Hallo!

Ich habe hier ein Notebook - Windows 7 Ultimate - mit dem neuesten BKA Trojaner 1.14.

https://www.bsi.bund.de/SharedDocs/Bilder/DE/BSIFB/Schadprogramme/GVU-BSI-Trojaner-Datei-verschluesseln.png;jsessionid=AA19D3E58515D5FD133EE93D0F2C8B6C.2_cid251?__blob=poster&v=2

Der Kollege hat eine Rechnungsmail mit Anhang bekommen und natürlich den Anhang geöffnet.

So wie ich gelesen habe, soll man am besten nichts mit dem System machen, da es noch keine Entschlüsselung gibt und man für eine eventuelle Verschlüsselung die Original-Festplatte samt dem Originalschädling braucht.
Daher gibt es auch keine Protokolle.

Meine Fragen/Ideen:
1. Der Kollege will sein Notebook schnell wieder, da er damit arbeiten muß. Er würde auch erst mit einem relativ blanken System arbeiten.
Könnte man da nicht mit einem Image arbeiten, das man auf die Originalfestplatte zurückspielt, falls es eine Entschlüsselung gibt?

2. Wäre es möglich mit einer externen Systemwiederherstellung über UBCD zu arbeiten und so das System zu reaktivieren und dann die Dateien zu retten?

3. Infiziert wurde der Rechner in der letzten Woche - bekannt sein soll diese Variante schon ein paar Wochen.
Da frage ich mich, warum die AV-Software das Dingen nicht erkannt hat - sollte man eigentlich gerade vom Marktführer aus Russland erwarten - oder ist der Schädling so neu?

Danke sehr und schöne Grüße
Zingaro

Zitat:

Der Kollege hat eine Rechnungsmail mit Anhang bekommen und natürlich den Anhang geöffnet.

Eine Entschlüsselung ist unwahrscheinlich bis unmöglich!

Zitat:

3. Bei Dateien wie locked-<DATEINAME>.<ENDUNG>.wxyz entschlüsseln:Übersicht der 8 Entschlüsselungs-Tools
ansonsten Daten retten / Daten wiederherstellen: Daten retten nach Verschlüsselungstrojaner

Wenn das keine einfache Verschlüsselung mit "locked-" im Dateinamen ist, sollte man sich um Datenrettung und nicht um Entschlüsselung kümmern!
Wenn Vista oder Win7 im Einsatz sind, den ShadowExplorer testen! Aber keine unnötige Zeit mit Entschlüsselungsversuchen verschwenden