*.locked hat meine Firma befallen

1234David · 26.12.2013, 14:50

Hallo,
wie der Titel schon sagt sind nähmlich plötzlich in unserem Netzlaufwerk alle seriösen Dateiformate mit der Datenendung .LOCKED versehen. In deren Inhalt wurde nach den ersten 82 Zeichen alle weiteren Informationen Verschlüsselt.
In fast jedem Verzeichnis war eine zusätzliche Datei mit der Bezeichnung "README TO UNLOCK.txt". Dort wurde in englischer Form mitgeteilt, dass man sich mit der ID... an die Webseite hxxp://. .. wenden sollte.
Nur leider habe ich bereits alle Ransomware-Entschlüsselungsprogramme ausprobiert, die aber leider nicht den gewünschten Erfolg brachten.

Kennt jemand eine Entschlüsselungssoftware, die diese Art der Verschlüsselung kennt?

P.S.: Ich hab zwar die Methode mit der Originaldatei und der verschlüsselten Datei angewandt, jedoch konnte ich nur mit dem generiertem Schlüssel die Datei richtig entschlüsseln, mit der der Schlüssel generiert wurde.

cosinus · 26.12.2013, 22:55

Hallo und

Zitat:

Kennt jemand eine Entschlüsselungssoftware, die diese Art der Verschlüsselung kennt?

Nein, gibt es nicht. Wenn die besagten Tools nicht helfen und du auch keine Schattenkopien hast sieht es düster aus.
Wieso macht deine Firma eigentlich keine Backups?

1234David · 26.12.2013, 23:03

Vom Server wurde am Vortag eine Sicherheitskopie gemacht. Doch das Netzlaufwerk war mehr dazu gedacht es zu nutzen, um die Daten anderen Personen und von jedem PC zugänglich zu machen.

cosinus · 26.12.2013, 23:06

Zitat:

Vom Server wurde am Vortag eine Sicherheitskopie gemacht

Und wie? Wenn du eine Sicherheitskopie vom kompletten Server hast, sind ja alle Daten von diesem Zeitpunkt an noch da.

Zitat:

Doch das Netzlaufwerk war mehr dazu gedacht es zu nutzen, um die Daten anderen Personen und von jedem PC zugänglich zu machen.

Genau das ist Sinn und Zweck eines Fileservers.

1234David · 26.12.2013, 23:35

1. Woher willst du denn wissen wie unser System läuft?
2. Server uns NAS-Laufwerk sind nicht das selbe.

Es haben sich halt unglücklicherweise alle möglichen Daten im Netzlaufwerk angesammelt.

cosinus · 26.12.2013, 23:49

Zitat:

1. Woher willst du denn wissen wie unser System läuft?

Richtig. Woher soll ich das bei deinen Infos wissen

Zitat:

2. Server uns NAS-Laufwerk sind nicht das selbe.

Achso. Auf einem NAS läuft also kein Serverdienst. Dann verrate mir mal wie er in der Lage ist, Dienste bereitzustellen.

Zitat:

Es haben sich halt unglücklicherweise alle möglichen Daten im Netzlaufwerk angesammelt.

Dann gibt es keine Schattenkopien - und auch keine Backups? Wie gesagt, wenn die genannten Tools nicht helfen sind die Daten weg.

1234David · 27.12.2013, 09:31

Dafür musst du auch nicht viel wissen. Fakt ist: Ein GVU-Trojaner der Kategorie Ransomware hat unsere Daten verschlüsselt, die wir momentan nicht wieder öffnen können.

cosinus · 27.12.2013, 16:15

Richtig, und Fakt ist es, dass wenn kein Tool hilft, du deine Daten abschreiben kannst.
Wieso macht ihr nicht von allen Bewegungsdaten Backups?

1234David · 27.12.2013, 16:22

Ich bin nicht der Chef der Firma. So etwas sollte ohnehin in den aller seltensten Fällen vorkommen. Wer rechnet schon damit was für ein Schaden jeder xbeliebige Virus verursacht. Ich würd mal sagen du machst selbst von deinen kleinsten Datenträger backups.

cosinus · 27.12.2013, 16:25

Was heißt hier von den kleinsten Datenträgern...es wird definiert welche Daten wohin gespeichert werden sollen, also welches Netzlaufwerk. Und von allen Freigaben werden Backups gemacht, täglich. Die lokalen Festplatten der einzelnen Clients interessieren nicht, da die Leute die Anweisung haben alles wichtige auf den Netzlaufwerken zu speichern.

1234David · 21.02.2014, 15:34

Hallo,
ich meld mich mal wieder. Und zwar hat uns schlussendlich unser Antivierenanbieter GData bei der entschlüsselung unterstützt.

Wenn jemand den selben Virus hat bzw. "Your ID# is 48023940" , kann er sich per PN bei mir melden.

Grüße

cosinus · 21.02.2014, 16:19

Macht GDATA das für lau?

Haben die ein Entschlüsselungstool öffentlich zur Verfügung gestellt? Wäre mir neu.

1234David · 21.02.2014, 16:28

Die hatten uns das Programm über einen Link weitergegeben, welches mit einer Zusatzdatei die die Informationen der Verschlüsselung beinhaltete, gestartet wurde.

Ich weiß nicht ob das Programm für so lau gemacht haben, da wir ja bei denen Kunde sind.

cosinus · 21.02.2014, 16:30

Wie es der Zufall will lese ich gerade das hier auf Heise.de => Erpressungs-Trojaner Bitcrypt geknackt | heise online

1234David · 21.02.2014, 16:40

Nun, dies ist leider ein anderer Virus von dem dort die Rede ist.

27.12.2013, 16:15	#8
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	.locked hat meine Firma befallen Richtig, und Fakt ist es, dass wenn kein Tool hilft, du deine Daten abschreiben kannst. Wieso macht ihr nicht von allen Bewegungsdaten Backups? __________________ Logfiles bitte immer in CODE-Tags posten*

21.02.2014, 16:19	#12
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	.locked hat meine Firma befallen Macht GDATA das für lau? Haben die ein Entschlüsselungstool öffentlich zur Verfügung gestellt? Wäre mir neu. __________________ Logfiles bitte immer in CODE-Tags posten*

21.02.2014, 16:30	#14
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	.locked hat meine Firma befallen Wie es der Zufall will lese ich gerade das hier auf Heise.de => Erpressungs-Trojaner Bitcrypt geknackt \| heise online __________________ Logfiles bitte immer in CODE-Tags posten*

*.locked hat meine Firma befallen

Plagegeister aller Art und deren Bekämpfung: *.locked hat meine Firma befallen