Auf meinem PC mit Windows 10 fehlen plötzlich alle Ordner von mit einem Ordnernamen von A bis M. Habe dann versucht die Dateien mit recuva wieder herzustellen. Es werden auch alle Dateien und Ordner gefunden und lassen sich wieder herstellen. Sie haben aber als Dateinamen chinesische Schriftzeichen, keine Dateiendung und lassen sich nicht öffnen.

Die Dateien ca. 1 TB sind alle innerhalb von ca 6 Stunden überschrieben worden. Zumindest verfmute ich das weil die erste Datei in Recuva als um 14 Uhr als geändert angezeigt wird und die letzte um 18:30 Uhr. Ich glaube ungefähr zu diesem Zeitpunkt habe ich auch das Fehlen entdeckt und dann den Rechner vom Internet getrennt.

Könnte das ein Virus sein? Oder Ransomware? Oder ein Hacker Angriff?

Was soll ich am besten tun?

Zitat:

Zitat von bkone

Was soll ich am besten tun?

Was man am besten immer tun sollte: sein Backup zurückspielen

Ach du hast kein Backup? Ja warum nicht, kein Virenscanner kann dir zerstörte Daten zurückzaubern, aber das verrät natürlich das Marketinggeblubber nicht.

*reinhüpf*

Klingt irgendwie nach Ransomware... kam vielleicht mit Emotet auf den PC... "geile Kombi" übrigens...

Wir können hier deine privaten Dokumente nicht entschlüsseln bzw. wiederherstellen. Für genau so einen Fall sollte man Backups haben.

Am Besten wäre es, eine Neuinstallation von Windows durchzuführen. Anschließend solltest du vom Backup deine privaten Dokumente wieder auf den Rechner kopieren.
Solltest du kein Backup haben, kannst du lediglich die privaten Dokumente, die noch nicht verändert wurden, auf ein externes Medium kopieren und später wieder auf den neuinstallieren Rechner bringen.

Backups sind das A und O.

@cosinus:
Wir sollten die "sticky threads" im Malwarebereich noch aktualisieren. Vielleicht komme ich nächste Woche schon dazu. Wir können uns ja wieder intern austauschen.

*raushüpf*

Vielen Dank für die Antworten. Dann muss ich wohl das System neu aufsetzen.

Hat irgend jemand noch eine Idee, wie man die Daten retten könnte?

Könnte es auch eine andere Ursache als einen Trojaner kombiniert mit einer Art Ransomware geben?

Die Dateien sind ja gelöscht worden und die zurückgespielten Dateien erscheinen so, als ob sie verschlüsselt sind. Ob sie wirklich verschlüsselt sind oder einfach nur zerstört kann ich leider nicht feststellen. Es gibt auch keine Erpressungsversuche, also Aufforderungen irgendetwas zu bezahlen um die Dateien zu entschlüsseln. Insofern deutet für mich nichts auf einen Erpressungsversuch mit Ransomware hin.

Wichtig wäre für mich auch zu wissen, was genau den Schaden verursacht hat. Damit ich für die Zukunft vorsorgen kann. Gibt es eine Möglichkeit das herauszufinden?

Ich würde mich freuen, wenn jemand eine konstruktive Idee hat.

M-K-D-B hat es schon angesprochen. Ich vermute hier den Emotet.
Ich glaube nicht, dass ein Wiederherstellen der Dateien möglich ist. Es sei denn, Du besitzt externe Sicherungen.

Danke Felix. Leider keine externe Sicherung weil ich mit großen Datenmengen (Filmdateien arbeite) die sich ständig ändern...

Die Daten waren auf per Hardware Raid verbundenen Festplatten. Habe die restlichen Daten kopiert.

Wenn ich das System neu aufsetze und die geretteten Daten wieder aufspiele besteht dann nicht die Gefahr, dass sich in diesen Daten der Trojaner versteckt und dann wieder auf das "frische" System kommt?

Lässt sich die Infektion mit Emotet irgendwie nachweisen? Emotet finden?

Untersuche gerade mit Desinfect 2018 von ct das System zu untersuchen.

Habe vor dann mit ddrescue die gesamte 4 TB Festplatte (eine der beiden aus dem RAID) zu klonen,um möglicherweise doch Daten retten zu können.

Macht das alles Sinn?

Von den gesicherten, unverschlüsselten Daten sollte keine Gefahr ausgehen, wenn sie nicht ausführbar sind.

Emotet ist schwer nachzuweisen. Viele AV-Programme erkennen ihn noch nicht. Emotet, wenn einmal vorhanden, lädt weitere Schadprogramme nach. Ob auch Ransom weiss niemand so richtig. Der Befall ist bei beiden identisch. Gefakte EMails. Was mich bei Dir irretiert ist das Ausbleiben von Forderungen zur Entsperrung.

Versuche, zu retten, was zu retten ist.
Zukünftig solltest Du über externe Sicherungen nachdenken. Ist bei professionell genutzten Systemen Pflicht.

Hallo Felix, Danke Dir. Das hilft mir weiter! Habe die Platte mit den Daten geklont und setze jetzt das System neu auf.

Macht es Sinn einen Versuch zu starten die geklonten Daten von einem Profi untersuchen und ggf. entschlüsseln zu lassen?

Wie finde ich so jemanden?

LG Bernd

Zitat:

Zitat von bkone

Macht es Sinn einen Versuch zu starten die geklonten Daten von einem Profi untersuchen und ggf. entschlüsseln zu lassen?

Wie finde ich so jemanden?

Da kann ich vielleicht ein klein wenig helfen:
Bitte hier eine verschlüsselte Datei hochladen, dann steht dort, durch welche Schadsoftware die Datei verschlüsselt wurde und ob es Tools zum Entschlüssseln gibt.