Klingt nach Vollzugriff auf dein System.

Die Neuinstallation wartet auf dich.

Alles Gute!

Zitat:

Zitat von M-K-D-B

Klingt nach Vollzugriff auf dein System.

Die Neuinstallation wartet auf dich.

Alles Gute!

Schon erfolgt und ist mit das kleinste Übel.

Zitat:

Zitat von Cosimo

RDP

war schon 2019 ein Verbreitungsweg von Ouroboros.

Du solltest dir bei Verhandlungen auf jeden Fall ein Limit setzen.
Es ist nicht unüblich, dass immer wieder höhere Summen verlangt werden.

Und wenn du ein decryption tool bekommst, besteht das Risiko, dass Dateien trotzdem nicht entschlüsselt werden können.

Es kann sich auch um einen Fake bzw. weitere Schadsoftware handeln.
Nicht vergessen: Das sind Kriminelle.

Viel Glück!

Zitat:

Zitat von _698

war schon 2019 ein Verbreitungsweg von Ouroboros.

Du solltest dir bei Verhandlungen auf jeden Fall ein Limit setzen.
Es ist nicht unüblich, dass immer wieder höhere Summen verlangt werden.

Und wenn du ein decryption tool bekommst, besteht das Risiko, dass Dateien trotzdem nicht entschlüsselt werden können.

Es kann sich auch um einen Fake bzw. weitere Schadsoftware handeln.
Nicht vergessen: Das sind Kriminelle.

Viel Glück!

Habe ich getan (Limit) und hatte er auch mehrmals angedroht (Forderung erhöhen).
Würde nichts bringen, da wir nichts unendlich zahlen können.

Wenn das Tool nichts entschlüsselt, ist am Ende das gleiche Risiko, was wir von Anfang an eingehen. Er hat uns aber paar Dateien (die wir willkürlich ausgewählt haben) entschlüsselt und mir zugeschickt und die sind so weit ok gewesen. Virensoftware hat ebenfalls nichts gemeldet.
Bezüglich dass es Fake/Schadsoftware ist, haben wir das ebenfalls in Erwägung gezogen.
Auch da, am Ende das gleiche Risiko, was wir von Anfang an eingehen.

Wir bezahlen für die "Hoffnung", dass es gut geht...

Zitat:

Zitat von Cosimo

Schon erfolgt und ist mit das kleinste Übel.

Bitte daran denken: mach auch von deiner Systempartition C mit Windows drauf ein Image/Backup auf eine externe Festplatte in gewissen Zeitabständen die du festlegst denn Windows neu installieren und alles wieder einrichten, dauert erheblich länger als wenn man ein Image/Backup vom Windows hat das man mit dem Boot Medium des Backup Programms einspielen kann.

Zitat:

Wenn das Tool nichts entschlüsselt, ist am Ende das gleiche Risiko, was wir von Anfang an eingehen. Er hat uns aber paar Dateien (die wir willkürlich ausgewählt haben) entschlüsselt und mir zugeschickt und die sind so weit ok gewesen. Virensoftware hat ebenfalls nichts gemeldet.

Wenn ihr Pech habt, schickt er aber ein Tool nachdem ihr teuer bezahlt habt, das dann doch nicht die Dateien entschlüsseln kann, oder nur eine bestimmte Anzahl der Dateien können damit entschlüsselt werden. Egal wie man es dreht: er erpresst Euch und nur darauf ist er aus um feste Kohle zu scheffeln.

Zitat:

Zitat von schlawack

Wenn ihr Pech habt, schickt er aber ein Tool nachdem ihr teuer bezahlt habt, das dann doch nicht die Dateien entschlüsseln kann, oder nur eine bestimmte Anzahl der Dateien können damit entschlüsselt werden. Egal wie man es dreht: er erpresst Euch und nur darauf ist er aus um feste Kohle zu scheffeln.

Vermutlich wird es so kommen. Siehe auch --> Lösegeld zahlen lohnt nicht

Auch das BSI rät von der Zahlung des Lösegeldes ab.

Zitat:

Zitat von Cosimo Beitrag anzeigen
Schon erfolgt und ist mit das kleinste Übel.
Bitte daran denken: mach auch von deiner Systempartition C mit Windows drauf ein Image/Backup auf eine externe Festplatte in gewissen Zeitabständen die du festlegst denn Windows neu installieren und alles wieder einrichten, dauert erheblich länger als wenn man ein Image/Backup vom Windows hat das man mit dem Boot Medium des Backup Programms einspielen kann.
Zitat:
Wenn das Tool nichts entschlüsselt, ist am Ende das gleiche Risiko, was wir von Anfang an eingehen. Er hat uns aber paar Dateien (die wir willkürlich ausgewählt haben) entschlüsselt und mir zugeschickt und die sind so weit ok gewesen. Virensoftware hat ebenfalls nichts gemeldet.
Wenn ihr Pech habt, schickt er aber ein Tool nachdem ihr teuer bezahlt habt, das dann doch nicht die Dateien entschlüsseln kann, oder nur eine bestimmte Anzahl der Dateien können damit entschlüsselt werden. Egal wie man es dreht: er erpresst Euch und nur darauf ist er aus um feste Kohle zu scheffeln.

Das Risiko muss ich eingehen und auch einkalkulieren.
Letztendlich wird es mich so oder so Geld kosten, ob beim Datenretter oder beim Erpresse.

Die Frage ist, bei wem, von den beiden, habe ich eine bessere Wahrscheinlichkeit das ich meine oder ein paar Daten davon zurückbekommen könnte.

Datenretter hatten mir alle nach den Gesprächen gesagt, dass sie es probieren würden, aber aus dem Gespräch doch eher wenig Aussichten auf Erfolg sich ergaben.

Zitat:

Zitat von cosinus

Vermutlich wird es so kommen. Siehe auch --> Lösegeld zahlen lohnt nicht

Auch das BSI rät von der Zahlung des Lösegeldes ab.

Wie es kommt, werde ich nur sehen, wenn ich das Risiko eingehe.

Grundsätzlich würde ich mein Geld auch lieber für mich behalten, als es jemanden in den Rachen zu werfen, der es nicht verdient hat.
Da mir aber was an den Daten liegt, muss ich eine Abwägung vornehmen und die spricht eher für den Erpresser als für Datenretter. Die Wahrscheinlichkeit ist bei dem Erpresser, meiner Einschätzung nach, höher.

Den Informationen nach, die über die Ransomware gelesen hab, hinterlässt den Eindruck, dass da so schnell nichts kommt, um die Daten zu entschlüsseln, wenn überhaupt mal was kommt.

Am Ende ist es ein Abwägen von Pro und Contra.

Zitat:

Zitat von Cosimo

- Was sagt diese Version aus?

Du solltest sie als erstes mal hier identifizieren lassen:
https://id-ransomware.malwarehuntert...php?lang=de_DE

Stattdessen kommunizierst Du bevorzugt mit den Erpressern.

Zitat:

- Ist es eine alt oder neu Variante

Was in erster Linie entscheidend ist: Ist das eine Variante mit beklannter/möglicher Entschlüsselung, oder nicht. In manchen Fällen kann man Glück haben, wenn die Erpresser Fehler in ihrem Prozess hatten, oder irgendwann nach x Jahren mal die Keys veröffentlicht werden.

Zitat:

- Gibt es Entschlüsselung Programme/Tools dafür?

Meistens nicht. In Einzelfällen aber schon. Eine exakte Identifizierung der Malware ist Voraussetzung dafür.

Zitat:

- Gibt es Firmen, die das entschlüsseln können, speziell diese Version?

Du hast ja nicht mal die spezielle Version genau benannt. Abgesehen davon, können auch Datenwiederherstellungsfirmen keine Wunder bewirken, wenn eine starke Verschlüsselung gesetzt ist. Volumenschattenkopien usw. werden von solcher Malware sowieso mit gelöscht, da hat man wenig Optionen. Außer Backups.

Zitat:

Er ist auch in der Lage, die Dateien, zumindest Testdateien dir wir geschickt haben, zu entschlüsseln.

Ja, dann war die Verschlüsselung erfolgreich.

Zitat:

Nach meiner Recherche, konnte ich zu der Ransomware "Ouroboros.GG!MTB" keine Software oder Anbieter finden, der in der Lage ist die Dateien wieder herzustellen.

Das ist ja auch generische Erkennung eines Virenscanners, damit kann man nicht viel anfangen. Beschäftige Dich bitte mal mit der Aussagekraft von Virenscannern, auch hinsichtlich der Bezeichnungen von Malware.

Zitat:

Es stellt sich somit die nächste Frage, wie stehen die Chancen, dass die am Ende Key & Software herausgeben, wenn man bezahlt hat?

Bezahlen, und damit kriminelle Erpresser unterstützen, damit sie weitere Ressourcen zum Erpressen weiterer Menschen in Zukunft zur Verfügung haben? Nicht Dein Ernst.

Zitat:

Auch, wie lange bleibt die Mail-Adresse erreichbar?

Dir kann doch niemand sagen, wie lange die Mailadresse eines Kriminellen erhalten bleibt, mit dem Du auch noch obendrein zu kooperieren beabsichtigst. LOL

Zitat:

Zitat von Cosimo

Das Backup ist ärgerlicherweise mit verschlüsselt.

Dann war es aber kein Backup. Backups unterliegen per Definition(!) bestimmter Voraussetzungen/Kriterien, die sie erst zu Backups machen. Und die wurden bei Dir/Euch somit sicherlich nicht eingehalten.

Zitat:

Zitat von Cosimo

Es ist Windows 10 mit 2 SSD (Boot HD0 & Daten HD1) und 4 HDs (Daten HD2, Backup HD für HD1 & HD2, große 2TB HD & dafür Backup eine HD)

Alle Datenträger im selben Computer verbaut? Oder wie war das im Detail geregelt? Auch dazu fehlen Deinerseits genaue Angaben!

Zitat:

Es hätte am Ende nie dazu kommen, dass Virensoftware überhaupt auf dem Rechner sich ausführen lässt.

Ja, wenn das Sicherheitskonzept stimmig ist/war. Dennoch muss unabhängig dazu parallel ein schlüssiges Backup-Konzept stehen.

Zitat:

Es muss ein unglücklicher Zufall gewesen.

Nein, das sind in der Regel keine "unglücklichen Zufälle", sondern strukturelle Schwächen in Sicherheitskonzepten.

Zitat:

Wir hatten für paar "Spielereien" ein RDP Port offen,

"Spielereien", gleich welcher Art, haben auf Produktivsystemen keinerlei Platz und Berechtigung. Erst recht dann nicht, wenn auch noch wichtige Daten auf eben diesen Systemen liegen. Das meine ich mit "struktureller Schwäche".

Zitat:

Insgesamt geht es um ca. 100 GB, die sehr ärgerlich sind, alles andere (ca. 1,5-1,7TB) ist rekonstruierbar.

Zu solchen Daten benötigt es immer externe Backups auf "nicht verbundenen Speichern". Und zusätzlich auch noch räumlich ausgelagerte. Bei Euch gab es offenbar weder das Eine noch das andere.

Zitat:

es geht mir primär aber auch um Ransomware und Informationen dazu.

Die sollte man sich allerdings bereits präventiv beschaffen. Im Nachgang bringt es bezüglich bereits verschlüsselten Daten nämlich nicht mehr viel.

Zitat:

Ich möchte einschätzen, wie die Wahrscheinlichkeit ist, dass ich ohne den "Erpresser" an die Daten komme (mit Wartezeit und Profis wie Ontrack & Co.)

Ontrack und Co können bei starker, fehlerfreier Verschlüsselung nicht zaubern, die Daten würden verschlüsselt bleiben.

Zitat:

und wie hoch die Wahrscheinlichkeit ist, dass der "Erpresser" mit spielt und die Daten entschlüsselt bzw. die Software dafür zur Verfügung stellt.

Wie gesagt, eine Kooperation mit Kriminellen in dieser Form ist indiskutabel.

Zitat:

Da sowenig offensichtlich über die Variante der Ransomware (in meinem Fall) bekannt ist,

Falsch. Du hast bisher nur noch keine möglichst exakte Definition erzielt.

Zitat:

rechne ich damit, dass Profis nur über Schattenkopie, gelöschte Dateien ect irgendwie versuchen an Daten zukommen.

Nein. Ransomware sorgt nach ihrer Ausführung dafür, dass all diese Optionen im Nachgang nicht mehr in Frage kommen. Daher ist ein schlüssiges Backupkonzept heutzutage so immens wichtig. Will nur im Vorfeld immer keiner hören. Lieber im Nachhinein unendlich viel Zeit fehlinvestieren oder mit Kriminellen kooperieren. Wie widersinnig!

Zitat:

Kosten mehrere tausende Euros, Ergebnis relativ ungewiss (nach dem, was ich bisher aus den Telefonaten erfahren habe).

Ja, so ist das eben: Was man im Vorfeld technisch nicht umsetzt, entgegen aller gebetsmühlenartig immer wiederholter Backup-Empfehlungen, das zahlt man am Ende mit einem deutlich erhöhten finanziellen Aufwand, oder mit dem kompletten Verlust der Daten.

Zitat:

Der Erpresser kostet auch Geld, aber erheblich weniger und mit erheblich besseren Erfolgschancen.

Der Erpresser ist jemand, dem Du mit Deinem Geld sein auch zukünftiges Tun und somit die Schädigung weiterer Menschen finanzierst.

Zitat:

Dritte Option "Warten" ist nur eine bedingte Option, da es Dateien gibt, wo ich Zugriff drauf bräuchte.

Und warum gibt es dann keine Backups von diesen? Wenn sie so dermaßen wichtig sind?

Zitat:

Frage dazu, lässt sich sowas fehlerlos entschlüsseln, wenn die mal verschlüsselt wurde?

Mit dem entsprechenden Key schon. Aber den hast Du nicht.

Zitat:

Gibt es sowas wie "Vermittler", die mit solchen Personen verhandeln können bzw. "treuhänderische" agieren?

Vermittler mit Kriminellen? Da gibt es eher das Mittel der Strafanzeige (wenngleich die Chancen auf Ermittlung der Täter nicht gut stehen).

Zitat:

Zitat von Cosimo

Sieht aktuell schlecht aus, da Windows Defender die Daten unter Quarantäne gestellt hat und diese jetzt nicht mehr wiederherstellbar sind.

Das sind Basics der PC-Nutzung! Nur, weil Dateien in Quarantäne liegen, bedeutet das nicht, dass sie nicht mehr zugreifbar sind. Für solche Fälle hat man außerdem mindestens geeignete Live-/Bootsysteme betriebsfertig in der Schublade liegen.

Bei Euch scheint es so ziemlich an allem Wichtigen zu fehlen.

Und dies ist dann auch möglichst sofort anzuwenden, bevor aus verschiedensten Gründen irgendwelche Daten gelöscht werden.

Zitat:

Zitat von Cosimo

Was ich aktuell gerade probiere, dass ich schaue, ob man noch was Gelöschtes wiederherstellen kann, das dauert aber bis ich da was Genaueres weiß.

Was von Malware gelöscht wurde, gerade auf SSDs, zusätzlich Stichwort TRIM und Garbage Collection, ist nicht wiederherstellbar.

Zitat:

Zitat von Cosimo

Virensoftware hat auf den anderen PCs im Netzwerk keinerlei Warnung herausgegeben.
Aktuell läuft Norton 360 und auch da haben Scanns (alle 4PCs) nichts hervorgebracht.

Anti-Virensoftware. "Virensoftware" wäre die Malware selbst. Abgesehen davon, hast Du offenbar auch zu viel Gewichtung auf den vermeintlich großen Schutz solcher Virenscanner gelegt. Lies in diesem Zusammenhang bitte:
https://www.trojaner-board.de/199203...verwenden.html

Zitat:

Zitat von mmk

Du solltest sie als erstes mal hier identifizieren lassen:
https://id-ransomware.malwarehunterteam.com/index.php?lang=de_DE

Das wurde erfolglos versucht, ist aber auch nicht notwendig.
Sicher wäre es gut gewesen, wenn der Hilfesuchende Samples zur Verfügung gestellt hätte, aber wie hier
https://www.trojaner-board.de/206961-problem-ransomware-ouroboros-gg-mtb.html#post1774833
schon vermutet, ist die Ransomware alter Wein in neuen Schläuchen.
Es gibt folgenden Artikel:
https://id-ransomware.blogspot.com/2023/04/enmity-ransomware.html
Der Ursprung ist dann eben Ouroboros bzw. Limbozar/Void.
Und wie meistens gilt auch hier:

Zitat:

К сожалению, расшифровки этого типа вымогателя нет.

https://forum.kasperskyclub.ru/topic/421954-zashifrovany-vse-fajly/?do=findComment&comment=2106318

Zitat:

Zitat von _698

ist aber auch nicht notwendig.

Natürlich ist es notwendig zu wissen, mit welcher Variante man es genau zu tun hat. Es kam in der Vergangenheit bereits vor, dass Subvarianten im Gegensatz zu anderen Fehler in der Verschlüsselung bzw. Implementierung enthielten, sodass infolgedessen nur bei diesen eine Entschlüsselung möglich war.

https://www.heise.de/news/Ransomware...e-6222348.html

So, ich habe in den sauren Apfel gebissen und gezahlt (mit BTC).

Das "Ergebnis", er hat eine EXE Datei sowie eine Key.txt Datei geschickt.
Dazu muss man dann die ID mit angeben.

Die Dateien, die mir am wichtigsten gewesen sind, konnte ich damit wieder entschlüsseln und sind auf den ersten Blick ok.
Der Rest wird jetzt nach und nach entschlüsselt.

Letztendlich ist dies, auch wenn ich es nicht gut finde, die logistische Variante gewesen.
Prognose, die von den Fachleuten ausgesprochen worden sind, sind alle schlecht gewesen.
Kostet viel Geld und keine Garantie.
Warten ist keine Alternative gewesen.
Der Preis ist zudem billiger gewesen als ich, für die Analysen hätte bezahlen müssen.

Noch was, hat jemand Verwendung für die Dateien, sodass noch jemand anderes daraus Nutzen ziehen kann?

Zitat:

Zitat von mmk

Natürlich ist es notwendig zu wissen, mit welcher Variante man es genau zu tun hat.

Da liegt ein Missverständnis vor.
Wenn man die Informationen des Threads inkl. der verlinkten Beiträge im Zusammenhang bewertet, kann man eine Einordnung vornehmen.
Da bedarf es keiner automatischen und auch fehleranfälligen Auswertung.

Zitat:

Zitat von Cosimo

Noch was, hat jemand Verwendung für die Dateien, sodass noch jemand anderes daraus Nutzen ziehen kann?

Davon ist nicht auszugehen, allerdings besteht das Risiko, dass das decryption tool zusätzlich schädlich ist.
Du kannst die Datei z.B. bei Virustotal oder https://www.hybrid-analysis.com zur Verfügung stellen.
Eventuelle Erkennungen sollte man sich aber genau ansehen.

Zitat:

Zitat von Cosimo

und gezahlt (mit BTC)

Wie geht das ? Zur Bank gehen und Bitcoin kaufen? Sorry wenn ich so naiv frage
aber meine Bekannten bei der Sparkasse zucken nur die Schultern, wenn ich sie danach frage.

Zitat:

Zitat von webwatcher

Wie geht das ? Zur Bank gehen und Bitcoin kaufen? Sorry wenn ich so naiv frage
aber meine Bekannten bei der Sparkasse zucken nur die Schultern, wenn ich sie danach frage.

Ich habe letztendlich ein Coinbase Konto angelegt, es mit unserem Paypal Konto verbunden, Bitcoin gekauft, darüber den Betrag transferiert und letztendlich an eine "Wallet ID" gesendet.
Das Transferieren von Paypal zu Coinbase hat paar Euro gekostet (im zweistelligen Bereich) sowie das Empfangen und Senden von BTC.
Insgesamt ist der ganze Ablauf stressiger gewesen, als es sich oben in dem Satz liest.
Ich persönlich hatte bis dato NULL Erfahrung mit BTC oder solchen "Bankarten".

Muss dazu sagen, dadurch dass das Konto frisch bzw. neu gewesen ist, wurde der Betrag wegen Geldwäschegesetz (oder so) erst einmal für ca. 1 Woche geblockt.
Dadurch dass BTC in der Zeit gestiegen ist, hat es die Transferkosten wieder ausgeglichen.

Insgesamt ist es cleverer, wenn man von vornherein sein System "Wasserdicht" macht.
Auch wenn mich das relativ viel Zeit und Geld gekostet hat, habe ich verdammt viel dabei gelernt, es hat aber mit Sicherheit auch viel Nerven gekostet.

VIELEN DANK an ALLE, ihr habt mir sehr geholfen.

Nachtrag, offensichtlich werden nicht alle Dateien verschlüsselt.
Wichtig dabei, wenn mit den Daten gespielt wird, dass es KOPIEN sind.
Viele, die "offensichtlich" nicht entschlüsselt werden, können unbenannt werden und dann lassen sie sich anzeigen/abspielen bzw. anderweitig regulär nutzen.

Ich schätze die Quote dennoch sehr hoch ein (über 80%), was die Daten angeht, die verschlüsselte sind.

Zitat:

Zitat von Cosimo

Ich habe letztendlich ein Coinbase Konto angelegt, es mit unserem Paypal Konto verbunden, Bitcoin gekauft, darüber den Betrag transferiert und letztendlich an eine "Wallet ID" gesendet.

Wurde dir die Vorgehensweise erklärt/vorgegeben, mußtest du das selber rauskriegen oder hattest du anderweitig bereits Erfahrung mit BTC ??
Bisher haben IMHO relativ wenige Normalverbraucher Erfahrungen oder Kenntnisse.