Hallo zusammen,

ich habe heute Morgen in der Firma für eine ausgeschriebene Stelle eine Bewerbung erhalten. Leider habe ich erst danach bemerkt, dass die Lebenslauf Excel Datei verseucht war. Ich habe einen Virus der sich so vorgestellt hat:

You became victim of the GOLDENEYE RANSOMWARE!

The files on your computer have been encrypted with an military grade encryption algorithm. There is no way
to restore your data without a special key. You can purchase this key on the darknet page shown in step 2.

To purchase your key and restore your data, please follow these three easy steps:

1. Download the Tor Browser at "https://www.torproject.org/". If you need help, please google for
"access onion page".

2. Visit one of the following pages with the Tor Browser:

hxxp://golden5a4eqranh7.onion/pktumvk3
hxxp://goldeny4vs3nyoht.onion/pktumvk3

3. Enter your personal decryption code there:

pktumvk3WGLcmArQ23vMpLiKGedtWZF2LazAdHo8qtbvRgGdfyB99Whj9euafNo3xbqL2XEVv3Ase3wAYNgabjaXQDAtrSV2


Nach meinen Recherchen habe ich gefunden, das zwei Vorgänger bereits Millionen von Usern gequält haben. Wer kann mir hier weiterhelfen, ich habe keine Ahnung wie ich diesen Virus runterbekomme. Da es sich um das Geschäftscomputer handelt, wäre ich über eine schnelle Hilfe sehr erfreut.

Viele Grüße
Zuppimen

Ich habe noch folgende Info gefunden:

https://malwr.com/analysis/NDZmMjJhM2QyNGM4NDQxNTk4NjhlOWRkZWE0MDgzOWE/

Dein Hauptproblem ist nicht die Entfernung des Schädlings, sondern die Tatsache, dass deine Dateien verschlüsselt sind. Scheint dir wohl nicht so klar zu sein.

Zitat:

Zitat von cosinus

Dein Hauptproblem ist nicht die Entfernung des Schädlings, sondern die Tatsache, dass deine Dateien verschlüsselt sind. Scheint dir wohl nicht so klar zu sein.

so schaut es aus - hast du denn eine Lösung ? das hatte ich natürlich auch bemerkt und gehofft hier Hilfe zu finden (rundum).

Nun, da es ja ein Geschäftscomputer ist, solltest du mal deine Kollegen aus der EDV fragen. Die werden dir das System neu installieren und etwaig verschlüsselte Dateien aus dem letzten Backup fischen.

Was, ihr habt keine EDV und keine Backups? Als Firma? Ja seid ihr denn wahnsinnig?

Gibt es denn kein Entschlüsselungstool?

So schnell gibt es keine decrypter. Warum habt habt ihr keine Backups?

Die gleiche Frage stelle ich mir auch zur Zeit.... aber wir können das jetzt nicht mehr rückgängig machen. Wir sind ein sehr kleiner Handwerksbetrieb, da denkt man was Software angeht nicht so weit....

Was ich sagen kann: Goldeneye wurde vom Computer gelöscht (Rescue CD von Kaspasky). Ich kann auch ganz normal mit dem Rechner arbeiten, nur es fehlen mir die kompletten Dateien die nun verschlüsselt sind. Auf anderen Foren schreiben andere, dass sie die Dateien wieder draufbekommen haben - Lösungsweg wird nicht genannt. Andere schreiben das man über Wiederherstellungsprogramme die Dateien retten kann - was bei mir mit Recuva nicht funktioniert hat. Evt. hat ja jemand eine Lösung....

DAS ist genau das Problem wenn sich niemand um Backups schert.

Was wollt ihr dann machen, wenn mal ne Festplatte ausfällt, versehentlich etwas gelöscht wird oder warum auch immer ein Rechner kaputtgeht?


Wenn überhaupt helfen noch Schattenkopien. Aber auch nur wenn

1. diese VORHER aktiviert wurden
2. Windows verwendet wird - ein NAS hat KEINE Schattenkopien!!
3. beim Öffnen der Excel-Tabelle keine Adminrechte im SPiel waren, denn mit Adminrechten kann ein ransom auch alle Schattenkopien löschen


Datenrecovery-Software hilft nur ganz ganz selten mal.


Vorgängerversionen

• Rechtsklicke eine verschlüsselte Datei und klicke auf Einstellungen
• Klicke Vorgängerversionen.
• Dieser Tab listet alle Kopien der gewählten Datei und wann sie gesichert wurde.
• Um eine bestimmte Version der Datei wiederherzustellen, klick Kopiere und wähle einen Ordner, in dem die Datei gespeichert werden soll.
• Falls Du die existierende Datei mit der Version ersetzen willst, klicke Wiederherstellen
• Falls Du den Inhalt der Datei vorher prüfen möchtest, klicke Öffnen

ShadowExplorer

• Bitte lade die Datei ShadowExplorer runter und speichere sie auf Deinem Desktop.
• Rechtsklicke ShadowExplorer-0.9-portable.zip und klicke Alle Extrahieren. Wähle den Desktop und klicke Extrahieren
• Rechtsklicke ShadowExplorer.exe und wähle Als Administrator ausführen.
• Du wirst ein Drop-Down-Menü sehen, das Dir die Schattenkopien aller Partitionen und Laufwerke zeigt.
• Klicke C:\ im Menü.
• Wähle rechts ein Datum vor der Infektion aus.
• Um einen ganzen Ordner wiederherzustellen, klicke mit der rechten Maustaste auf den Ordner und klicke Export. Du wirst dann danach gefragt, wohin die wiederhergestellten Dateien gespeichert werden sollen.
  

Datenwiederherstellungssoftware
Datenwiederherstellungssoftware kann in der Lage sein die Originaldateien wiederherzustellen, welche von der Ransomware gelöscht wurden. Ich empfehle eines der folgenden Programme zu verwenden.

• R-Studio
• Photorec
• Recuva

Du sprichst mir aus der Seele... im Nachhinein ist jeder schlauer. Naja, ich möchte jetzt nicht sagen das ich wirklich nichts gesichert habe: ich habe eine externe Festplatte auf der wir wichtige Dokumente gespeichert haben. Das Problem: als Goldeneye aktiviert wurde, war die externe Platte per USB angeschlossen. Du kannst dir also denken was passiert ist.

Zu deinem Lösungsvorschlag:

Wo kann ich prüfen ob eine Schattenkopie aktiv war oder nicht? Wenn ich

"Rechtsklicke eine verschlüsselte Datei und klicke auf Einstellungen
Klicke Vorgängerversionen"

dann erscheint leider keine Vorgängerversion.

Was auch noch ist: beim Versuch eine Datei zu öffnen (pdf) hat das Programm alle Dateien die verschlüsselt sind als pdf Dateien hinterlegt, trotz docx/Excel/Pdf Dateien.

Dann ist da halt eben nix mehr und deine Daten sind weg!!!

Hallo Cosinus,

ich glaube noch daran, dass es bald ein Encrypter geben wird. Das war doch auch so mit Payta und diesen andere ransomware oder täusche ich mich?

Denkst du das nicht auch?

Vllt kommt noch ein Entschlüsselungstool, vllt aber auch nicht. Weil das mit den anderen so war muss das nicht heißen, dass es mit goldeneye auch so ist.

Also, die Schattenkopiefunktion ist auf jeden Fall an. Zum Teil wurden aber auch diese Dateien verschlüsselt - wenn ich das richtig sehe.

Wie ich schon sagte, es sieht düster aus, du hast es selbst nicht mehr in der Hand!
Die Zeit der Spaßtrojaner ist vorbei. Vor 5-6 Jahren ging es los mit Sperrbildschirm-Trojanern, erst danach kamen welche an, die Daten zerstören/verschlüsseln konnten.

Wer keine vernünftigen Backups macht ist da vollständig abhängig von den Malwareautoren und kann im Prinzip nur hoffen, dass die den Masterschlüssel irgendwann rausgeben (passierte mal bei Teslacrypt vgl. https://heise.de/-3210654) oder AV-Entwickler eine Schwachstelle in der Verschlüsselung finden und die dann ein Tool bereitstellen können.