Guten Morgen.

Mich hat der Cryptvirus Gandcrab 5.2 erwischt.

Ich habe bereits gestern den Rechner bereinigen können und bin nach eurer tollen Aleitung hier vorgegangen:
https://www.trojaner-board.de/194932-gandcrab-v5-1-0-ransomware-entfernen.html

Nochmals vielen dank dafür an dieser Stelle!

Jetzt habe ich "nur" das Problem, das eben alle Dateien verschlüsselt sind.

Gibt es schon eine Möglichkeit diese wieder zu entschlüsseln?

Bei Bitdefender habe ich ein Tool getestet, aber diese kommt (noch) nicht mit der Version 5.2 zurecht.

Habt ihr hier eine Idee/ Möglichkeit? Ich vermute bald nicht, aber Fragen kostet ja nichts.

Meine Varianten sind aktuell:
- Formatieren und neu aufsetzen (Blöde, da auch das Backup befallen ist, lag auf einer anderen Partition--> Nicht Clever

- Festplatte weglegen und neue einbauen um auf eine später Decrypterversion zu hoffen

- Einfach mal weinen, ärgern und

Danke und Grüße im Voraus

szonic

Zitat:

Gibt es schon eine Möglichkeit diese wieder zu entschlüsseln?

Nein, gandcrab Version 5.2 lässt sich ohne die Keys vom Erpresser nicht entschlüsseln.
Es stellt sich auch hier die Frage warum du nicht einfach deine Daten aus deinem letzten Backup recoverst.

Zu dem von cosinus erwähnten Hinweis möchte ich noch ergänzen:

Zitat:

Zitat von szonic

Ich habe bereits gestern den Rechner bereinigen können und bin nach eurer tollen Aleitung hier vorgegangen:
https://www.trojaner-board.de/194932...entfernen.html

Da jede Infektion einzigartig ist, bezweifle ich, dass du sämtlilche Malware durch eine stupide 1:1 Umsetzung eines anderen Themas eleminiert hast.
Wo steht denn bitte, dass man für jede erdenkliche Infektion immer die extak gleichen Bereinigungsschritte vornehmen muss?

Zitat:

Zitat von M-K-D-B

Zu dem von cosinus erwähnten Hinweis möchte ich noch ergänzen:
Da jede Infektion einzigartig ist, bezweifle ich, dass du sämtlilche Malware durch eine stupide 1:1 Umsetzung eines anderen Themas eleminiert hast.
Wo steht denn bitte, dass man für jede erdenkliche Infektion immer die extak gleichen Bereinigungsschritte vornehmen muss?

Das ist die seit langem beste Formulierung für die Aufforderung zur Sicherung der persönlichen Daten und Neuinstallation des Systems

Zitat:

Zitat von cosinus

Es stellt sich auch hier die Frage warum du nicht einfach deine Daten aus deinem letzten Backup recoverst.

Ganz einfach und das schrieb ich auch in meinem Eingangspost-> Diese sind unbrauchbar, da ebenfalls verschlüsselt.

Zitat:

Zitat von M-K-D-B

Da jede Infektion einzigartig ist, bezweifle ich, dass du sämtlilche Malware durch eine stupide 1:1 Umsetzung eines anderen Themas eleminiert hast.
Wo steht denn bitte, dass man für jede erdenkliche Infektion immer die extak gleichen Bereinigungsschritte vornehmen muss?

Super Antwort, vielen Dank. Da nimmt man sich die Zeit und sucht nach FAQs um doppelte Threads zu vermeiden und arbeitet vor, zum Dank wird man ausgelacht? Tolle Hilfe!
Natürlich steht das nirgendwo, aber da laut Bitdefender v. 5.1 und 5.2 sehr verwandt sind, denke ich das er eliminiert ist.

Zitat:

Zitat von felix1

Das ist die seit langem beste Formulierung für die Aufforderung zur Sicherung der persönlichen Daten und Neuinstallation des Systems

Ja, aber sicher nicht die netteste.


Gut, aber da es aktuell noch keine Entschlüsselungsmöglichkeit gibt, werde ich die Platte an die Seite legen und abwarten.

Zitat:

Zitat von szonic

Ganz einfach und das schrieb ich auch in meinem Eingangspost-> Diese sind unbrauchbar, da ebenfalls verschlüsselt.

Ich meinte das offsite Backup. Man lagert Backups natürlich nicht so, dass sofort versehentlich etwas gelöscht werden kann. Wenn man Backups auf NAS erstellt uns sonst nirgends eine Sicherheitskopie hat, muss man sich darüber im Klaren sein, dass ein Feuer oder andere Katastrophe neben den produktiven Rechnern eben auch das Backup vernichtet. Und wenn so ein NAS dauerhaft eingeschaltet und erreichbar ist, können auch alle Daten versehentlich oder absichtlich zerstört werden können.

Zitat:

Super Antwort, vielen Dank. Da nimmt man sich die Zeit und sucht nach FAQs um doppelte Threads zu vermeiden und arbeitet vor, zum Dank wird man ausgelacht? Tolle Hilfe!

Es wäre zielführender gewesen, einfach mal den Hinweisthread zu lesen. Abgesehen davon muss man nicht wirklich erklären, dass jeder Rechner eine andere Konfig hat oder?

Zitat:

Zitat von szonic

Ganz einfach und das schrieb ich auch in meinem Eingangspost-> Diese sind unbrauchbar, da ebenfalls verschlüsselt.

Ich habe mittlerweile kein Mitleid mehr für User, die fahrlässig mit ihren Daten umgehen und nicht "offline-Backups" angelegt haben.
Wer in Zeiten von Ransomware keine richtigen Backups anlegt, braucht nicht rumjammern. Diese Art von Malware gibt es nun schon seit Jahren.

Zitat:

Zitat von szonic

Super Antwort, vielen Dank. Da nimmt man sich die Zeit und sucht nach FAQs um doppelte Threads zu vermeiden und arbeitet vor, zum Dank wird man ausgelacht? Tolle Hilfe!
Natürlich steht das nirgendwo, aber da laut Bitdefender v. 5.1 und 5.2 sehr verwandt sind, denke ich das er eliminiert ist.

Was bringt es mir, wenn du vorarbeitest? GAR NICHTS!

Und sprich bitte hier nicht von FAQs... das grenzt ja schon fast an Heuchelei was du betreibst... an die Forenregeln hast du dich ja nicht gehalten, denn hier steht u. a. ganz klar:

Zitat:

Zitat von Sunny

1. Die 8 goldenen Regeln unseres Forums

• Jede Infektion ist anders
  Auch wenn es den Anschein hat, dass ein anderer User das selbe Problem hat, befolge keinesfalls blind die selben Schritte.
  
  
• Folge den Anweisungen
  Wenn sich ein Helfer deines Problems angenommen hat, übernimmt er die Führung. Du machst bitte nichts mehr im Alleingang, sondern nur nach Anweisung. Wenn du etwas nicht verstehst, frage höflich nach. Wir erklären dir gerne, was du machen musst. Folge den Anweisungen aber solange, bis dein Helfer dir deutlich mitteilt, dass dein Rechner sauber ist. Alleine das Verschwinden der Symptome reicht nicht aus!

Entweder du bereinigst deinen Rechner selber, wenn du Experte bist (oder für einen solchen hältst). Dann brauchst du aber auch unsere Hilfe nicht.
Oder du bist ein Laie und wir bereinigen den Rechner für dich nach unserer individuellen Anleitung.

Wenn du selbst "rumdoktorst", wird es für Helfer immer schwerer, alle Reste von Malware und was damit auf den PC gekommen ist, zu entfernen.


Viel interessanter ist doch die Frage, wie die Malware überhaupt auf deinen Rechner kam (Mail, illegale Software, etc.) ... und wieso du kein funktionierendes Gesamtkonzept bezüglich Sicherheit und Malware hast?
Backups bringen rein gar nichts, wenn sie mit einem laufendem System verbunden sind... und nur weil Bitdefender sagt, dass v5.1 ähnlich wie v5.2 ist, sagt das doch nichts darüber aus, ob nicht evtl. noch weitere Malware auf deinem Rechner ist...

Zitat:

Zitat von szonic

Ja, aber sicher nicht die netteste.

Wer sich - wie oben nachgewiesen - nicht an unsere Forenregeln hält, braucht sich nicht wundern, wenn er/sie eine derartige Antwort bekommt.

Zitat:

Zitat von szonic

Gut, aber da es aktuell noch keine Entschlüsselungsmöglichkeit gibt, werde ich die Platte an die Seite legen und abwarten.

Sinnvoll wäre es, eine Neuinstallation deines Rechners durchzuführen. Zuvor kannst du ja deine verschlüsselten Daten extern sichern.

Woher willst du als Laie wissen, ob nicht weitere Malware nachgeladen wurde?

Nur zur Info:
Wir hatten erst vor kurzem einen ähnlich gelagerten Fall mit Gandcrab... da war noch weitere Malware drauf, die von keinem AV-Programm erkannt wurde... das von uns verwendete Analysetool (FRST) arbeitet anders und ist allen AV-Programmen weit überlegen...

Er wollte doch nur davon ablenken, dass er die Hinweise überhaupt nicht gelesen und sich was selbst zurechtgereimt hat. Aber dann noch das so zu drehen, dass wir dann auch die Bösen sind ist schon echt dreist!

Vielleicht sollten wir sowas zukünftig abkürzen:

1.
Es gibt keinen Decryptor

2.
Du hast kein Backup? Selber Schuld. Hoffentlich lernst du für die Zukunft daraus.

3.
Verschlüsselte Daten extern sichern & Rechner neu aufsetzen & eigenes Sicherheitskonzept überdenken




Hier gibt es nichts mehr zu diskutieren.

"kein Backup kein Mitleid" - so true!

Wenn wir das hier aber durchziehen sind wir die bösen ekelhaften Sadisten aus dem TB

Zitat:

Zitat von cosinus

"kein Backup kein Mitleid" - so true!

Wenn wir das hier aber durchziehen sind wir die bösen ekelhaften Sadisten aus dem TB

Was willst Du anders machen. Wenn kein Decryptor verfügbar ist, ist keine Hilfe in Sicht. Wenn keine vom System unabhängige Sicherungen vorhanden sind, ist auch keine Wiederherstellung möglich. Wir können nichts gesundbeten

Also ich bin nicht gegen diese Vorgehensweise