Hallo Leute,

ich habe vor mir einen PC eines Bekannten der nach dem Einschalten ein Bild mit dem Text öffnet das die Daten verschlüsselt wurden und man eine Mail an sos@decryptfiles senden soll um die Daten wieder entschlüsseln zu können.

Das habe ich natürlich nicht gemacht!

Auf dem PC befinden sich eigentlich sehr wichtige Daten und es gibt wie üblich keine Datensicherung

Soweit ich gesehen habe wurden alle *.pdf und alle Office Dateien verändert/verschlüsselt!

Ich habe gesehen das sich der Virus über Netzlaufwerke auch verbreitet da ein zweiter PC auch davon betroffen ist -> aber nur die Daten die übers Netz erreichbar sind/waren!

Ich will eigentlich keine USB Stick oder Externe Festplatte anschließen da ich nicht will das sich der Virus dann auch darauf verbreitet und dann noch mehr Rechner infiziert!
Auch ins Internet kann ich zurzeit nicht da er sich sonst in meinem Netzwerk womöglich auch ausbreitet!

Gibt es eine Lösung wie man die Daten wieder entschlüsselt bekommt?
Zurzeit läuft gerade Kaspersky (Rescue Disk) und bei 53% hat er jetzt schon 10 Viren gefunden.
Ich bezweifle jedoch das nach dem entfernen der Viren die Daten wieder entschlüsselt sind!

Habt ihr schon Erfahrungen mit diesem Virus?

Danke für eure Hilfe

Hi,

eine Bereinigung ist unter Umständen möglich, eine Entschlüsselung nicht.

Siehe auch => Empfehlung des FBI: Bei Erpressungs-Trojanern klein beigeben und einfach bezahlen | heise online

Wenn die Daten unverzichtbar sind...

Danke für die schnelle Antwort.. echt mies sowas

Das Problem ist gelöst!
Nur falls jemand das selbe Problem haben sollte:

1) Kaspersky Rescue Disk runterladen
2) Auf CD brennen oder bootfähigen USB Stick erstellen
3) Von CD/USB booten
4) Laufwerk mounten
5) Terminal öffnen und "Windowsunlocker" eintippen und mit Enter bestätigen
6) 1 drückern!
7) Virensuche starten
8) Neustarten
9) ShadowExplorer runterladen und installieren
10) Die verschlüsselten Dateien wiederherstellen!

Habe so alle Daten gerettet!!
Viel Glück

Der Shadow Explorer entschlüsselt aber nix. Damit kann man "nur" in die Schattenkopien schauen. Nennt Windows auch gerne Vorgängerversionen.

Wenn der Schädling mit Adminrechten ausgeführt wird, helfen meistens auch die Schattenkopien leider nicht mehr weiter, da die Malware versucht diese zu löschen.

Das der ShadowExplorer nicht entschlüsselt weiß ich! Deshalb ja verschlüsselte Dateien Wiederherstellen!

Wenn man mit Kaspersky den Virus findet und entfernt müsste er ja weg sein oder? Dh er kann sich ja auch nicht mehr mit Adminrechten starten!

Also wenn die Schattenkopien gelöscht wurden dann ist natürlich schwierig noch was zu machen aber in meinem Fall hat es jedenfalls geklappt!!!

An dieser Stelle mal ein großes Lob an das Forum hier! Die Antworten kommen echt sehr schnell!

Ich habs ja nur geschrieben, damit niemand auf die Idee kommt sich zu beschweren, dass der Shadow Explorer bei demjenigen nix entschlüsselt.

Ach ok

Naja das Thema kann eig geschlossen werden! Danke für alles