Ich weiß noch nicht wie man den Trojaner entfernt, aber ich konnte ein paar Daten retten.
Mir ist aufgefallen, dass die Dateien nicht gleich überschrieben wurden, sondern sie werden kopiert und mit Endung vvv versehen. Die Originaldateien werden dann scheinbar gelöscht. Das hat mich auf die Idee gebracht eine Undelete Software einzusetzen. Und siehe da, ein paar Daten wurden doch gerettet. Wichtig ist natürlich, dass der PC bis dahin NICHT verwendet wird.

Verwendet habt ich die kostenlose Version: RECUVA 1.52.1086 (64-bit) von www.Piriform.com.
Assistent verwenden und nicht vergessen beim letzten Dialogfenster die Checkbox "[] Tiefensuche aktivieren" einzustellen. Das dauert zwar lange aber er findend dann praktisch alles. :-)

Den Trojaner entfernen dürfte das geringere Problem sein. Mach dazu mal ein Thema im Unterforum "Plagegeister..." oder "Log-Analyse..." auf.
Allerdings wird dabei natürlich viel am PC gemacht und die Undelete-Möglichkeiten schrumpfen enorm.

Das ist richtig, aber Undelete sollte man auch vorher machen und das Ergebnis auf eine externe Platte speichern.

Die Dateien wurden dabei mehrfach gefunden.
RECUVA hat aber alle Versionen ( -1, -2, ...) abgespeichert.
Jetzt gehts an die Arbeit die doppelten zu löschen.
Ich schätze, dass wir 20-30% der verlorenen Fotos retten konnten.

Hallo Leute, entschuldigt, dass ich mich jetzt erst melde.
Ein Kumpel von mir - ein Linux Anhänger und seine Kollegen, helfen mir gerade.
Der Viren-Code wurde offenbar gefunden und es wird gerade ein Programm zur Entschlüsselung meiner Daten dafür geschrieben. Der Kollege wird sich auf meinen Wunsch hin, in diesem Forum dazu äußern und Euch mitteilen, was er konkret unternommen hat.
Danach werde ich jedenfalls mein System komplett auf Linux umstellen und Windows nur noch als Partizipation nutzen.
Angenehmen Freitag wünscht
Uli

Cool, da bin ich aber gespannt. Meine Tocher heult mir die Hucke voll, weil sie alle Fotos verloren hat. Naja ein paar konnte ich retten, aber leider nur ein paar.

Zitat:

Zitat von UlrichBerlin

... und Windows nur noch als Partizipation nutzen. ...

Wenn du Windows zum Spielen brauchst, bietet sich DualBoot an. Wenn du hingegen Windows für Steuererklärung brauchst, dann nieten sich virtuelle Maschinen an (Virtualbox, VMWARE Player). Damit kannst du Windows unter Linux parallel starten. Feine Sache.

https://de.wikipedia.org/wiki/VirtualBox


Mit der Entschlüsselung kann ich mir kaum vorstellen, dass die das hinkriegen. Wenn ja: Superleistung, Respekt! Viel Erfolg dabei, das kann anderen wirklich helfen, wenn das klappen würde.

Hallo!
Ich habe mir das gleiche eingefangen.... und verfolge die Problemlösung hier gespannt!
Danke an alle, die sich hier beteiligen!
Gibt es eine Chance die verschlüsselten Dateien zu retten? Bei mir sind alle .doc, .pdf, .xls und .jpeg-Dateien befallen (auf den ersten Blick). Hatte ebenfalls völlig blödsinnig die externe Festplatte am PC hängen (!). Outlook funktioniert reibungslos, genauso wie Internet und Betriebssystem (na klar).

Ich erlaube mir mal meinen mbar-log anzuhängen:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Rootkit BETA 1.9.3.1001
www.malwarebytes.org

Database version:
  main:    v2015.12.04.01
  rootkit: v2015.11.26.01

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 11.0.9600.18097
AW :: ISABELLA-PC [administrator]

04.12.2015 10:49:31
mbar-log-2015-12-04 (10-49-31).txt

Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken
Scan options disabled: 
Objects scanned: 453046
Time elapsed: 54 minute(s), 4 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 1
C:\Users\IW\AppData\Roaming\wljbi-a.exe (Ransom.TeslaCrypt) -> Delete on reboot. [d938aef31477a98d31a691bc946c7f81]

Physical Sectors Detected: 0
(No malicious items detected)

(end)
         

@HerrCooles
Wäre nett von dir wenn du zwecks Übersichtlichkeit ein neues Thema eröffnen würdest.

Guten Tag zusammen,

wir hatten heute im Betrieb auch das Vergnügen diesen Schädling in Aktion zu sehen.
Ein Fileserver mit 40 TB wurde angegriffen. Nachdem wir nach ca. 30 Minuten den ursprünglichen Verursacher PC identifiziert und abgeschaltet hatten, war es gestoppt.
Anschliessend wurde ein Snapshot der betroffenen Bereiche zu einem Zeitpunkt vor der ersten Verschlüsselung wiederhergestellt.
Der betroffene PC wartet nun auf die Forensiker der Polizei.

Laut nicht ganz aktuellen Informationen von hier

hxxp://nabzsoftware.com/types-of-threats/teslacrypt

kommt die Infektion vermutlich als Drive-by via Flash...

Viel Glück allen, die davon betroffen sind.

Hallo zusammen,
heute wieder 4 Stunden laboriert und kein Ergebnis gefunden, der Virus wurde von Daniel, meinem neuen IT-Hero identifiziert, er hat auch die Quelle des Virus gefunden, die Server stehen wohl in Florida und Indien... allerdings scheinen die Betreiber schon wieder umgezogen zu sein.... doch selbst wenn ich Lösegeld zahlen würde, würde ich nur weiter erpresst werden.
Der Virus hat sich in all meine Browser und auch mein Emailprogramm geladen, es musste alles neu aufgesetzt werden.
Wir laden jetzt das ganze System neu auf und morgen wird in einer zweiten Etappe Linux installiert.
Nach 25 Jahren Windows reicht es mir jetzt.
Zu meinen Daten: ich habe noch die alte Festplatte von der aus ich die Daten auf die neue Festplatte, (die die am PC hing und infiziert wurde) transferierte. Diese alte Festplatte, die ich komplett leer gemacht hatte um (demnächst mal) mein System zu spiegeln, stellen wir insoweit wieder her, dass die darauf gelöschten Daten alle wieder erscheinen werden.
Dann verliere ich doch nicht meine gesamte PC Identität sondern nur ein paar Monate.
Ob Daniel, dann doch noch mal den Virus entschlüsseln kann, ist allerdings noch völlig offen.

so weit, so schlecht....

hxxp://www.heise.de/newsticker/meldung/Verschluesselungstrojaner-Neue-TeslaCrypt-Version-grassiert-3037099.html

Ansonsten kämpfe ich gerade mit der Wiederherstellung einer nicht am PC hängenden älteren Festplatte, mit 1,4 Terrabyte....

Hallo

Gibt es schon eine Lösung ?
Ich habe das gleiche Problem.Meine Daten sind verschlüsselt.
Leider hatte ich keine Sicherungskopie :-(

Ich habe die verschlüsselten Daten erst einmal auf eine neue externe HD gesichert und hoffe das es bald eine Lösung/Schlüssel dafür gibt.

Hallo,

nein es gibt wohl keine Lösung.
Der Verschlüsselungsvirus kann nicht in 3000 Jahren entschlüsselt werden, wurde mir zuletzt mitgeteilt.
Es hat schon Fälle gegeben (sh. o.g. Videolink) da hat einer der miesen Verbrecher gemerkt, was für einen Mist er macht und gab den Schlüssel preis. Doch das war wohl die Ausnahme, "wie ein Sechser im Lotto".
Selbst wenn das FBI (wie in o.g. Video behauptet) dazu rät das Lösegeld zu zahlen, wurde mir wiederum mitgeteilt, es könne sich hier auch durchaus um False attacks handeln, die u.a. das FBI (oder Windows-Hasser) selbst fabriziert und auf den Weg schickt.
Möglicherweise soll so das I-Net generell diskreditiert werden, um es anschließend, unter dem Vorwand es sicherer zu machen, zu zensieren und strenger zu reglementieren.

Ich hatte das Glück, dass der Virus meine am System hängende Festplatte (mit 20 Jahre Arbeit) nur z.T erwischt hat, einen Großteil der Daten kann ich jetzt von der (angeschlagenen) Festplatte - zwar im absoluten Schneckentempo- , aber bis auf einen kleinen Teil, komplett wiederholen.
Das was dann zerstört wurde, kann ich von einer älteren Festplatte mittels Recuva.de wiederherstellen.
Meine gesamte digitalisierte Arbeitswelt findet hauptsächlich auf meinem externen Laptop statt, deshalb wurde ich arbeitstechnisch komplett verschont

Doch alles was auf dem PC selbst lag, ist unwiederruflich zerstört...

Auf meinem PC haben wir Win10 komplett wieder in den Ausgangszustand versetzt und LINUX als Basissystem installiert.
Ich arbeite jetzt E-Mailtechnisch nur noch über LINUX, wir stellen demnächst auf LINUX eine virtuelle Box her, vor der aus ich dann auf win10 zugreifen werde, da ich zwei, drei Programme, die auf Linux nicht laufen für die Arbeit und die Bildbearbeitung benötige.

Windows als Basis geht heutzutage offenbar nicht mehr (ich hatte jetzt 25 Jahre win), wer ruhig schlafen will, muss sich eine Plattform schaffen, die (noch) nicht durch solche Attaken gehackt wird.
Möglicherweise ist es das was die Hacker erreichen wollen?
Bei mir hatte es jedenfalls Erfolg

Ich konnte die alten verschlüsselten Daten auch nicht zwischenlagern, wir hatten sie zwar auf einem 64MB Stick gelagert, doch als ich nun wieder auf den Stick ging, war der vollkommen zerstört und musste neu formatiert werden......

Zitat:

Hallo

Gibt es schon eine Lösung ?
Ich habe das gleiche Problem.Meine Daten sind verschlüsselt.
Leider hatte ich keine Sicherungskopie :-(

Mach dir da keine Hoffnungen bei den Verschlüsselungs Ransoms. Bist du an einer neueren Variante geraten, sind deine Dateien futsch und keiner weiß ob du ein Entschlüsselungs Tool bekämest wenn du das geforderte Lösegel zahlst. Mein Rat(nicht nur an dich): Unbeschädigte Dateien sichern, Windpows komplett neu aufsetzen, USB Festplatte kaufen und auf dieser regelmässig Systembackups machen sowie auch wichtige persönliche Dateien darauf zusätzlich sichern und die USB Festplatte nur dann einschalten wenn die gebraucht wird.