Erpresserviren aus PCWelt 7/12

Ich habe mir das Virus Bundespolizei auch eingefangen. Dadurch sind bei mir u.a. wertvolle Bilder verloren bzw. verschlüsselt worden. Gibt es eine Möglichkeit, diese Bilder wieder zu entschlüsseln- und herzustellen? Ich habe es schon ohne Erfolg mit Ashampoo Getback, Ashampoo Undeleter und CD Recovery versucht.
Wäre schön, wenn jemand mir helfen könnte.

Gruß Seniorexperte

 

Eine entsprechende Datensicher vorher hätte hier das Risko minimiert.

Hast du schon eine Systemwiderherstellung probiert?

 

Du meinst, es wäre eine gute Idee, das arme Opfer auch noch zu veräppeln?

@ Seniorexperte
Ein User berichtete hier, er sei mit der USB-Variante von Antivir Rescue wieder an die Daten gekommen.
http://www.pcwelt.de/forum/online-m...te/462918-usb-stick-variante.html#post2706802

Wohlgemerkt: Nur um an die Daten zu kommen, die dann nochmals gecheckt werden sollten. Das System selbst sollte neu aufgesetzt werden.

 

Die Chancen stehen schlecht. Dafür gibt es verschiedene Gründe:
1. es gibt jede Menge unterschiedlich arbeitende dieser Verschlüsselungstrojaner. Es ist also schon schwierig das richtige "Entschlüsselungsprogramm" zu finden, falls es überhaupt bereits ein passendes gibt.
2. bei jedem Neustart, solange der Trojaner aktiv ist, wird ein anderer Schlüssel verwendet.
3. Um einen funktionierenden Schlüssel zu bekommen, benötigt man für eine verschlüsselte Datei die Originaldatei.

 

ACK. Aber nehmen wir doch mal den zitierten User ernst. Schadet ja nix und vielleicht stimmt ja seine Aussage und der TO hat mehr Glück als wir glauben.

 

Nicht nur das.

A) Das Betriebssystem auf dem aktuellsten Stand halten, d. h. die angeboten Windows Updates IMMER installieren

B) Internetnutzung über einen Router und, falls vorhanden, das ADSL-Modem = Einwahl über die vom Rechner hergestellte Breitbandverbindung, in die Tonne

C) Sicherheitssoftware installieren, die den Namen "Sicherheit" auch verdient - was so manches der von den Rechner Herstellern vorinstallierte Sicherheitsprogramm und auch viele der "koschtnix Lösungen" nicht erfüllen - siehe Security Test in der PC-Welt 11/2012, Seite 88)
Anmerkung:
Eine 100%tige Sicherheit wird es auch mit einem als "sehr gut" bewerteten Programm nie geben - weil nur eine Momentaufnahme zum Zeitpunkt des Tests.
D) Alle Browser (auch den IE - obwohl ein anderer genutzt wird), das Java Runtime, den Adobe Player, den Adobe Flash Player, alle installierte Software usw. immer auf dem aktuellsten Stand halten.

E) Darauf achten, dass bei Verwendung von "koschtnix Programmen", z. Bsp. der Java Runtime, beim turnusmäßigen Update (einmal im Monat) keine überflüssigen Browser Plugins (hier die ASK-Toolbar) unter geschoben werden.
Adobe will beim Update "McAfee Security Scan" installieren, usw. usw.

F) Online Spiele, die sehr oft ein installiertes Java voraussetzen, nur dann, wenn dessen Version auf dem aktuellsten Stand ist.
Usw. usw.

Systemrettung nach Befall durch eine Variante des sogenannten "Bundestrojaners"
Ich habe es beim Kumpel mit der Windows 7 Systemwiederherstellung (Boot mit Windows 7 DVD) wieder hin bekommen, weil Sicherung auf externem Laufwerk gemacht.

Zum vorgeschlagenen "Antvir Rescue", das nicht nur vom USB-Stick, sondern auch von ner CD gebootet werden kann:
Funktioniert nicht auf jedem Rechner. Das Programm muss nach dem Boot online gehen, um die Virendefinitionsliste zu aktualisieren. Leider erkennt das Avira Rescue System nicht jede Netzwerkkarte, von vielen WLAN-Adaptern ganz abgesehen. Das liegt nicht am Programm, sondern an den verbauten OEM-Netzwerkkarten.

Dann gäb es da noch die "Kaspersky Rescue Disk", für die bezüglich "Online gehen" das gleiche wie oben gilt. Bei aktiviertem UEFI hat sie ebenfalls ihre Boot-Probleme.

Als letztes möchte ich noch die "Bitdefender Rescue CD" nennen.

Alle genannten "Rescue Systeme" sind kostenlos entweder beim Hersteller oder im Downloadbereich der PC-Welt zu finden.

@ Seniorexperte:
Tipp:
Gescheite Sicherungssoftware, z. Bsp. Acrons True Image Home anschaffen und auf zweiter HDD (extern oder intern) sichern lassen (entsprechende Sicherungstasks anlegen).

Vorteile von Acronis:
- arbeitet während der Sicherung unter dem laufenden Windows in etwa wie ein Autoschlosser, der beim laufenden Motor die Zündkerzen wechselt
- während der Acronis Sicherung kann mit Windows weiter gearbeitet werden
- Sicherungstask können individuell zusammengestellt werden
- wer will, kann aus der Sicherungsdatei auch nur einzelne Dateien wiederherstellen.
Usw. usw.

Acronis True Image Home ist dem immer wieder mal in PC-Zeitschriften genannten Paragon Programm um Längen überlegen, besonders im Hinblick auf die Zeitspanne beim Wiederherstellen einer Partition größer 500 GB.

Wer sich für das zusätzlich erhältliche Plus Pack entscheidet, hat mit der u. a. darin enthaltenen 'Universal Restore' Funktion die Möglichkeit, sein Acronis Image des Windows Systems auf einem Rechner mit anderer Hardware wiederherzustellen.
Habe ich damit schon mehrmals und immer problemlos durchgeführt.

 

@Seniorexperte
Kleiner Nachtrag:
Das hier gerade gefunden:
http://www.feenders.de/ratgeber/exp...verschluesselte-dateien-wiederherstellen.html

 

Warum werden die Binsen A) bis F) immer und immer wiederholt? Ich meine nicht dich, aber es gibt Zeitgenossen, die ziehen mit diesen Weisheiten von Forum zu Forum und irgendwann kann man es nicht mehr hören.

Ich halte das für nicht sehr zielführend. Es besteht nämlich die Gefahr, dass der Leser denkt: "Ach schon wieder diese Sprüche!" und nicht weiterliest. Das wäre doch gerade bei deinem Beitrag ziemlich schade.

Das können andere auch, z. B. Norton Ghost.

 

Abgesehen davon, dass ich einige davon nicht einmal ansatzweise für nützlich halte, wiederholt man solche Dinge deshalb, weil nun mal leider sehr viele Leute nicht einmal Binsenwahrheiten verstehen, da sie sich um solche Dinge erst kümmern, wenn das Kind schon im Brunnen liegt.

Viele wissen weder, was Plugins sind, noch, welches wofür benötigt wird. Und dass veraltete Plugins mit ihren Lücken Drive-by-Infektionen Vorschub leisten, wissen und verstehen sie oft auch nicht, wenn man es ihnen nicht erklärt.

Was ich bedauerlich finde, ist, dass du zwar A-F als Binsenweisheiten abtust, aber einen Tipp wie "Systemwiederherstellung", der nun wirklich ausgesprochen fahrlässig ist, völlig unkommentiert lässt.

Nun, das Risiko besteht immer. Ganz egal, was man ihm antwortet. Was willst du dagegen tun, außer korrekte Infos zu liefern?

 

@ IRON67

Du hast #3 nicht verstanden.

Nö. Eben aus den von dir geschilderten Gründen hilft man fallbezogen und nicht durch eine Litanei von theoretischen Pseudo-Weisheiten. Letztere lassen zwar den Autor einen gewissen Boah-Effekt auf der Gallerie erhoffen, aber in der Sache nutzt das nix. Der unbedarfte User interessiert sich nicht für diese Sprüche, er will "den Virus weghaben". Der etwas erfahrenere Leser gähnt und klickt weiter.

 

Oh aber doch. Nur hilft deine Bemerkung gerade dem am wenigsten, der die Hilfe am dringendsten bräuchte. Du erreichst höchstens einen Boah-Effekt, um mal deine Worte aufzugreifen.

Warum das in deinen Augen veräppeln ist, legst du ja nicht dar.

Na so "Pseudo" sind die Weisheiten nicht. Pseudo heißt falsch. Einige der Punkte sind richtig, insbesondere das umfassende Aktuellhalten der Software. Und genau das vernachlässigen die Meisten.

Wenn du damit solche gähnenden User wie dich selbst meinst und du nicht helfen willst, solltest du aber diejenigen, die es tun wollen oder tun, in Ruhe lassen.

Angesichts eines Themas, das du selbst ins Leben gerufen hast, um klarzumachen, dass du Hilfeforen als solche sinnlos findest, stellt sich die Frage, wozu du dann hier eigentlich noch deine Meinung zum Besten gibst.

 

So ganz verstanden habe dein letztes Geschreibsel nicht. Liegt wohl an mir.

Bitte verstehe, dass ich auf endlose Bätsch-Ich-Habe-Recht-Battles keine Lust mehr habe. Das hatten wir schon hinter uns, bevor du "verschwunden" warst. Ich denke, unsere unterschiedlichen Meinungen zu dem Thema sind jetzt ausreichend dargestellt.

 

Korrekt. Acronis war auch nur als Beispiel gedacht (siehe Thread Text).
Obwohl ich Norton Fan bin:
Ghost 15.0, dessen 30 Tage Testversion ich an meinem Power-PC (i7, 16 GB RAM, 4 x 2 TB SATA, 2 GB Grafik, Win 7 Ultimate 64Bit, usw.) mal installiert hatte, arbeitete bei einigen Aufgaben leider nicht so Ressourcen schonend wie die 2013er Acronis Version.

Warum soll der fahrlässig gewesen sein? Hältst du mich für verbl...?

Die Komplettsicherung des Systems (auf externer USB-Festplatte) war 6 Tage alt und stammte definitiv aus der Zeit vor dem BKA-Trojaner Befall. Die persönlichen Dateien hatte mein Kumpel sinniger Weise auf der 2ten SATA-Partition abgelegt.

Logisch (weil ja nicht blö..) wurde die externe USB-Platte (die darauf befindliche Systemsicherung = zum Glück ein Vollbackup der Systempartition) vorher auf Befall geprüft.
Eingesetzt hierfür: Mein Notebook mit darauf befindlicher und Minuten aktueller "Business Schutzsoftware", die sich Endanwender nie leisten würden (kostet an die 200 €). Ergebnis: 9 erkannte und entfernte Schadcodes.

Es konnte sogar nachvollzogen werden, warum es zum BKA-Tojaner Befall gekommen ist:
Über ein vorher gespieltes Online Spiel und die total veraltete JAVA Version, über die sich der Trojaner anscheinend einschleichen konnte
Die installierte Virenschutzsoftware war zwar eine ehemals vom Rechner Hersteller vorinstallierte (und gemäß aktuellem AV-Test untaugliche Suite - deren Herstellername ich lieber nicht nenne), wurde aber vom Kumpel nach der kostenlosen Testphase nie als "Vollversion" aktiviert, weil sie dann Geld kosten sollte.

Die Systemwiederherstellung (ohne am Rechner eingestecktes Netzwerkkabel) durchgeführt.
Die veraltete und untaugliche Suite entfernt (wie und womit, wird nicht verraten), Registry bereinigt, Temp-Dateien gelöscht, Cache geleert usw., die vorher mit meinem Notebook auf USB-Stick gezogene und gemäß akutellem AV-Test taugliche Suite (voll funktionsfähige Testversion) installiert, deren vorher auf USB-Stick gezogene und tagesaktuelle Virendefinitionsliste manuell installiert, Rechner neu gestartet (mit angeschlossenem Netzwerkkabel), die Suite fertig installiert und aktiviert, damit nochmals vollständigen Scann (als Funktionstest) durchgeführt. Ergebnis: Keine Funde. Alle relevanten Programme mittels USB-Stick (weil darauf die aktuellsten Versionen sowie Windows Programm Updates, z. Bsp. für MS-Office) aktualisiert.

Frage:
Was soll deiner Meinung nach da ein fahrlässiges Handeln gewesen sein?
Freue mich über jeden nachvollziehbaren und schlüssigen Vorschlag, der sicherlich auch anderen helfen könnte.

 

Das kann ich nicht beurteilen. Aber danke für den Hinweis. Ich bin mit Ghost eigentlich immer sehr gut gefahren und habe von den Backups im Hintergrund nichts gemerkt.

edit
Geronimo hat wieder zugeschlagen. Beitrag gehört hinter #14
Zu deiner Frage bekommst du sicherlich eine ausführliche Antwort von dem User, an den du sie gestellt hast.

 

Kommt drauf an, was ich noch so von dir lese.

Microsoft: Mit der Systemwiederherstellung werden die Systemdateien und Programme auf dem PC auf einen Zeitpunkt zurückgesetzt, zu dem alles ordnungsgemäß funktionierte. [...] Sie hat keinerlei Auswirkungen auf Ihre Dokumente, Bilder oder anderen Daten. [...] Die Systemwiederherstellung wirkt sich auf Windows-Systemdateien, Programme und Registrierungseinstellungen aus.

Das bedeutet, dass sie auch keinen bzw. nur minimalen Einfluss auf installierte Malware hat. Sie kann Malware nicht aus dem System entfernen.

Was kannst du mir über die Zahl der nicht erkannten sagen? Achtung, das ist eine Fangfrage. Bei aktueller Malware liegt die Erkennungsrate bei unter 40% und täglich kommen ca. 1,1 Mio. neue Varianten in Umlauf.

Was heißt "sogar"? Das ist doch nichts besonderes. Eins der verbreiteten Plugins musste es ja gewesen sein und Java-Exploits machen derzeit 56% der Drive-by-Infektionen aus.

Und das hältst du für ausreichend? Na dann...

 

Ich noch mal

Jo, das ist richtig. Zumindest ist diese "Methode" extrem unsicher. Entscheidend ist dabei, wo die Malware ausgeführt wird.

Na ja, das hilft so nicht wirklich weiter. Wenn man diese Aussage zu Ende denkt, können ja auch 60% der Rechner infiziert sein, bei denen kein Virenwächter gekläfft hat. Falls ein Malwarebefall feststeht, hast du jedoch in der Tat gute Chancen, dass nicht alles gefunden wird. So halbwegs verlässlich lässt sich das nur vor Ort und nicht in Foren feststellen.

Nö. Ist aber auch in deinem Fall egal.

 

Entscheidend ist, OB sie ausgeführt wurde. Wenn das erstmal feststeht, ist das Thema gegessen. Das WO ist reichlich egal.
Und das OB kann man durchaus auch feststellen, ohne vor Ort zu sein.

Wenn dann 100%. Aber dann müssen auf diesen Rechnern auch die technischen Voraussetzungen für eine Infektion vorhanden sein. Wenn Java deaktiviert oder nicht installiert ist, funktioniert ein Java-Exploit nicht.

Gibts da auch eine rationale Erklärung, die dein "Nö" irgendwie relevant macht?

 

Lies dir die Frage noch mal in Ruhe durch. Du wirst feststellen, dass diesmal der -ansonsten richtige- Spruch nicht passt.

Eben. Und warum jonglierst du dann in #15 mit den (übrigens unbelegten) Zahlen rum?

Es ist einem Betroffenen völlig wurscht, ob von Java-Exploits angeblich 56% der Drive-by-Infektionen ausgehen. Aber er ist von diesem Wissen sicherlich sehr, sehr beeindruckt.

So, du gibst ja eh nicht Ruhe, bis du meinst, dass du Recht hast. Ich mache hier jedoch mal EOD.

 

Nö. Der passt immer.

Unbelegt, ja? Wie kommst du drauf, ich jongliere?

Sollte es ihm aber nicht. Wer weiß, welche Lücken in Software vorrangig durch Exploits für Drive-by-Infektionen genutzt werden, versteht auch besser, wie wichtig es ist, die Plugins zu aktualisieren oder sogar auf sie zu verzichten.

 

Du machst es einem wirklich nicht einfach.

Also noch mal gaaaaaanz langsam:

Du schriebst:

Ich wandte ein, dass diese Zahl irrelevant sei:

Dazu schriebst du dann:

Also, was soll das? Ich habe auch nicht geschrieben, dass die Zahlen unrichtig seien, die du dir da zusammengegoogelt hast. Aber zum einen hattest du keine Quellen genannt und zum anderen waren die Zahlen für die Problemlösung völlig irrelevant.

Aber jetzt ist wirklich meinerseits Schluss.