Ransom Ware auf Windows 7 Laptop

schlingel3377

Cadet 4th Year
Ersteller dieses Themas
Dabei seit
Jan. 2007
Beiträge
122
Nein. An dem Stick ist aber auch nichts. Hab alles nur am Laptop gemacht.
 

Dr. McCoy

Lt. Commander
Dabei seit
Aug. 2015
Beiträge
1.349
Es ist nämlich wichtig, Datenträger, die an infizierten Systemen angestöpselt waren, nicht gleich wieder an saubere Systeme anzuschließen. Für sowas immer von einem Live-System aus booten, sodass Malware sich nicht vom kompromittierten Betriebssystem aus auf den Stick schreiben kann.

Am besten ist es, falls sich die Dateien derzeit nicht mittels aktuell vorhandener Entschlüsselungstools entschlüsseln lassen, die Daten allerdings noch mit Hoffnung auf die Zukunft behalten werden sollen, den Datenträger (die Festplatte) so lange in den Schrank zu legen und nicht mehr zu verwenden. Somit bleibt alles erhalten, was später noch helfen könnte, die Daten mittels vorliegender Tools doch noch mal zu entschlüsseln.

Somit erstmal eine neue Festplatte einbauen und Windows frisch installieren. Am besten im Zuge dessen gleich auf Windows 10 upgraden.
 

schlingel3377

Cadet 4th Year
Ersteller dieses Themas
Dabei seit
Jan. 2007
Beiträge
122
Naja, es soll ja eine Version sein, die mit dem Tool decrypted werden kann, es macht es allerdings nicht. Das Bitdefender Detection Tool sagt zu 49 % Gandcrab, aber auch 49 % Genauigkeit Argus, wofür es offensichtlich kein Tool gibt.
Der Laptop ist aus meiner Sicht tot, wird brutal warm, extrem langsam, da macht es keinen Sinn was drauf zu machen, zumal halt die Tastatur defekt ist. Da würde ich kein Geld in Form von SSD reinstecken.
Live CD hatte ich schon durchlaufen lassen, danach noch mal Malwarebytes, was jetzt im letzten Durchlauf nur noch PUPs gefunden hat, denn offensichlich ist der Rechner auch mit unglaublichem Schrott zugemüllt. 🤦‍♂️
Ergänzung ()

Ich glaub ich weiß wo das Problem liegt: das Bitdefender Tool findet die cbutme.txt noch irgendwo in $recycle.bin, obwohl die dort nicht mehr ist. Damit sind aber keine Dateien mehr verschlüsselt. Die andere Ransom Note übergeht er dann, obwohl die definitiv da ist. Wähle ich einen Ordner zum scannen aus, wo diverse verschlüsselte Dateien und diese ransom note drin ist, erkennt er nichts. :grr:
 
Zuletzt bearbeitet:

BlackNinja2019

Lt. Commander
Dabei seit
Apr. 2019
Beiträge
1.171
Der Laptop ist aus meiner Sicht tot, wird brutal warm, extrem langsam, da macht es keinen Sinn was drauf zu machen, zumal halt die Tastatur defekt ist.
Dann hilft nur eine Beerdigung für den Laptop.
Entweder neu kaufen oder einen besseren gebrauchten.
Ich habe noch ein Asus mit I5, SSD, 8 GB RAM, NVIDIA Grafikkarte, der läuft einwandfrei mit Windows 10.
Ohne Gebrauchsspuren!
 

Dr. McCoy

Lt. Commander
Dabei seit
Aug. 2015
Beiträge
1.349
Naja, es soll ja eine Version sein, die mit dem Tool decrypted werden kann, es macht es allerdings nicht. Das Bitdefender Detection Tool sagt zu 49 % Gandcrab, aber auch 49 % Genauigkeit Argus, wofür es offensichtlich kein Tool gibt.
Wie gesagt, es können nicht immer aktuell alle Varianten entschlüsselt werden. Das geht -- vielleicht -- nach einer gewissen Zeit. Mit Glück. Dazu, ebenfalls wie bereits geschrieben, die Festplatte am besten erstmal archivieren.

Der Laptop ist aus meiner Sicht tot, wird brutal warm, extrem langsam,
Das kann allerdings einem total verseuchten Betriebssystems, bei dem die Malware im Hintergrund die CPU-Last auf hohem Niveau hält, mit geschuldet sein.

da macht es keinen Sinn was drauf zu machen, zumal halt die Tastatur defekt ist.
Wenn die Tastatur defekt ist, ist es natürlich hinsichtlich Weiterbenutzung etwas anderes. Das ändert jedoch nichts am Umgang mit der "verseuchten Festplatte".

[...] denn offensichlich ist der Rechner auch mit unglaublichem Schrott zugemüllt. 🤦‍♂️
Das meinte ich mit dem verseuchten System.

Ich glaub ich weiß wo das Problem liegt: das Bitdefender Tool findet die cbutme.txt noch irgendwo in $recycle.bin, obwohl die dort nicht mehr ist.[...]
Genau deshalb ist es wichtig, nach einer solchen Infektion keinerlei Löschungen von Dateien, auch nicht der Malware-Dateien, vorzunehmen.
 

schlingel3377

Cadet 4th Year
Ersteller dieses Themas
Dabei seit
Jan. 2007
Beiträge
122
Wie gesagt, es können nicht immer aktuell alle Varianten entschlüsselt werden. Das geht -- vielleicht -- nach einer gewissen Zeit. Mit Glück. Dazu, ebenfalls wie bereits geschrieben, die Festplatte am besten erstmal archivieren.

Genau deshalb ist es wichtig, nach einer solchen Infektion keinerlei Löschungen von Dateien, auch nicht der Malware-Dateien, vorzunehmen.
Der Befall war offenbar schon im März, Gerät wurde seit dem nicht mehr benutzt.
Gelöscht ist von den ransom notes, wo eine Verschlüsselung vorliegt, nichts, *cbutme zeigt keine Verschlüsselungen auf dem gesamten Gerät. Daher habe ich eine der txts davon gesichert und dann, weil Bitdefender trotzdem weiter auf die Datei anspringt, alle Ransom Notes davon gelöscht, damit er die andere Datei als Basis des Decryptens nimmt. Klappt aber nicht, s. o.
 

schlingel3377

Cadet 4th Year
Ersteller dieses Themas
Dabei seit
Jan. 2007
Beiträge
122
Kurzes Update: nach Rücksprache mit Bitdefender (👍 für den guten Support) konnte das Problem gelöst werden. Es lag tatsächlich an dem zweiten ransom file. Nachdem der irgendwie immer wieder in $recycle.bin gefunden wurde, half nur manuelles Löschen dieses Ordners über die Eingabeaufforderung. Danach nahm sich das Tool sofort die richtige Ransom Note und arbeitet jetzt.
Windows Updates waren auf dem Gerät btw abgeschaltet, da weiß man natürlich alles. 🙄
 
Top