Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Diskussionsforum (https://www.trojaner-board.de/diskussionsforum/)
-   -   Ransomware Hairysquid (https://www.trojaner-board.de/206163-ransomware-hairysquid.html)

OldJo 15.02.2023 11:32

Ransomware Hairysquid
 
Liste der Anhänge anzeigen (Anzahl: 2)
Mein Win10 PC wurde gestern vom Ransomware Virus Hairysquid befallen. Als ich das eigenartige Verhalten des PCs bemerkt habe, habe ich ihn hart abgedreht, allerdings offenbar weit zu spät.
Da auch mein Sicherungsstick angesteckt war, sind auch dort alle Sicherungs-Dateien verschlüsselt und mit der Dateiendung .Hairysquid versehen worden.
Ich habe jetzt vom "c't-Notfall-Windows 2023" gebootet.
Im Root-Verzeichnis ist die Datei READ_ME_DECRYPTION_HAIRYSQUID.txt

Danke für jede Hilfe und Info

cosinus 15.02.2023 11:52

Deine Dateien sind vorerst verloren. Es gibt keinen Weg [ohne die Erpresser], sie zu entschlüsseln. Noch jedenfalls nicht. Aber es ist nicht gesagt, dass die Daten jemals entschlüsselt werden können.

Zitat:

Da auch mein Sicherungsstick angesteckt war,
Dann ist dein bisheriges Backupkonzept mangelhaft. Erstens würde ich keine Backups auf Sticks machen, die gehen viel zu schnell kaputt, zweitens müssen wichtige Daten mindestens 2x gesichert werden, drittens darf das Sicherungsmedium nicht ständig eingesteckt sein.

OldJo 15.02.2023 14:33

danke für Deine Antwort. Daß die aktuellen Daten verloren sind, ist mir schon klar. Mein Sicherungs-Stick wird nur angesteckt, wenn eine Sicherung geplant ist, also wohl Pech. Meine 2. Sicherung ist natürlich schon wieder ein Monat alt.

Aber mich würde natürlich interessieren, wie ich mir das Ding eingetreten hab und warum es kein Virenscanner kennt und Google offenbar auch nicht.

Also wenn wer was weiß, bitte

cosinus 15.02.2023 14:46

Vorrangig kommen Erpresserschädlinge über virulente E-Mails.
Aber dass Virenscanner nicht alle Schädlinge erkennen, muss man wie oft noch erklären? :confused:

schlawack 15.02.2023 15:17

Du kannst mal hier: https://id-ransomware.malwarehunterteam.com/index.php?lang=de_DE eine verschlüsselte Datei zum prüfen hochladen, aber wahrscheinlich gibt es noch kein Entschlüsselungstool. Überdenke bzw verbessere dein Backupkonzept und hebe wenn du willst die verschlüsselten Dateien auf in der Hoffnung, das es irgendwann ein Entschlüsselungstool geben wird. Zukünftig: lege dir 2 USB Festplatten zu und mache auf den beiden Backups dir wichtiger Dateien sowie Backups/Images von Windows 10/11 oder gleich Festplaatenbackups/images mit einem entsprechen Programm. Ausserdem wäre es überlegenswert, ob du nicht eine Windows Neuinstallation machen solltest weil man ja nicht weiß, wie sehr sich der Erpresser Trojaner in dein jetziges Windows "verankert" hat.

Kronos60 15.02.2023 16:52

Zitat:

Zitat von schlawack (Beitrag 1771835)
Ausserdem wäre es überlegenswert, ob du nicht eine Windows Neuinstallation machen solltest weil man ja nicht weiß, wie sehr sich der Erpresser Trojaner in dein jetziges Windows "verankert" hat.

Das würde ich auf jeden Fall machen. Wer weiß was noch alles geladen wurde. Alle Partitionen löschen und in den unzugewiesenen Platz installieren.
Weiters würde ich noch vom frisch aufgesetzten System alle Passwörter ändern.

_698 15.02.2023 20:48

Guten Abend,
das sieht nach Mimic aus.

mmk 15.02.2023 23:47

Zitat:

Zitat von OldJo (Beitrag 1771829)
Mein Win10 PC wurde gestern vom Ransomware Virus Hairysquid befallen.

Die Frage ist natürlich, ob das wirklich gestern war oder schon früher. Was hast Du denn in den Minuten/Stunden mit dem PC gemacht, bevor Du...
Zitat:

Als ich das eigenartige Verhalten des PCs bemerkt habe,
... dieses Verhalten bemerkt hast? Nur Surfen im Web ohne eigene Downloads? Mails geöffnet, Anhänge oder Dateien aus dem Internet heruntergeladen? Wie war es um Deinen Updatestand bestellt?

Zitat:

Da auch mein Sicherungsstick angesteckt war, sind auch dort alle Sicherungs-Dateien verschlüsselt und mit der Dateiendung .Hairysquid versehen worden.
Sicherungssticks nicht stecken lassen! Immer abziehen, sonst ist es keine Sicherung. Außerdem: Mindestens ein Backup immer zusätzlich nur von einem gestarteten Live-System von USB aus erstellen, dann kann so etwas wie hier niemals passieren! Abgesehen davon, das hat cosinus auch schon geschrieben, ist ein Stick kein empfehlenswertes Sicherungsmedium.

Zitat:

Im Root-Verzeichnis ist die Datei READ_ME_DECRYPTION_HAIRYSQUID.txt

Danke für jede Hilfe und Info
Nichts löschen, Datenträger ausbauen und in Schrank legen, in der Hoffnung, dass es irgendwann vielleicht mal eine Entschlüsselungsmöglichkeit gibt. Das gleiche gilt für den USB-Stick.

Zitat:

Zitat von OldJo (Beitrag 1771833)
Mein Sicherungs-Stick wird nur angesteckt, wenn eine Sicherung geplant ist, also wohl Pech. Meine 2. Sicherung ist natürlich schon wieder ein Monat alt.

Wie gesagt, Datenbackups künftig (auch) vom Live-System aus erstellen. Dies auf einem Ziel-Datenträger, der auch nur unter dem gebooteten Livesystem angestöpselt wird und nirgends sonst, sowie vor dem Herunterfahren des Live-Systems wieder auszuhängen und zu entfernen ist.

Zitat:

Aber mich würde natürlich interessieren, wie ich mir das Ding eingetreten hab
Sicherheitslücke in verwendeter oder verwaister Software (Updates verschlafen), Datei selbst heruntergeladen/ausgeführt.

Zitat:

und warum es kein Virenscanner kennt
Weil kein Virenscanner alles erkennt. Erst recht nicht, wenn Malware in einer Variation neu ist. Aber selbst danach nicht zuverlässig. Bei einem Sicherheitskonzept darf man einen Virenscanner nicht als stützende Säule einplanen!

Zitat:

und Google offenbar auch nicht.
Weil die Variante neu ist.

OldJo 17.02.2023 11:20

danke für die vielen Tipps für die Zukunft, wenn auch einige meine Fähigkeiten überschreiten.

Wenn dieser Virus neu ist, sollte man da nicht versuchen, die Virenscanner anzupassen? Wäre es da nicht meine Aufgabe, die Info an jemanden weiterzugeben, der aktiv etwas gegen diesen Virus unternimmt? Oder wollen wir warten, bis mehr Leute davon betroffen sind?

webwatcher 17.02.2023 11:45

Wem willst du das melden? es gibt mindestens 2 Dutzend Virenscanner.

BTW: Bewertungen der PC-Boulevard Presse wie Chip und Co kannst du
in die Tonne treten. Windows Defender schützt ( zusätzlich zum Gehirn )
und vermeidet häßliche Nebeneffekte

Kronos60 17.02.2023 12:27

@OldJo

Hast du jetzt neuinstalliert?

OldJo 17.02.2023 13:11

@kronos: nein, noch nichts installiert (das ist für mich Neuland). Ich bin derzeit nur vom "c't-Notfall-Windows" online. Hier ist auch ein "Drive Snapshot"-Tool installiert, damit werde ich mal die Festplatten mit den verschlüsselten Dateien sichern, damit man im Fall des Falles drauf zurückgreifen kann. Windows-Neuinstallation ist für mich unbekanntes Terrain, da muss ich mich erst mal vorbereiten.

Kronos60 17.02.2023 14:40

Zitat:

Zitat von OldJo (Beitrag 1771904)
Windows-Neuinstallation ist für mich unbekanntes Terrain, da muss ich mich erst mal vorbereiten.

Es ist eigentlich ganz einfach.
Du ladest dir von einem sauberen PC das MCT (Media Creation Tool) runter.
Erstellt dir damit einen Stick.
Dann bootest du vom Stick.
Dann alle Partitionen formatieren/löschen.
Und dann Windows in den unzugewiesenen Platz installieren.

schlawack 17.02.2023 19:49

Zitat:

Windows-Neuinstallation ist für mich unbekanntes Terrain, da muss ich mich erst mal vorbereiten.
Dazu gibt es hier im Forum eine Anleitung: https://www.trojaner-board.de/51262-anleitung-neuaufsetzen-systems-windows-10-uefi.html und du selbst musst eigentlich nur wissen ob dein PC noch BIOS hat oder schon UEFI und das dann im Rufus dementsprechend einstellen wenn damit das Installationsmedium erstellt wird.

Kronos60 17.02.2023 20:03

Zitat:

Zitat von schlawack (Beitrag 1771913)
und das dann im Rufus dementsprechend einstellen

Ich würde gleich das mct nehmen und sich damit einen Stick erstellen, so spart man sich den Umweg über Rufus.


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:07 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131