein Decoder helfen kann.

 

[purzelbär]

Zwingen kann man Niemanden tiash, aber man kann mit den Leuten reden und die von den Vorteilen von Sicherungen und Backups versuchen zu überzeugen. Entweder fällt das dann auf fruchtbaren Boden oder eben auch nicht, dann sind die Leute im letzteren Fall lernressistent

 

[tiash]

Aber genau das versucht der TE ja offenbar schon seit Monaten. Und ich vermute fast jeder kennt den ein oder anderen Fall, bei dem ein Rat zu Backups und sogar das konkrete Angebot zur Hilfe bei der Umsetzung wieder und wieder auf taube Ohren stoßen würde.
In Sachen Wartungsaufwand macht TeslaCrypt es dem familiären IT-Notdienst ja aber eigentlich recht leicht. Man sieht auf den ersten Blick schon am Dateinamen, dass man keine Zeit mit Rettungsversuchen verschwenden muss.

 

[Messiah]

Tja, echt schade. Grob fahrlässig einen PC ohne vernünftige Sicherheits-Software zu betreiben. Dazu noch keine Backups. Das ist schon Vorsatz. Statt Malwarebytes AntiRansom würde ich jedoch eher WinAntiRansom empfehlen. Lifetime Lizenz für <30€. Es scheint die einzige Software zu sein die bislang jede Ransomware gestoppt hat.

 

[purzelbär]

@Messiah
Falls du auf mich anspielst: ich habe geschrieben man könne zusätzlich Malwarebytes Anti Ransom installieren. Damit ist gemeint neben einem vorhandenen Virenschutz Programm denn Malwarebytes Anti Ransom ist mit denen verträglich.

Statt Malwarebytes AntiRansom würde ich jedoch eher WinAntiRansom empfehlen. Lifetime Lizenz für <30€. Es scheint die einzige Software zu sein die bislang jede Ransomware gestoppt hat.

Das ist auch wieder so ein Punkt: solche Programme kosten Geld das viele Leute nicht bezahen wollen und du liegst mit deiner Vermutung auch etwas falsch: aus 2 anderen Foren weiß ich das bist jetzt auch Emsisoft Anti Malware oder auch Hitman Pro Alert jede Ransom wie Teslacrypt oder Locky gestoppt haben.

Aber genau das versucht der TE ja offenbar schon seit Monaten. Und ich vermute fast jeder kennt den ein oder anderen Fall, bei dem ein Rat zu Backups und sogar das konkrete Angebot zur Hilfe bei der Umsetzung wieder und wieder auf taube Ohren stoßen würde.

Bei solchen Fällen müsste man dann halt als Helfer konsequent sein und denen keine Hilfe mehr leisten.

 

[Messiah]

Es empfiehlt sich in jedem fall derartige Software zusätzlich zu installieren. Überhaupt keine Frage.

Nein, deine Infos sind nicht ganz aktuell. Vermutlich beziehst du dich auf die Aussage bei Rokop. Jedoch wurden Hitman Pro Alert und Malwarebytes AntiRansom vor 3 Tagen durch eine WinLocky Variante ausgehebelt. Da ich HMPA erst kürzlich lizensiert habe, ärgert mich dies ganz besonders. Hier das Video: https://malwaretips.com/threads/more-fun-with-ransomware.57188/

Irgendwo hier ist auch eine Stellungnahme von Surfright dazu:
http://www.wilderssecurity.com/threads/hitmanpro-alert-support-and-discussion-thread.324841/page-359
Kann auch eine Seite davor sein. Auf die Schnelle nicht so einfach zu finden ...

 

[purzelbär]

Nein, deine Infos sind nicht ganz aktuell. Vermutlich beziehst du dich auf die Aussage bei Rokop. Jedoch wurden Hitman Pro Alert und Malwarebytes AntiRansom vor 3 Tagen durch eine WinLocky Variante ausgehebelt. Da ich HMPA erst kürzlich lizensiert habe, ärgert mich dies ganz besonders. Hier das Video: https://malwaretips.com/threads/more...somware.57188/

Die Infos hatte ich vor einiger Zeit bei Rokop(Hitman Pro Alert)und beim Trojaner Board(Emsisoft)gelesen das zu dem damaligen Zeitpunkt jeweils Hitman Pro Alert bzw Emsisoft jede Ransom blockiert hätte. Kann natürlich mittlerweile überholt sein.
Frage nebenbei: nimmst du Hitman Pro oder Hitman Pro Alert? denn nur Hitman Pro Alert bietet den Ransom Schutz und kann aber mit einer Hitman Pro Lizenz aktiviert und benutzt werden.

 

[Messiah]

Zu Emsisoft findet sich in diesem Video und auch in der Diskussion dazu keine Aussage. Man könnte den Autor mal um eine Prüfung dessen bitten.

Ich nutze Hitman Pro "Alert". Hitman Pro selbst ist bloß ein AV-Scanner. Ja genau, man kauft Hitman Pro und kann damit kostenlos Hitman Pro Alert nutzen. Sozusagen 2 in 1. Das Lizenz-Modell soll aber laut Aussage des Herstellers "demnächst" umgestellt werden. Eigentlich sollte es schon zu Beginn 2016 der Fall sein, aber noch ist alles beim Alten ... Darüber hinaus nutze ich Zemana AntiMalware Premium und a) Norton Security oder b) Eset SmartSecurity. Kann mich noch nicht entscheiden zwischen den beiden