Naja, in den ersten Stunden könnte das aber hinkommen. Und nicht jede Infektion führt bei jedem zu einem Totalschaden.

Zitat:

Lies du eigentlich auch was ich schreibe? Ein zerhackter MBR ist doch völlig egal, kann einfach neu geschrieben werden. Es geht um die Dateien des Benutzers.

Zitat:

Das Ziel von ransoms ist: Userdaten verschlüsseln!
Es geht fast garnicht um irgendwelche Dateisysteme, MBRs oder andere Systembereiche. Nochmal: die ransomware will in erster Linie den User treffen, nicht das System. Und Dateien zerhacken/verschlüsseln reicht da schon.

cosinus, zählt man aber auch Petya mit, dann werden nicht nur Userdaten verschlüsselt sondern die komplette Systemfestplatte, Petya lässt da wohl nichts aus und selbst ein reaparieren des MBR hilft nichts weil der Bootloader Windows nicht finden kann habe ich gelesen.

Zitat:

Du kannst mit den Befehlen den MBR der Festplatte wiederherstellen. Das ist der erste Ort, an dem ein Computer beim Boot nachschaut, wo er das Betriebssystem zu suchen hat. Selbst wenn dort aber alles so wieder steht wie vorher kann der Computer danach trotzdem nicht booten, weil die MFT, das Inhaltsverzeichnis der Windows-Partition, nicht lesbar ist. Anders als bei einem Buch, das man zur Not immer von vorne Durchblättern kann, weiß der Computer ohne diese Tabelle nicht, wie er das Dateisystem lesen soll. Er wird nur Datensalat vorfinden und wahrscheinlich einen Dateisystemschaden melden.

Quelle: http://www.computerbase.de/forum/showthread.php?t=1574127&page=2&p=18664454#post18664454

Natürlich braucht sowas wie petya Adminrechte. Aber um Userdateien zu zerstören braucht man die nicht. Ist das denn so schwierig nachzuvollziehen?

Hat ja keiner behauptet das du nicht recht hast cosinus, wollte damit auch nur sagen das Petya ein anderes "Kaliber" ist als Locky, Teslacrypt usw.

Zitat:

Natürlich braucht sowas wie petya Adminrechte.

Das ist ja das Problem bei Windows: das erste Benutzer Konto hat Adminrechte und sehr viele Anwender haben nur das eine Konto, das macht es Petya dann leicht.

Der Super-GAU wurde doch schon durch locky und andere ransoms davor erreicht: Userdaten zerhacken. Wenn jetzt noch durch petya zusätzlich das System beschädigt wird: na und? Das Betriebssystem ist wiederherstellbar. Notfalls eben zu Fuß über eine Windows DVD.

Naja, aber viele Laien sind bei sowas einfach komplett aufgeschmissen.

Zitat:

Userdaten zerhacken. Wenn jetzt noch durch petya zusätzlich das System beschädigt wird: na und? Das Betriebssystem ist wiederherstellbar. Notfalls eben zu Fuß über eine Windows DVD.

Korrigiere mich wenn ich falsch liegeaber wenn Alles auf der Systemfestplatte von Petya verschlüsselt wurde und bis dato gibt es dafür ja noch kein Entschlüsselungstool ausser man geht auf die Erpresser ein dann kannste nix mehr herstellen und man müsste erst Diskpart clean oder vergleichbares ausführen um überhaupt die Festplatte nutzbar machen zu können. Wie also willst du dann Windows wiederherstellen können ohne Diskpart clean oder ein anderes Tool mit dieser Funktion ausgeführt zu haben? Erinner dich: der User im CB Forum hatte die Festplatte schon formatiert gehabt, hatte auch den MBR repariert und konnte trotzdem nicht Windows neu installieren, danach bekam er den Tipp mit Diskpart clean und erst danach konnte er wieder Windows installieren. Aber egal: ich wiederhole mich: mit der beste Schutz vor Petya, Locky oder Teslacrypt sind regelmässige Systembackups und Sicherungen persönlicher Daten wobei letzteres bei mir auch im jeden Systembackup von C drin ist weil ich relativ wenige wichtige persönlicher Daten habe in meinem Benutzerkonto.

hab ich doch geschrieben: Notfalls "zu Fuß" bei sowas wie petya alles neu installieren.

Zitat:

Zitat von cosinus

hab ich doch geschrieben: Notfalls "zu Fuß" bei sowas wie petya alles neu installieren.

Dazu muss man ja erst mal die Festplatte so gelöscht haben das man Windows wieder installieren kann also etwas wie Diskpart oder vergleichbares einsetzen. besser: man hat Systembackups der gesamten Systemfestplatte inkl. MBR Mitsicherung oder zumindest von der Systempartition C ebenfalls inkl. mitgesicherten MBR.

man purzel, genau das soll "zu Fuß" doch bedeuten. Oder soll ich hier jetzten jeden Teilschritt erzählen

Nein sollst du nicht.

Zitat:

Oder soll ich hier jetzten jeden Teilschritt erzählen

Kannste ja machen wenn du willst für die Mitleser die eben noch nicht wissen was eine Infektion mit Petya mit sich bringt. Dann wüssten die was zu tun ist und das übliche formatieren nicht ausreicht.

Dann ist ja gut

Wobei so ganz glauben kann ich das noch nicht, dass man da unbedingt die Platte vorher nullen muss. Das Windows-Setup erstellt bei der Installation einen neuen MBR. Einfach bei der Installation alle Partitionen auflösen und neu erstellen müsste eigentlich reichen.

Zitat:

Zitat von cosinus

Dann ist ja gut

Wobei so ganz glauben kann ich das noch nicht, dass man da unbedingt die Platte vorher nullen muss. Das Windows-Setup erstellt bei der Installation einen neuen MBR. Einfach bei der Installation alle Partitionen auflösen und neu erstellen müsste eigentlich reichen.

Lese halt im anderen Forum was da geschrieben wurde. So weit ich mich erinnere hatte der betroffene User den MBR neu geschrieben und konnte aber trotzdem dann Windows nicht neu installieren. Dann wurde ihm erklärt was bei einer Formatierung nur passiert und das die Festplatte mehrfach mit Nullen überschrieben/gelöscht werden muss inkl. den MBR. Ich zitiere mal:

Zitat:

Update:
"Richtiges" Formatieren reicht hier nicht, weil dadurch der MBR nicht vollständig überschrieben wird. Hier ist "diskpart clean all" nötig.

Quelle: http://www.computerbase.de/forum/sho....php?t=1571643
Übrigens bekam ich das heute in etwa bestätigt von meinem Bekannten der einen 1 Mann PC Service hat: der hatte vor ein paar Tagen einen Kunden mit Petya, er hätte dem Kunden die Festplatte löschen müssen, aber das Glück war das der Kunde ein Backup hatte ich weiß jetzt aber nicht ob das ein Systembackup war oder Datensicherung das hatte ich nicht nachgefragt.

Ja, aber EIGENTLICH braucht man das nicht. Das Windows-Setup sollte allein in der Lage sein, einen neuen MBR zu schreiben. Der Typ in dem von dir verlinkten Thread hat doch nur die Platte ausgebaut und woanders (schnell) formatiert. Das ändert natürlich rein garnix am MBR.

Um den MBR zu killen braucht man nicht die gesamte Platte zu nullen. Das dauert ja auch viel zu lange ohne dass man davon einen echten Vorteil hätte.

cosinus, selbst das langsame formatieren reicht bei Petya nicht aus und auch nicht mit der Win DVD den MBR neu zu schreiben. Fakt ist so wie ich es verstanden habe das auf alle Fälle der MBR so gelöscht werden muss wie es Diskpart macht. Hat mir mein Bekannter auch so gesagt das ein formatieren oder neu schreiben des MBR bei Petya nicht reicht. Und eine Bitte(falls du es noch nicht gemacht hast)lese den ganzen Thread durch und auch diesen: http://www.computerbase.de/forum/sho....php?t=1574127

Zitat:

Um den MBR zu killen braucht man nicht die gesamte Platte zu nullen. Das dauert ja auch viel zu lange ohne dass man davon einen echten Vorteil hätte.

Wichtig ist wohl der Sektor der Festplatte in der der MBR sitzt das der genullt wird würde ich jetzt tippen. Aber selbst wenn man nur den MBR Bereich nullen und dann den MBR neu schreiben würde, was würde das nutzen? Petya verschlüsselt alles auf der Systemfestplatte inkl. Windows Verzeichnis und von daher würde der MFT Windows nicht finden und Windows könnte nicht gebootet werden.

Es ist völlig wumpe ob langsam oder schnell formatiert wird. Das Formatieren erstellt nur das Dateisystem auf der angebebenen Partition oder dem Volume neu. Da wird nix am MBR gemacht beim Befehl format.

Und nochmal, wenn ich das Windows-Setup starte, daraus alle Partitionen auflöse und neu erstelle und dann auch in ein neu erstelltes Volume Windows hineininstalliere, muss das Windows-Setup auch einen neuen MBR erstellen.

Und sieh mal hier => https://de.wikipedia.org/wiki/Master_Boot_Record

Im Aufbau des MBR wird deutlich, dass wenn du diesen komplett nullst, also die ersten 512 Byte, dann überschreibst du nicht nur den Bootloader, sondern auch die Partitionstabelle. Also sieht die Platte danach komplett leer aus. GPT ist natürlich etwas anders aufgebaut => https://de.wikipedia.org/wiki/GUID_Partition_Table