Klingt nach Vollzugriff auf dein System.

Die Neuinstallation wartet auf dich.

Alles Gute!

Schon erfolgt und ist mit das kleinste Übel.

war schon 2019 ein Verbreitungsweg von Ouroboros.

Du solltest dir bei Verhandlungen auf jeden Fall ein Limit setzen.
Es ist nicht unüblich, dass immer wieder höhere Summen verlangt werden.

Und wenn du ein decryption tool bekommst, besteht das Risiko, dass Dateien trotzdem nicht entschlüsselt werden können.

Es kann sich auch um einen Fake bzw. weitere Schadsoftware handeln.
Nicht vergessen: Das sind Kriminelle.

Viel Glück!

Habe ich getan (Limit) und hatte er auch mehrmals angedroht (Forderung erhöhen).
Würde nichts bringen, da wir nichts unendlich zahlen können.

Wenn das Tool nichts entschlüsselt, ist am Ende das gleiche Risiko, was wir von Anfang an eingehen. Er hat uns aber paar Dateien (die wir willkürlich ausgewählt haben) entschlüsselt und mir zugeschickt und die sind so weit ok gewesen. Virensoftware hat ebenfalls nichts gemeldet.
Bezüglich dass es Fake/Schadsoftware ist, haben wir das ebenfalls in Erwägung gezogen.
Auch da, am Ende das gleiche Risiko, was wir von Anfang an eingehen.

Wir bezahlen für die "Hoffnung", dass es gut geht...

Bitte daran denken: mach auch von deiner Systempartition C mit Windows drauf ein Image/Backup auf eine externe Festplatte in gewissen Zeitabständen die du festlegst denn Windows neu installieren und alles wieder einrichten, dauert erheblich länger als wenn man ein Image/Backup vom Windows hat das man mit dem Boot Medium des Backup Programms einspielen kann.
Wenn ihr Pech habt, schickt er aber ein Tool nachdem ihr teuer bezahlt habt, das dann doch nicht die Dateien entschlüsseln kann, oder nur eine bestimmte Anzahl der Dateien können damit entschlüsselt werden. Egal wie man es dreht: er erpresst Euch und nur darauf ist er aus um feste Kohle zu scheffeln.

Vermutlich wird es so kommen. Siehe auch --> Lösegeld zahlen lohnt nicht

Auch das BSI rät von der Zahlung des Lösegeldes ab.

Das Risiko muss ich eingehen und auch einkalkulieren.
Letztendlich wird es mich so oder so Geld kosten, ob beim Datenretter oder beim Erpresse.

Die Frage ist, bei wem, von den beiden, habe ich eine bessere Wahrscheinlichkeit das ich meine oder ein paar Daten davon zurückbekommen könnte.

Datenretter hatten mir alle nach den Gesprächen gesagt, dass sie es probieren würden, aber aus dem Gespräch doch eher wenig Aussichten auf Erfolg sich ergaben.

Wie es kommt, werde ich nur sehen, wenn ich das Risiko eingehe.

Grundsätzlich würde ich mein Geld auch lieber für mich behalten, als es jemanden in den Rachen zu werfen, der es nicht verdient hat.
Da mir aber was an den Daten liegt, muss ich eine Abwägung vornehmen und die spricht eher für den Erpresser als für Datenretter. Die Wahrscheinlichkeit ist bei dem Erpresser, meiner Einschätzung nach, höher.

Den Informationen nach, die über die Ransomware gelesen hab, hinterlässt den Eindruck, dass da so schnell nichts kommt, um die Daten zu entschlüsseln, wenn überhaupt mal was kommt.

Am Ende ist es ein Abwägen von Pro und Contra.

Du solltest sie als erstes mal hier identifizieren lassen:
https://id-ransomware.malwarehuntert...php?lang=de_DE

Stattdessen kommunizierst Du bevorzugt mit den Erpressern.

Was in erster Linie entscheidend ist: Ist das eine Variante mit beklannter/möglicher Entschlüsselung, oder nicht. In manchen Fällen kann man Glück haben, wenn die Erpresser Fehler in ihrem Prozess hatten, oder irgendwann nach x Jahren mal die Keys veröffentlicht werden.

Meistens nicht. In Einzelfällen aber schon. Eine exakte Identifizierung der Malware ist Voraussetzung dafür.

Du hast ja nicht mal die spezielle Version genau benannt. Abgesehen davon, können auch Datenwiederherstellungsfirmen keine Wunder bewirken, wenn eine starke Verschlüsselung gesetzt ist. Volumenschattenkopien usw. werden von solcher Malware sowieso mit gelöscht, da hat man wenig Optionen. Außer Backups.

Ja, dann war die Verschlüsselung erfolgreich.

Das ist ja auch generische Erkennung eines Virenscanners, damit kann man nicht viel anfangen. Beschäftige Dich bitte mal mit der Aussagekraft von Virenscannern, auch hinsichtlich der Bezeichnungen von Malware.

Bezahlen, und damit kriminelle Erpresser unterstützen, damit sie weitere Ressourcen zum Erpressen weiterer Menschen in Zukunft zur Verfügung haben? Nicht Dein Ernst.

Dir kann doch niemand sagen, wie lange die Mailadresse eines Kriminellen erhalten bleibt, mit dem Du auch noch obendrein zu kooperieren beabsichtigst. LOL

Dann war es aber kein Backup. Backups unterliegen per Definition(!) bestimmter Voraussetzungen/Kriterien, die sie erst zu Backups machen. Und die wurden bei Dir/Euch somit sicherlich nicht eingehalten.

Alle Datenträger im selben Computer verbaut? Oder wie war das im Detail geregelt? Auch dazu fehlen Deinerseits genaue Angaben!

Ja, wenn das Sicherheitskonzept stimmig ist/war. Dennoch muss unabhängig dazu parallel ein schlüssiges Backup-Konzept stehen.

Nein, das sind in der Regel keine "unglücklichen Zufälle", sondern strukturelle Schwächen in Sicherheitskonzepten.

"Spielereien", gleich welcher Art, haben auf Produktivsystemen keinerlei Platz und Berechtigung. Erst recht dann nicht, wenn auch noch wichtige Daten auf eben diesen Systemen liegen. Das meine ich mit "struktureller Schwäche".

Zu solchen Daten benötigt es immer externe Backups auf "nicht verbundenen Speichern". Und zusätzlich auch noch räumlich ausgelagerte. Bei Euch gab es offenbar weder das Eine noch das andere.

Die sollte man sich allerdings bereits präventiv beschaffen. Im Nachgang bringt es bezüglich bereits verschlüsselten Daten nämlich nicht mehr viel.

Ontrack und Co können bei starker, fehlerfreier Verschlüsselung nicht zaubern, die Daten würden verschlüsselt bleiben.

Wie gesagt, eine Kooperation mit Kriminellen in dieser Form ist indiskutabel.

Falsch. Du hast bisher nur noch keine möglichst exakte Definition erzielt.

Nein. Ransomware sorgt nach ihrer Ausführung dafür, dass all diese Optionen im Nachgang nicht mehr in Frage kommen. Daher ist ein schlüssiges Backupkonzept heutzutage so immens wichtig. Will nur im Vorfeld immer keiner hören. Lieber im Nachhinein unendlich viel Zeit fehlinvestieren oder mit Kriminellen kooperieren. Wie widersinnig!

Ja, so ist das eben: Was man im Vorfeld technisch nicht umsetzt, entgegen aller gebetsmühlenartig immer wiederholter Backup-Empfehlungen, das zahlt man am Ende mit einem deutlich erhöhten finanziellen Aufwand, oder mit dem kompletten Verlust der Daten.

Der Erpresser ist jemand, dem Du mit Deinem Geld sein auch zukünftiges Tun und somit die Schädigung weiterer Menschen finanzierst.

Und warum gibt es dann keine Backups von diesen? Wenn sie so dermaßen wichtig sind?

Mit dem entsprechenden Key schon. Aber den hast Du nicht.

Vermittler mit Kriminellen? Da gibt es eher das Mittel der Strafanzeige (wenngleich die Chancen auf Ermittlung der Täter nicht gut stehen).

Das sind Basics der PC-Nutzung! Nur, weil Dateien in Quarantäne liegen, bedeutet das nicht, dass sie nicht mehr zugreifbar sind. Für solche Fälle hat man außerdem mindestens geeignete Live-/Bootsysteme betriebsfertig in der Schublade liegen.

Bei Euch scheint es so ziemlich an allem Wichtigen zu fehlen.

Und dies ist dann auch möglichst sofort anzuwenden, bevor aus verschiedensten Gründen irgendwelche Daten gelöscht werden.


Was von Malware gelöscht wurde, gerade auf SSDs, zusätzlich Stichwort TRIM und Garbage Collection, ist nicht wiederherstellbar.


Anti-Virensoftware. "Virensoftware" wäre die Malware selbst. Abgesehen davon, hast Du offenbar auch zu viel Gewichtung auf den vermeintlich großen Schutz solcher Virenscanner gelegt. Lies in diesem Zusammenhang bitte:
https://www.trojaner-board.de/199203...verwenden.html

Das wurde erfolglos versucht, ist aber auch nicht notwendig.
Sicher wäre es gut gewesen, wenn der Hilfesuchende Samples zur Verfügung gestellt hätte, aber wie hier
https://www.trojaner-board.de/206961-problem-ransomware-ouroboros-gg-mtb.html#post1774833
schon vermutet, ist die Ransomware alter Wein in neuen Schläuchen.
Es gibt folgenden Artikel:
https://id-ransomware.blogspot.com/2023/04/enmity-ransomware.html
Der Ursprung ist dann eben Ouroboros bzw. Limbozar/Void.
Und wie meistens gilt auch hier:
https://forum.kasperskyclub.ru/topic/421954-zashifrovany-vse-fajly/?do=findComment&comment=2106318

Natürlich ist es notwendig zu wissen, mit welcher Variante man es genau zu tun hat. Es kam in der Vergangenheit bereits vor, dass Subvarianten im Gegensatz zu anderen Fehler in der Verschlüsselung bzw. Implementierung enthielten, sodass infolgedessen nur bei diesen eine Entschlüsselung möglich war.

https://www.heise.de/news/Ransomware...e-6222348.html

So, ich habe in den sauren Apfel gebissen und gezahlt (mit BTC).

Das "Ergebnis", er hat eine EXE Datei sowie eine Key.txt Datei geschickt.
Dazu muss man dann die ID mit angeben.

Die Dateien, die mir am wichtigsten gewesen sind, konnte ich damit wieder entschlüsseln und sind auf den ersten Blick ok.
Der Rest wird jetzt nach und nach entschlüsselt.

Letztendlich ist dies, auch wenn ich es nicht gut finde, die logistische Variante gewesen.
Prognose, die von den Fachleuten ausgesprochen worden sind, sind alle schlecht gewesen.
Kostet viel Geld und keine Garantie.
Warten ist keine Alternative gewesen.
Der Preis ist zudem billiger gewesen als ich, für die Analysen hätte bezahlen müssen.

Noch was, hat jemand Verwendung für die Dateien, sodass noch jemand anderes daraus Nutzen ziehen kann?

Da liegt ein Missverständnis vor.
Wenn man die Informationen des Threads inkl. der verlinkten Beiträge im Zusammenhang bewertet, kann man eine Einordnung vornehmen.
Da bedarf es keiner automatischen und auch fehleranfälligen Auswertung.
Davon ist nicht auszugehen, allerdings besteht das Risiko, dass das decryption tool zusätzlich schädlich ist.
Du kannst die Datei z.B. bei Virustotal oder https://www.hybrid-analysis.com zur Verfügung stellen.
Eventuelle Erkennungen sollte man sich aber genau ansehen.

Wie geht das ? Zur Bank gehen und Bitcoin kaufen? Sorry wenn ich so naiv frage
aber meine Bekannten bei der Sparkasse zucken nur die Schultern, wenn ich sie danach frage.

Ich habe letztendlich ein Coinbase Konto angelegt, es mit unserem Paypal Konto verbunden, Bitcoin gekauft, darüber den Betrag transferiert und letztendlich an eine "Wallet ID" gesendet.
Das Transferieren von Paypal zu Coinbase hat paar Euro gekostet (im zweistelligen Bereich) sowie das Empfangen und Senden von BTC.
Insgesamt ist der ganze Ablauf stressiger gewesen, als es sich oben in dem Satz liest.
Ich persönlich hatte bis dato NULL Erfahrung mit BTC oder solchen "Bankarten".

Muss dazu sagen, dadurch dass das Konto frisch bzw. neu gewesen ist, wurde der Betrag wegen Geldwäschegesetz (oder so) erst einmal für ca. 1 Woche geblockt.
Dadurch dass BTC in der Zeit gestiegen ist, hat es die Transferkosten wieder ausgeglichen.

Insgesamt ist es cleverer, wenn man von vornherein sein System "Wasserdicht" macht.
Auch wenn mich das relativ viel Zeit und Geld gekostet hat, habe ich verdammt viel dabei gelernt, es hat aber mit Sicherheit auch viel Nerven gekostet.

VIELEN DANK an ALLE, ihr habt mir sehr geholfen.

Nachtrag, offensichtlich werden nicht alle Dateien verschlüsselt.
Wichtig dabei, wenn mit den Daten gespielt wird, dass es KOPIEN sind.
Viele, die "offensichtlich" nicht entschlüsselt werden, können unbenannt werden und dann lassen sie sich anzeigen/abspielen bzw. anderweitig regulär nutzen.

Ich schätze die Quote dennoch sehr hoch ein (über 80%), was die Daten angeht, die verschlüsselte sind.

Wurde dir die Vorgehensweise erklärt/vorgegeben, mußtest du das selber rauskriegen oder hattest du anderweitig bereits Erfahrung mit BTC ??
Bisher haben IMHO relativ wenige Normalverbraucher Erfahrungen oder Kenntnisse.