Windows 10 Rechner von XORT Virus befallen / Gibt es schon Decrypter ?
 

Guten Tag, wie schon oben beschrieben ist mein Rechner leider auch von dem Xort Virus befallen worden. Ich hatte eine Mail geöffnet und im Anhang hat sich ein Lebenslauf befunden den ich geöffnet hatte. Danach verwandelten sich alle meine Dateien in die .xort Endung und konnten nicht mehr geöffnet werden

Ich habe hier schon gelesen, dass jemand anderem dies auch schon passiert ist und habe gelesen, wie dieser Virus entfernt wird und habe dies auch schon getan.

http://www.trojaner-board.de/177019-...-befallen.html

Er hatte allerdings ein Back Up seiner ganzen Dateien. Diesen habe ich leider nicht. Daher wollte ich mich hier erkundigen, ob Ihr wisst ob es schon einen Decrypter für diesen Virus gibt. Ich habe dazu leider nichts gefunden.

Diese Dateien sind für mich sehr sehr wichtig. Weiß hier jemand, ob es schon eine Entschlüsselungssoftware gibt oder weiß jemand überhaupt etwas über diesen Virus ?

Du kannst mal hier lesen: https://blog.botfrei.de/2016/04/web-seite-id-ransomware/ wenn du magst ob bleepingcomputer schon etwas hat oder nicht wegen dem Xort Virus.

Leider sagt er mir folgendes:

Unable to determine ransomware.

Please make sure you are uploading a ransom note and encrypted sample file from the same infection.

Ich gehe mal davon aus, oder hoffe, dass demnächst Tools rauskommen werden und diese Dateien wieder zu entschlüsseln.

Ich kann jetzt nur hoffen, dass ich soweit alles bereinigt habe, dass ich diesen wieder ans Netz anschließen kann.

Falls noch jemand mir helfen kann, wäre ich sehr erfreut.

Komischerweise habe ich bei mir auch keine Benachrichtigung das ich irgendetwas irgendwo bezahlen muss bekommen.

Er hat einfach alle Dateien umgewandelt. Vereinzelt sind noch einige vorhanden gewesen, allerdings natürlich die unwichtigen ;-)

Wenn noch jemand etwas weiß, wäre ich um Hilfe dankbar. Es sind echt eine Menge wichtiger Dateien.

Provokant: Die Daten können nicht wichtig sein, sonst gäbe es ein Backup. Hat nicht nur mit Trojanern zu tun. Auch die eingebaute Platte kann mal abrauchen und das war es dann.

Hilft dir nicht jetzt, aber in Zukunft solltest du darauf achten, stets Backups anzulegen.

Hier findest du viele Links zu Entschlüsslern, evtl. ist ja was passendes dabei.

https://blog.botfrei.de/forums/topic...0e-auf/page/2/

Nö, momentan gibt es dafür leider keine Entschlüsselungsmöglichkeit. BackUps werden wirklich immer wichtiger!

Waren immer genauso wichtig wie jetzt. Was hat sich denn an der Wichtigkeit geändert in den letzten 20 Jahren? Nichts.

Doch, hat sich schon. Damals hatte man eher Datenverlust wegen Hard- / Softwareschäden, heute hat man ausserdem einen rasanten Anstieg an Cryptos plus Hard- /Softwareausfällen, das macht BackUps prozentual gesehen wichtiger als früher, da die Komponente der Cryptos nicht gegeben war.

Aber du hast recht, BackUps waren schon immer wichtig, wurden und werden immer noch viel zu sehr vernachlässigt sind in der heutigen Zeit aber wie geschrieben noch bedeutungsvoller geworden. ;)

Da du statistisch niemals ahnen kannst, wann die Platte abraucht, hat sich an der Wichtigkeit nichts geändert. Die Cryptos sind nur das Sahnehäubchen im negativen Sinn.

Vllt für etwaige Mitleser interessant => Entschlüsselungs-Tool verfügbar? Webseite identifiziert Erpressungs-Trojaner | heise Security

Hallo xtobyx87.

Mein Name ist Marie. Ich bin Malware-Analyst und habe mich auf Ransomware spezialisiert.

Die Ransomware auf Deinem Rechner nennt sich CrypVault oder VaultCrypt (je nachdem, welche AV-Bude Du fragst).

Das Ding ist in Batch(!) geschrieben und die Verschlüsselung ist nicht knackbar. Das heißt es wird auch in Zukunft keinen Decrypter geben.
Wahrscheinlich hast Du es Dir über einen E-Mail-Anhang mit .js-Endung eingefangen.

Die einzige Chance auf Entschlüsselung Deiner Daten ohne Zahlung besteht darin, die verschlüsselten Datein zu sichern und zu hoffen, dass die Privatschlüssel der Ransomware in die Hände der Polizei fallen. Ich rate davon ab, eine Zahlung an die Kriminellen vorzunehmen.

Eine Wiederherstellung mittels Datenwiederherstellungssoftware und Shadow Explorer kann glücken, falls die Ransomware nicht alles ordentlich ausführen könnte. Es ist nicht sonderlich wahrscheinlich, aber einen Versuch Wert. Unten sind drei verschiedene Möglichkeiten aufgelistet.

http://i.imgur.com/y3MMIrs.png Vorgängerversionen

• Rechtsklicke eine verschlüsselte Datei und klicke auf Einstellungen
• Klicke Vorgängerversionen.
• Dieser Tab listet alle Kopien der gewählten Datei und wann sie gesichert wurde.
• Um eine bestimmte Version der Datei wiederherzustellen, klick Kopiere und wähle einen Ordner, in dem die Datei gespeichert werden soll.
• Falls Du die existierende Datei mit der Version ersetzen willst, klicke Wiederherstellen
• Falls Du den Inhalt der Datei vorher prüfen möchtest, klicke Öffnen

http://i.imgur.com/MzmiIl9.gif ShadowExplorer

• Bitte lade die Datei ShadowExplorer runter und speichere sie auf Deinem Desktop.
• Rechtsklicke ShadowExplorer-0.9-portable.zip und klicke Alle Extrahieren. Wähle den Desktop und klicke Extrahieren
• Rechtsklicke ShadowExplorer.exe und wähle http://i.imgur.com/AVOiBNU.jpg Als Administrator ausführen.
• Du wirst ein Drop-Down-Menü sehen, das Dir die Schattenkopien aller Partitionen und Laufwerke zeigt.
• Klicke C:\ im Menü.
• Wähle rechts ein Datum vor der Infektion aus.
• Um einen ganzen Ordner wiederherzustellen, klicke mit der rechten Maustaste auf den Ordner und klicke Export. Du wirst dann danach gefragt, wohin die wiederhergestellten Dateien gespeichert werden sollen.
  

http://i.imgur.com/J8xQM97.pngDatenwiederherstellungssoftware
Datenwiederherstellungssoftware kann in der Lage sein die Originaldateien wiederherzustellen, welche von der Ransomware gelöscht wurden. Ich empfehle eines der folgenden Programme zu verwenden.

• http://i.imgur.com/fSA1TL4.png R-Studio
• http://i.imgur.com/C08PZmH.png Photorec
• http://i.imgur.com/uc6sByo.png Recuva