Hallo,

ein bekannter von mir hat sich einen Lösegeld-Trojaner eingefangen.
Dieser hat sämtliche Dateien anscheinend mit RSA 2048 verschlüsselt.

Der Computer lässt sich normal einschalten.
In jedem Ordner liegt eine .txt Datei die besagt wie gezahlt werden muss.
Auffallend ist auch, dass nur "gängige" Dateien wie z.B.: Office, pdf, usw. verschlüsselt wurden. Dateien wie .rtf oder Sicherungen eines Buchhaltungsprogrammes wurden nicht verschlüsselt.
Die zu entschlüsselten Daten liegen alle auf einem Netzlaufwerk, der PC könnte ohne Umstände neuaufgesetzt werden.

Gibt es hier eine Lösung diese Dateien wieder zu entschlüsseln?

Zuvor gepostet auf www.computerbase.de, die mich an euer Trojaner Board verwiesen haben.
@edit: Macht es Sinn den befallene PC einzuschalten und eure Analysetools laufen lassen, oder sollte ich ihn lieber nicht einschalten?
Mfg


Im Anhang die txt Datei.

Hi,

keine Chance zu Entschlüsseln.

Hi,

danke für deine schnelle Antwort.

Besteht auch keine Chance, dies mit TeslaDecoder zu entschlüsseln?
Alle Dateien enden auf .ccc, falls dies weiterhelfen könnte.

Hat den jemand Erfahrungen, wie hoch die Wahrscheinlichkeit ist, dass bei Zahlung die Daten entschlüsselt werden?

Lg

wenn es die Endung ccc ist ist es Tesla, du kannst also auf eigene Gefahr den Decoder versuchen.
Obs klappt steht auf einem andern Blatt. Zum Bezahlen weiß ich nichts, vereinzelt hört man es klappt, dann wieder nicht.

Den Tesla Decrypter hab ich schon probiert nur ohne Erfolg.
Da anscheinend bei einer .ccc Endung der zweite Key, extern auf einem anderen Server gespeichert wird.

Was ist denn das für ein Netzlaufwerk? Was für ein Server stellt das bereit? Windows Server? Wenn ja, schau mal, ob die Schattenkopien aktiv sind.

Übrigens sichert man die Bewegungsdaten besonders auf Fileservern am besten täglich.

Es ist ein Netzlaufwerk von Buffalo, welches auf RAID 1 lief.
Da der Bekannte, den Befall nicht merkte und der Computer den ganzen Tag lief, konnte sich der Trojaner ohne Probleme im ganzen Netzwerk ausbreiten.
Zusätzlich führte er noch eine externe Datensicherung auf einen USB durch, der somit auch infiziert wurde.

Eventuell gibt es eine Schattenkopie auf dem USB?

Nein, das ist ein Feature vom Betriebssystem Windows auf interne Datenträger mit NTFS. Nix mit USB-Sticks.

RAID1 hilft hier auch nix weiter. Aber leider verwechseln immer noch zuviele Leute RAID1 mit einem Backup denn ein mirror soll nur Hochverfügbarkeit bei Plattendefekten gewährleisten.

Genau aus diesem Grund wurde RAID 1 gewählt, um bei einem Plattendefekt noch Daten zu haben.

Bestünde die Möglichkeit das durch ein Recovery Tool Daten vom USB bzw. Netzlaufwerk zurückgeholt werden könnten?

Gegen RAID1 ist ja auch nix einzuwenden. Wenn ne Platte abraucht sind die Daten auf der anderen Platte noch da. Nur hilft das nix gegen Änderungen im Dateisystem, welches ja gleichzeitig auf allen involvierten Platten liegt.

Ohne Backup ist man aufgeschmissen. Da gibt es auch kein Recoverytool. Denn das muss ja direkt auf dem Gerät ausgeführt werden, das auch die Platten und die shares bereitstellt. Auf NAS läuft immer ein Speziallinux, ich weiß nicht wie Buffalo das handhabt, aber die meisten Hersteller wollen nicht, dass ihre User auf ihren Geräten per ssh oder so auf die Konsole kommen. Selbst wenn ihr als superuser (root) drauf seit, muss ein recoverytool gefunden werden das auch auf dem Speziallinux läuft - ob es dann überschriebene/veränderte Dateien recovern kann steht wieder auf einem ganz anderen Blatt, ich denke die Chancen sind ganz schlecht.

Wie gesagt, ohne Backup steht man ganz schlecht da. Wenn ihr die Daten zurück haben wollt, müsst ihr die Kohle für den private key abdrücken.

Und für die Zukunft an ein besseres Backupkonzept denken. Was macht ihr denn wenn das NAS abkachelt? Platten aus einem NAS in RAID Konfig lassen sich idR nicht einfach so auslesen!