Ransom Ware auf Windows 7 Laptop

schlingel3377

Ensign
Dabei seit
Jan. 2007
Beiträge
140
Hi,

hab hier einen Laptop von älteren Herrschaften, Aussage: Dateien gehen nicht mehr.
Jetzt sehe ich hier, dass die alle Endungen haben und finde gleich zwei verschiedene Ransom Ware Instructions in txt Dateien, wo steht, dass alles encrypted wurde und man TOR installieren soll und Seite xy aufrufen soll und den Anweisung folgen. Da ist Ende im Gelände, oder? Backup sinnlos und bezahlen auch keine Option oder wie sehe ich das?

Die Laptop Tastatur funktioniert auch nicht, angeschlossene USB Tastatur aber schon, keine Ahnung, ob das an der Ransom Ware liegt, oder eh kaputt ist.
System neu aufsetzen eine Option (mit Verlust aller Daten) oder direkt Laptop verschrotten? Ist schon ziemlich alt von 2010 rum mit i3 2100 Mhz oder so, 4 GB Ram.

Vielen Dank im Voraus.
 

Visceroid

Commodore
Dabei seit
Mai 2010
Beiträge
5.045
Also erstmal würde ich feststellen welche Ransomware da aktiv war.
Dann nachsehen ob es dafür ein Entschlüsselungstool gibt.

Dann würde ich Windows neu aufsetzen, ein neues Gerät wird für die Herrschaften vermutlich keinen Vorteil bringen.

Tastatur kann natürlich einfach defekt sein oder das Kabel hat sich intern gelockert, kann man aus der Ferne schwer abschätzen.
 

schlingel3377

Ensign
Ersteller dieses Themas
Dabei seit
Jan. 2007
Beiträge
140
Da sind gleich zwei Textdateien, die Instruktionen beinhalten. Die Datein haben alle die Endung der einen TXT: XHFVCMGQRS. Dazu wird nix gefunden. Werd mal eine der Dateien hier hochladen:
https://id-ransomware.malwarehunterteam.com/index.php?lang=de_DE

Kann ich den USB Stick, den ich zum Dateiholen vom Laptop zu meinem Rechner benutzt habe bedenkenlos anstecken, oder muss da eine Infektion befürchtet werden?

Edit: die andere TXT heißt CBUTME-Manual.
 

BlackNinja2019

Lt. Commander
Dabei seit
Apr. 2019
Beiträge
1.459
Solche Experimente würde ich unterlassen.
Es sei denn du willst dein PC auch verschlüsselt haben.
Scheinbar weißt du nicht was ein Verschlüsselungstrojaner ist und was der macht?
 

BlackNinja2019

Lt. Commander
Dabei seit
Apr. 2019
Beiträge
1.459
Wie soll ich eine Datei davon sonst testen, den Laptop will ich nicht ans Netz anschließen?
Na wie macht man das wohl bei Windows 7?
Erstelle dir ein Notfall USB Stick oder CD/DVD von einem Namenhaften AV Programm Hersteller wie zum Beispiel Kaspersky. ISO laden und bootbares Medium erstellen. Scanne den Laptop damit offline!
Es wird schon das richtige finden und in Quarantäne verschieben.
 

schlingel3377

Ensign
Ersteller dieses Themas
Dabei seit
Jan. 2007
Beiträge
140
Na wie macht man das wohl bei Windows 7?
Erstelle dir ein Notfall USB Stick oder CD/DVD von einem Namenhaften AV Programm Hersteller wie zum Beispiel Kaspersky. ISO laden und bootbares Medium erstellen. Scanne den Laptop damit offline!
Ich will nicht den Laptop scannen, sondern eine von den nun verschlüsselten Dateien auf o. g. Seite prüfen lassen, um zu sehen, welche Verschlüsselung es ist und ob noch eine Chance besteht. Was auf dem Rechner ist, ist mir im Prinzip egal, der wird entweder neu aufgesetzt oder in Ruhestand geschickt.
 

BlackNinja2019

Lt. Commander
Dabei seit
Apr. 2019
Beiträge
1.459
Kaspersky scannt die Daten und entschlüsselt die Dateien oder was wolltest du machen?
Der Laptop soll doch bedienbar werden oder nicht?

Oder rette die Daten die wichtig sind mit einem Linux Live System.
Ergänzung ()

Ich will nicht den Laptop scannen, sondern eine von den nun verschlüsselten Dateien auf o. g. Seite prüfen lassen, um zu sehen, welche Verschlüsselung es ist und ob noch eine Chance besteht. Was auf dem Rechner ist, ist mir im Prinzip egal, der wird entweder neu aufgesetzt oder in Ruhestand geschickt.
Na dann ist es doch egal was es für eine Verschlüsselung ist, wenn kein Interesse an den Daten besteht.
 

schlingel3377

Ensign
Ersteller dieses Themas
Dabei seit
Jan. 2007
Beiträge
140
Doch, Interesse an den Daten besteht. Der PC ist als solches auch bedienbar. Werd mir Kaspersky Boot CD mal anschauen, aber nach meinen Verständnis ist die Chance ziemlich gering, dass genau ein Virenprogramm genau die Verschlüsselung knacken kann.
 

BlackNinja2019

Lt. Commander
Dabei seit
Apr. 2019
Beiträge
1.459
Kaspersky kann mit Ransomware umgehen.
Ein Versuch ist es wert.
Wenn der Laptop noch bedienbar ist, dann kannst du auch die 30 Tage Testversion auf den Laptop laden und scannen lassen. Und auch dann das Notfall Medium erstellen lassen und nochmal offline scannen.
Schau einfach was gefunden wird und lass es nur in Quarantäne verschieben nicht löschen!
Ergänzung ()

Ransomware verschlüsselt meistens oder bzw. immer der ganzen PC.
Einzelne Dateien ist ungewöhnlich.
Vielleicht sind es nur ganz normale Viren oder Trojaner?
Hatten die eigentlich Virenschutz bei Windows 7 drauf?
 

schlingel3377

Ensign
Ersteller dieses Themas
Dabei seit
Jan. 2007
Beiträge
140
Kaspersky kann mit Ransomware umgehen.
Ein Versuch ist es wert.
Wenn der Laptop noch bedienbar ist, dann kannst du auch die 30 Tage Testversion auf den Laptop laden und scannen lassen. Und auch dann das Notfall Medium erstellen lassen und nochmal offline scannen.
Schau einfach was gefunden wird und lass es nur in Quarantäne verschieben nicht löschen!
Ergänzung ()

Ransomware verschlüsselt meistens oder bzw. immer der ganzen PC.
Einzelne Dateien ist ungewöhnlich.
Vielleicht sind es nur ganz normale Viren oder Trojaner?
Hatten die eigentlich Virenschutz bei Windows 7 drauf?
Avira ist drauf. Und das System läuft, auch wenn am Anfang eine Fehlermeldung zu einer Windows Datei kommt. Verschlüsselt sind alle Videos, Bilddateien und anderes Zeug, eben mit o. g. Endung. Dazu befinden sich zwei Anweisungsdateien auf dem Rechner.
Werd mal gucken, was die Kaspersky Rescue Disk ergibt.
 

BlackNinja2019

Lt. Commander
Dabei seit
Apr. 2019
Beiträge
1.459
Du kannst Avira nicht mit Kaspersky vergleichen.
Wahrscheinlich auch noch Avira Freeware?
Das wird ohne Probleme umgangen.
 

schlingel3377

Ensign
Ersteller dieses Themas
Dabei seit
Jan. 2007
Beiträge
140
Du kannst Avira nicht mit Kaspersky vergleichen.
Wahrscheinlich auch noch Avira Freeware?
Das wird ohne Probleme umgangen.
Das ist mir schon klar. Vermutlich saß das Problem vorm Bildschirm, wie immer.
Kann mir trotzdem nicht vorstellen, dass Kaspersky die verschlüsselten Dateien entschlüsseln kann, aber wir werden sehen.
Update nötig wenn die KRD gestartet ist oder ist das in der aktuell runtergeladenen Version aktuell genug? Dann spar ich mir die Internetanbindung des Laptops.
Der Rechner wurde offensichtlich im März zuletzt benutzt, da die Erpresserdateien von diesem Datum sind.
 
Zuletzt bearbeitet:

purzelbär

Admiral
Dabei seit
Feb. 2012
Beiträge
7.247
Ransomware verschlüsselt meistens oder bzw. immer der ganzen PC.
Einzelne Dateien ist ungewöhnlich.
Was redest du da? die Zeiten in denen Ransomware den Desktop verschlüsselte so das man darauf nicht zugreifen kann und stattdessen mit einem Fake Polizei Desktop konfrontiert wurde, sind vorbei bzw sehr alte Varianten von Ransomware. Heutige Ransomware verschlüsselt dem User Dateien wie Fotos, Dokumente usw und erpresst dann die nur dann wieder zu entschlüsseln wenn man mit Bitcoin Lösegeld bezahlt.
Kann mir trotzdem nicht vorstellen, dass Kaspersky die verschlüsselten Dateien entschlüsseln kann, aber wir werden sehen.
Kann der normale Kaspersky auch nicht aber wenn du bzw die Herrschaften Glück haben gibt es für die Ransomvarianten die wohl zugeschlagen haben, Entschlüsselungstools. Dazu musst du Dateien die verschlüsselt wurden hier hochladen: https://id-ransomware.malwarehunterteam.com/index.php?lang=de_DE
 

schlingel3377

Ensign
Ersteller dieses Themas
Dabei seit
Jan. 2007
Beiträge
140
Hi purzelbär,

genau das wollte ich ja oben machen und wurde dann abgehalten :D
Es ist also Gandgrab 4.0/5.0 und angeblich entschlüsselbar.
 

schlingel3377

Ensign
Ersteller dieses Themas
Dabei seit
Jan. 2007
Beiträge
140
Gandgrab bis V5.2 ist entschlüsselbar mit dem Bitdefender Decryptor.
Den hatte ich bis gerade in der Mache, er erkennt nur den cbutme, nicht aber den anderen mit den verschiedenen Buchstaben und damit sind alle Dateien verschlüsselt. Keine Ahnung, bin mit meinem Latein am Ende. Das Ding ist auch so langsam, da ist alles eine Qual.
 
Top