Verschlüsselungs-Virus

  • Hab mir leider ein Trojaner (Djvu) installiert, der meine Diskstaton und Windows Daten verschlüsselt hat.
    Von Win7 aus.. Alle Daten enden jetzt mit .tyos
    Fuck!
    Werd jetzt neuinstallieren.

    Aber wie könnte ich die Daten auf der Synology noch retten..? (RAID5)
    Denk mal die Spiegelung ist ebebso verschlüsselt.


    Jemand ne idee?


    Gruß

  • Aber wie könnte ich die Daten auf der Synology noch retten..? (RAID5)
    Denk mal die Spiegelung ist ebebso verschlüsselt.

    Soweit mir bewusst ist, gar nicht.

    Services wie reclaim können nur Daten von defekten Datenträgern retten. Nicht aber, wenn die Daten verschlüsselt wurden. Dann ist einfach essig.

    Falls dir Angebote gemacht werden, die du bezahlen sollst, dann würde ich davon absehen das Geld anzuweisen.


    Von Win7 aus..

    Windows 7 ist schon seit 2020 EOL (End of Life) und bekommt keine Sicherheitsupdates mehr. Ich hoffe, du hast daraus gelernt und hast die Windows 7 Maschine endgültig über den Jordan geworfen. Das Update von Windows 7 zu Windows 10 ist kostenlos gewesen.


    Werd jetzt neuinstallieren.

    Hoffentlich kein Windows 7 mehr ;)

  • OH Nein, sag nicht Essig..
    Aber ich befürchte fast, das ist so.

    8TB Daten.. Ich könnt sowas von kotzen!!!!

    Bin aber auch so dämlich und öffne ungeprüft eine sehr fragwürdige .exe Datei.
    Allerdings mitten in der Nacht, nach Bier usw. Machts auch nicht besser.
    Aber dann gleich sowas, wenn man einmal nicht richtig aufpasst.

    Hab jetzt jedenfalls alle Computer (die AN waren) im Heimnetz neu installiert.
    Router neu gestartet.
    Die NAS lass ich mal stromlos in Ruhe stehen. Vlt gibts doch noch ne Möglichkeit was zu machen. Hoffe sehr.

    Und Ja. Ich muss irgw auf Win10 switchen, wobei mich das wohl auch nicht davon abgehalten hätte so einen Karl-Heinz zu bauen!

  • https://malwaretips.com/blogs/remove-s…cover_the_files


    Mal sowas probiert?
    Es gibt verschiedene Decryptor.

    Aber es kann auch sein, dass die Daten danach endgültig hin sind.

    Das wichtigste sind jetzt saubere und aktuelle PCs,damit das nicht wieder passiert.
    Und ein backup Konzept.

    Z.b. auf ein share wo windows nicht zugreifen kann

    Haupsysteme: Server: Asrock N3160ITX, Ubuntu 24.04, TvH /// DVBSky 952 /// Wohnzimmer: Nvidia Shield Pro 2019
    Nebensysteme 1: Telestar Digibit R1 mit sat-axe25 /// Wohnzimmer: Asrock N3700, Libreelec 12 /// TvH @RPI4 Server /// Gästezimmer: Corelec 2 Tanix TX3
    Nebensysteme 2: Server: Asrock N3455M, OpenMediaVault7, TvH, Telestar Digibit R1 /// 4 Clients: Coreelec S905X

  • siehe Beitrag 4. Per mail was bekommen. Aktuell wird dafür auch gerne ein OneNote Anhang genutzt

    das Einzige was am Ende zählt ist
    dass ihr lebt was ihr liebt und liebt wofür ihr lebt


    Kodi HTPC - W11 | AMD Athlon 3000G | Pioneer A 504R Bj. 96
    OMV NAS - NAS | Emby Server | LogitechMediaServer
    3x Logitech SqueezeBox & 3x RasPi PiCorePlayer
    Unifi Netzwerk | Sophos XGS Firewall | Agfeo TK | Kentix Security
    Loxone SmartHome

  • @RextheC wenn du vorher schon auf Win10 gewechselt hättest, wäre die exe-Datei wahrscheinlich schon von Windows als entsprechend gefährliche Datei erkannt worden.

    Der Windows Defender ist tatsächlich gut. Wenn du (gefühlt) noch ein wenig mehr Sicherheit ohne Performance-Verlust haben möchtest, kann ich dir ESET Internet Security empfehlen.

    Weiter hätte dir noch helfen können Windows nicht als Admin zu betreiben. Das hätte nach dem Klick auf die exe-Datei ein Passwort verlangt bzw kann man so auch Netzwerk-Aktionen einschränken. Ein System als Admin zu betreiben ist zwar bequem, weil man keine Passworte mehr eingeben muss, bringt aber auch Gefahren mit sich.

    Leider muss erst das Kind in den Brunnen fallen bevor man sich darüber Gedanken macht, ich hatte auch schon so ein Kind. Du bist also nicht allein ;) . Bei mir wurde damals eine TAN gephisht. Ist aber gut ausgegangen. Anderes Thema.

    Lernen daraus und setz dein System sicherer auf. Und ja....don't drink and root ;)

  • Bei mir läufts halt grad..

    Tja, wie man sich sowas einfängt?
    Wenn man was aus Grauzonen downloaded und einfach drauflos klickt.

    Hab einen Laptop und meine Diskstation erstmal eingemottet, einen PC neuinstalliert.
    Router kann glaub ich nix abbekommen haben?!

    Ich schau mir mal die decrypter an. Es gibt einige wenige Verschlüsselungs-Viren die schon geknackt wurden.
    Das ist momentan meine einzige Hoffnung.
    Und die stirbt bekanntlich zuletzt.

    greetz

    p.s Achso ja, eins noch:

    Externer Inhalt www.youtube.com
    Inhalte von externen Seiten werden ohne Ihre Zustimmung nicht automatisch geladen und angezeigt.

    THE TRUTH IS OUT THERE

    Einmal editiert, zuletzt von RextheC (26. März 2023 um 17:55)

  • Moin,

    du hast folgende Möglichkeiten, an die verschlüsselten Daten zu kommen:

    1. Wiederherstellung aus einen funktionierendem (nicht verschlüsseltem) Backup
    2. Erpressern Lösegeld bezahlen und Dateien entschlüsseln
    3. Warten, bis es ein Tool zum Entschlüsseln deines Verschlüsselungstrojaners gibt.
      Kann mal schnell gehen, kann aber auch mehrere Jahre dauern oder nie klappen.
      IdR haben dann Strafverfolger die jeweilige Bande ausgehoben oder AV-Spezialisten haben Fehler im Verschlüsselungstool gefunden und stellen passende Entschlüsselungsprogramme allen Betroffenene meist frei zur Verfügung.

    Ein Backup scheinst du nicht zu haben.
    Das Bezahlen von Lösegeld ist einen Kosten-Nutzen-Rechnung.

  • Da sieht man, dass RAID5 eben kein BackUp ist.

    Zur Vorbeuge habe ich folgende Maßnahmen umgesetzt:
    * Auf mein Datenarchiv haben Netzwerkrechner gar keinen schreibenden Zugriff. Wenn da was rein muss läuft das über einen Transferordner und ich schiebe das über einen WebGUI-Dateimanger ins Archiv (CloudCommander als Docker)
    * Daten mit den Rechnern werden über ResilioSync synchronisiert und dann mit Duplicati sowohl ins Datenarchiv wie auch verschlüsselt auf einen Onlinespeicher gesichert.
    * Zusätzlich will ich das BackUp aus dem Datenarchiv gelegentlich auf zwei externen HDD speichern. (Einer dieser Datenträger lagert auch immer außer Haus)

    ToDo:
    * mal endlich wieder auf die ext. HDD speichern
    * den Zettel mit den Passwörtern für den Onlinespeicher suchen (bzw. neu anlegen) *sic*

    Merke:
    So ein Verschlüsselungstrojaner kann auch irgendwo eine Sicherheitslücke finden - auch in einem aktuellen System & ohne Adminrechte. Also muss man so gut es geht verhindern, dass das Mistvieh irgendwo rankommt. Die Lösung um die Daten möglichst aktuell zu halten ist hier halt dass der schreibende Zugriff nur über Umwege möglich ist. Der ganz sichere eben mit offline-Datenträgern aktualität des Updates ist halt hier abhängig von der eigenen Disziplin.

    Zitat von root2

    Merke: Das "S" in "IoT" steht für Sicherheit!

  • @da_user Interessantes Konzept. Darf ich mal nachfragen, wie das genau geht: Auf das Datenarchiv haben Netzwerkrechner keinen schreibenden Zugriff. Duplicati sichert die Resilio-Sync-Daten aber auf das Datenarchiv??

    D.h. der Zugriff über das Netzwerk ist da und es wird nur über User-Berechtigungen gesteuert? (im Prinzip wie damals in einem c't-Artikel vorgeschlagen).

  • Ja genau, hier wird eine Cryptowährung verlangt, oftmals BitCoins. Je nach Kryptotrojaner bekommt man hierbei auch Unterstützung falls man mal nicht weiß, wie so etwas funktioniert. Bei den größeren Jungs gibt es sogar eine Telefonhotline mit Fernwartung die hierbei hilft.
    Kein Scheiß, ist wirklich so.
    Wie man das dann mitbekommt / Die Infos bekommt? Unterschiedlich - entwender über viele Auffällige Textdateien überall wo alles drin steht, über einen Sperrbildschirm der dir das anzeigt bis hin zu Popups im Brwoser oder Windows die sogar einen Chat starten können.

    das Einzige was am Ende zählt ist
    dass ihr lebt was ihr liebt und liebt wofür ihr lebt


    Kodi HTPC - W11 | AMD Athlon 3000G | Pioneer A 504R Bj. 96
    OMV NAS - NAS | Emby Server | LogitechMediaServer
    3x Logitech SqueezeBox & 3x RasPi PiCorePlayer
    Unifi Netzwerk | Sophos XGS Firewall | Agfeo TK | Kentix Security
    Loxone SmartHome

  • Ich muss meinen unRaid auch noch mal so aufsetzen das kein Rechner per SMB etc. auf Ihn schreiben darf sondern das der Server sich benötigte Daten "zieht".
    Oder wie gesagt nur ein Transferordner offen ist.

    Dann kann ein verschlüsselungstrojaner wenigstens nicht ganz so einfach direkt das komplette NAS verschlüsseln wenn ein Client befallen wird.
    Aber gut, die anzahl meiner Windows Clients ist auch begrenzt.

    Am besten man gibt garnicht mehr den Tipp auf Linux umzusteigen damit man als Linuxuser noch möglichst lange Ruhe hat.

  • Ich hab dafür User als Sicherheit dazwischen.
    Der eine darf schreiben, der andere nur Lesen. Nachteil ist halt das ich mich ummelden muss zum Beschreiben.

    --------------
    Guides nicht mehr verfügbar wegen Youtube unvermögen guten von schlechten Kodi Videos zu unterscheiden.

  • @da_user Interessantes Konzept. Darf ich mal nachfragen, wie das genau geht: Auf das Datenarchiv haben Netzwerkrechner keinen schreibenden Zugriff. Duplicati sichert die Resilio-Sync-Daten aber auf das Datenarchiv??

    D.h. der Zugriff über das Netzwerk ist da und es wird nur über User-Berechtigungen gesteuert? (im Prinzip wie damals in einem c't-Artikel vorgeschlagen).

    Das Konzept ist tatsächlich an das von der c't angelehnt.
    Das "Datenarchiv" ist mein OMV-Server. Auf dem läuft dann auch Duplicati und sichert alle Daten die per Resilio-Sync von den "Clienten" reinkommen. Dadurch braucht Duplicati gar keinen Netzwerkzugriff.

    In einer früheren Version lief Duplicati auf dem Client (damals nur einer) und hat per FTP mit separaten Nutzer/Passwort auf den OMV geschoben. Wird aber unübersichtlich, wenn man mit mehreren Clienten arbeitet und dann auch noch zwei BackUp-Ziele hat.

    Zitat von root2

    Merke: Das "S" in "IoT" steht für Sicherheit!

  • ich nutze Rsync um von allen REchner neue Daten auf meinen Servern zu schieben (Deltacopy). Es gibt keine Sambamounts zu diesem Verzeichnis. (/Backup)
    Dort werden diese per rsnapshot 7 Tage, 4 Wochen, 6 Monate per Linuxlinks in Versionen aufgeteilt.

    Duplicati sichert das ganze dann noch in Richtung Internet auf einen anderen Server einmal pro Woche.

    Haupsysteme: Server: Asrock N3160ITX, Ubuntu 24.04, TvH /// DVBSky 952 /// Wohnzimmer: Nvidia Shield Pro 2019
    Nebensysteme 1: Telestar Digibit R1 mit sat-axe25 /// Wohnzimmer: Asrock N3700, Libreelec 12 /// TvH @RPI4 Server /// Gästezimmer: Corelec 2 Tanix TX3
    Nebensysteme 2: Server: Asrock N3455M, OpenMediaVault7, TvH, Telestar Digibit R1 /// 4 Clients: Coreelec S905X

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!