Win 10 PC encrypted, wiederherstellungspunkt

[Wolly300]

Hallo zusammen,

der Win10 PC meines Kollegen wurde gehackt und encrypted. Wir versuchen gerade den PC wieder herzustellen, haben in vom Internet genommen und im Safemode gestartet. Der Hacker hat anscheinend nur die Daten verschlüsselt, mehr anscheinend nicht. Mit Windows Wiederherstellungspunkt können wir nichts machen, weil diese anscheinend gelöscht wurden. Kann man diese wiederherstellen, oder ist was mit PowerShell möglich. Habe im Internet bisher nur das mit Wiederherstellungspunkte entdeckt.

 

[NeoExacun]

Backup einspielen oder herausfinden, welcher Trojaner am Werk war und gezielt nach Lösungen für ihn suchen.

 

[Janz]

"gehackt"... dein Kollege sollt sich mal mit grundlegenden Dingen auseinander setzen.

1. nicht jeden Scheiss öffnen
2. Backups machen

typischer Fall von nem Crypto-Trojaner, raus finden welcher es ist. Google liefert dir dann Infos, ob der Schlüssel bekannt ist oder nicht. Wenn ja dann findest du genug Anleitungen um was zu retten, wenn nein Pech gehabt siehe Punkt 2 (und 1)

 

[Wolly300]

wie finde ich raus welcher das ist ?

 

[Merle]

systemwiederherstellungspunkte beinhalten keine Daten vom User. Wenn wir vom selben Thema reden wäre das sinnlos. Eine LiveCD wie von Kaspersky eignet sich zum Scannen, wenn nicht die komplette Platte verschlüsselt ist. Danach nach dem Fund googlen.
Mit viel Glück ist es einer mit Schwachstelle.

 

[kartoffelpü]

wie finde ich raus welcher das ist ?

Viele Verschlüsselungstrojaner hinterlassen Botschaften z.B. in Form einer Textdatei in den betroffenen Verzeichnissen. Im Normalfall wollen sie ja Geld im Tausch zum Entschlüsselungskey haben.

Alternativ z.B. https://www.heise.de/security/meldu...entifiziert-Erpressungs-Trojaner-3173463.html
https://id-ransomware.malwarehunterteam.com/

Eine betroffene Datei (die möglichst keine sensiblen Daten enthält) hochladen und schauen, was erkannt wird.

 

[BmwM3Michi]

wie finde ich raus welcher das ist ?

vergleiche den Screen mit Bildern aus dem Netz:
https://www.google.de/search?q=kryp...ifLbAhXB_iwKHc00CDMQ_AUICygC&biw=1141&bih=869

 

[Wolly300]

Ok ich habe mal einwenig gesucht und nichts gefunden.
Habe nur in jedem Ordner die Txt Datei mit:

Hello, dear friend!
All your files have been ENCRYPTED
Do you really want to restore your files?
Write to our email - help@wizrac.com
and tell us your unique ID - ID-********

 

[Janz]

und genau dieser Inhalt sagt dir sofort, dass es sich um Rapid Ransomware handelt

obs inzwischen nen Tool gibt um den Kram zu retten weiß ich nicht, Google hilft dir. Als Erstes mal aber wirf das ausm Autostart raus

 

[abulafia]

Welche Antivirus-Lösung war denn installiert?

 

[Wolly300]

Avast 2018

Ergänzung (26. Juni 2018)

Was könnt ihr denn empfehlen?

 

[abulafia]

Bitdefender