Problem mit Ransomware "Ouroboros.GG!MTB"
 

Moin!

Wir haben hier ein Problem mit Ransomware, die von Windows als "Ouroboros.GG!MTB" identifiziert wurde und fast alle Dateien umbenannt und verschlüsselt hat.

Beispiel Name sieht so aus...
"abcDEFghijdHJhkjhDKDHKH-Mail[xxxxxxxx@xxxx.com]ID-[01234567890123].ABCDE"

Folgende Fragen hätte ich dazu...

- Was sagt diese Version aus?
- Ist es eine alt oder neu Variante
- Gibt es Entschlüsselung Programme/Tools dafür?
- Gibt es Firmen, die das entschlüsseln können, speziell diese Version?

Muss dazu sagen, dass wir keinen Hinweis über eine Forderung gefunden oder gesehen haben.

Wir haben darauf die Mail-Adresse kontaktiert, die in den Dateinamen steckt, und darauf hat sich auch einer gemeldet, der BTC fordert. (haben kein BTC)
Er ist auch in der Lage, die Dateien, zumindest Testdateien dir wir geschickt haben, zu entschlüsseln.

Nach meiner Recherche, konnte ich zu der Ransomware "Ouroboros.GG!MTB" keine Software oder Anbieter finden, der in der Lage ist die Dateien wieder herzustellen.

Es stellt sich somit die nächste Frage, wie stehen die Chancen, dass die am Ende Key & Software herausgeben, wenn man bezahlt hat? (Wobei das BTC die nächste Hürde darstellt, da ich fast NULL Ahnung davon habe bzw. damit nichts mache)
Auch, wie lange bleibt die Mail-Adresse erreichbar?

Würde mich freuen, wenn jemand was dazu schreiben kann oder sich jemand meldet, der damit Erfahrung hat.

Gruß Cosimo

Du kannst eine oder mehrere Verschlüsselte Dateien hier: https://id-ransomware.malwarehunterteam.com/index.php?lang=de_DE hochladen und dort prüfen lassen, ob es für die Ransomvariante schon ein Entschlüsselungstool gibt oder nicht. Ansonsten: die verschlüsselten Dateien extern auf zum Beispiel einer USB Festplatte sichern und diese aufbewahren in der Hoffnung das es mal ein Entschlüsselungstool gibt und dann eben eine eine Windows Neuinstallation machen, dem PC in der jetzigen Verfassung nicht mehr trauen und halt alles neu machen.

Warum ist das ein Problem?
Wo ist eure Datensicherung?

Ich schäze mal: es gibt keine Datensicherung.
Nicht uninteressant wäre auch, was für ein Windows wird genutzt? Windows 10 oder Windows 11 und welche Version? ist es also 22H2 oder eine ältere Version? oder ist da sogar noch Windows 7 drauf was ja ein NoGo wäre weil das schon lange keine Windows Updates mehr bekommt.
Wenn er will, könnte er auch mal schreiben ob noch eine HDD Festplatte verbaut ist, oder ob schon eine SSD genutzt wird und mit CrystalDiskinfo prüfen wie der Zustand der Festplatte ist: http://anleitung.trojaner-board.de/zustand-der-festplatte-herausfinden-gehts_61

@schlawack
Die Seite haben wir schon probiert, ohne Erfolg.
Die anderen Punkte habe ich schon im Hinterkopf.

@cosinus
Das Backup ist ärgerlicherweise mit verschlüsselt.

Dann würde ich die verschlüsselten Dateien auf einer Festplatte im Schrank zum Beispiel weglagern und du kannst nur hoffen das es irgendwann dafür ein Entschlüsselungstool gibt.
Das ist ärgerlich, aber grundsätzlich gehören jegliche Backups auf eine externe USB Festplatte oder NAS, dass nur am PC angeschlossen wird, wenn Backup Aufgaben gemacht werden. Danach gehört das Backup Medium wieder vom PC getrennt damit es offline ist.

Das ist ein Fehler, der euch hoffentlich nicht nochmal passieren wird. Backups müssen anders gelagert werden, am besten offsite. Falls mal ein Feuerchen ausbricht oder so...

Jetzt könnt ihr nur abwarten und hoffen, dass die Erpresser irgendwann den Masterkey herausgeben. Oder Sicherheitsfirmen dieses irgendwie errechnen, was aber sehr unwahrscheinlich ist, wenn die Erpresser keine Fehler in der Umsetzung hatten.

Es ist Windows 10 mit 2 SSD (Boot HD0 & Daten HD1) und 4 HDs (Daten HD2, Backup HD für HD1 & HD2, große 2TB HD & dafür Backup eine HD)

Es hätte am Ende nie dazu kommen, dass Virensoftware überhaupt auf dem Rechner sich ausführen lässt. Es muss ein unglücklicher Zufall gewesen. Wir hatten für paar "Spielereien" ein RDP Port offen, wo er dann wahrscheinlich darüber hereingekommen sein muss.

Insgesamt geht es um ca. 100 GB, die sehr ärgerlich sind, alles andere (ca. 1,5-1,7TB) ist rekonstruierbar.

es geht mir primär aber auch um Ransomware und Informationen dazu.
Ich möchte einschätzen, wie die Wahrscheinlichkeit ist, dass ich ohne den "Erpresser" an die Daten komme (mit Wartezeit und Profis wie Ontrack & Co.) und wie hoch die Wahrscheinlichkeit ist, dass der "Erpresser" mit spielt und die Daten entschlüsselt bzw. die Software dafür zur Verfügung stellt.

Da sowenig offensichtlich über die Variante der Ransomware (in meinem Fall) bekannt ist, rechne ich damit, dass Profis nur über Schattenkopie, gelöschte Dateien ect irgendwie versuchen an Daten zukommen.
Kosten mehrere tausende Euros, Ergebnis relativ ungewiss (nach dem, was ich bisher aus den Telefonaten erfahren habe).

Der Erpresser kostet auch Geld, aber erheblich weniger und mit erheblich besseren Erfolgschancen.
Mehrere Testdateien, die von uns vorgeben wurden, sind entschlüsselt zurückgesendet worden.
Er kann, wenn er will, das Problem bis zu einem bestimmten Grad lösen.

Die Frage ist da, wie geht man bei Verhandlungen zB. strategisch vor.

Dass es keine 100*% Garantie gibt, ist mir VOLL bewusst.
Dennoch kann ich bei beiden Optionen Geld verlieren und das ohne positives Ergebnis.

Dritte Option "Warten" ist nur eine bedingte Option, da es Dateien gibt, wo ich Zugriff drauf bräuchte.
Darunter ist zB. eine SQL Datenbank ca. 6GB groß.

Frage dazu, lässt sich sowas fehlerlos entschlüsseln, wenn die mal verschlüsselt wurde?

Gibt es sowas wie "Vermittler", die mit solchen Personen verhandeln können bzw. "treuhänderische" agieren?

Hallo,
wie ist die Mail-Adresse?

Das Schema hier
https://forum.kasperskyclub.ru/topic/423984-how-to-unlock-my-pictures/
https://www.bleepingcomputer.com/forums/t/786439/got-hit-by-this-ransomeware-please-help-decrypt-this-file/
sieht sehr ähnlich aus.

Schon möglich, dass das alter Wein in neuen Schläuchen ist.
Wir haben hier
https://www.virustotal.com/gui/file/c91968b4a1eb04ac79c8d735b99c84d8ea87c4485c939be6a68af3b9055f397d/detection
auch die Erkennung als Limbozar, was wiederum ein Alias für Ouroboros ist.

Die Hoffnung stirbt zuletzt.
Ich hab unser Backup noch weiter gehärtet. Seit ca. 10 Jahren machen wir die Backups mit Veeam auf ein NAS. Um potentielle Angriffe abzuwehren, dürfen selbst aus dem internen Bereich nur noch ganz bestimmte IP-Adressen auf Port 443 und 445 auf das NAS drauf, iptables sei Dank.

Aber auch die stirbt.
Neuere Ouroboros-Varianten konnten schon 2019 nicht entschlüsselt werden.

Ja, der Aufbau der Dateinamen ist gleich, bis auf die Mail-Adresse und die ID

Die Mail-Adresse möchte ich nicht öffentlich machen, da dies mein einziger Weg ist, mit der Person zu kommunizieren.

Bitte die Schadsoftware hier
https://www.virustotal.com/gui/home/upload
hochladen und die Auswertung verlinken.

Sieht aktuell schlecht aus, da Windows Defender die Daten unter Quarantäne gestellt hat und diese jetzt nicht mehr wiederherstellbar sind.

Wenn das daran schon scheitert wirst du ganz sicher Hilfe von einem Systemhaus bekommen müssen. Oder ist das alles reines Privatvergnügen?

An der Stelle wo die Daten lagen, liegt aktuell nichts mehr und im Schutzverlauf wird nichts mehr angezeigt (was gestern noch der Fall gewesen ist).

In dem Ordner "Windows Defender" konnte ich ebenfalls nichts finden.
Wiederherstellung per CMD ist ebenfalls fruchtlos verlaufen.

Was ich aktuell gerade probiere, dass ich schaue, ob man noch was Gelöschtes wiederherstellen kann, das dauert aber bis ich da was Genaueres weiß.

Naja. Ist die Frage ob die Erpresser direkten Zugriff auf deinen Rechner hatten oder "nur" die Malware ablief.
Hattest du echt keine Bedenken beim Thema Backup, wenn mal irgendwie ein Feuer ausbricht oder ein defektes Bauteil alle Platten abschießt?

Der muss Zugriff gehabt haben.
Ich gehe davon aus, dass er über einen offenen Port Zugriff auf RDP hatte.
Schadsoftware kann nur über eine Internetseite gekommen sein und bezweifle ich, dass das der Fall gewesen ist.

Natürlich gab es Bedenken, dass mal was schiefgehen kann und für die "normale" Variante ist man mit 1-2 Backups halbwegs gut aufgestellt. In meinem Fall kamen halt paar ungünstige Faktoren (für meine Konstellation!) zusammen, die alles halt sehr schlecht dastehen lassen.
Noch ist nicht alles verloren und ich werde daraus lernen und andere vielleicht auch.

Ransomware kommt normalerweise per E-Mail rein. Irgendein besch... Anhang, meist ZIP- oder mittlerweile auch ISO-Dateien die als Container für das böse Programm dienen.

Diese Aussage versteh ich nicht. Deine Daten und auch alle Backups wurden verschlüsselt. Viel schlimmer gehts nun wirklich nicht mehr.

E-Mail Anhang kann ich (denke ich) ausschließen, da auf dem PC keine eMails gelesen werden.
Virensoftware hat auf den anderen PCs im Netzwerk keinerlei Warnung herausgegeben.
Aktuell läuft Norton 360 und auch da haben Scanns (alle 4PCs) nichts hervorgebracht.

Vieles spricht für das Szenario, was ich vermute, offener RDP Port.:headbang:

Wir sind im Gespräch mit dem "Erpresse" und mit etwas Glück kommen wir eventuell an die noch benötigten Dateien.

Sowas wie Norton ist völlig überflüssig und auch viel zu oft kontraproduktiv.
Dir ist bekannt, dass schon lange in Windows ein Virenscanner eingebaut ist?

Wie geschrieben, ist auf dem einen PC zu Testzwecken, der Virenschutz "vernachlässigt" worden.
Das ist in meinen Augen der entscheidende Fehler gewesen (für den Befall).
Hinzu kommt dann "schlechtes" Backup "Management".

Willst du sagen, dass "Windows Defender vollkommen ausreicht?

Nein, das war nicht der Fehler. Ich hab hier leider schwer den Eindruck, dass du den Virenscanner für das Allerwichtigste hält. Das ist er aber bei Weitem nicht. Das Wichtigste überhaupt ist: Angriffsfläche reduzieren und Sicherheitslücken schließen zB durch zeitnahes Installieren von Sicherheitsupdates. Natürlich sind auch gut durchdachte Backkonzepte essentiell.


Warum stellen so viele den Windows Defender in Frage? :wtf:
Und warum kommt immer diese Fokussierung auf den Virenscanner? Du hast doch am eigenen Leib erlebt, dass der Virenscanner den Schaden nicht verhindern konnte.

Windows Defender wurde auf dem einen PC deaktiviert, da wir Probleme hatten von außen auf den PC zukommen und dann vergessen zeitnah wieder einzuschalten.
Wie man sieht, kann dieses kleine Zeitfenster langen, um Probleme ohne Ende zu bekommen, wie halt immer im Leben, es sind oftmals nur wenige Sekunden.

Letztendlich ist es, in meinen Augen, ein Zusammenspiel von (Fehl-)Verhalten und Software.

Norton habe ich nachträglich installiert um zuschauen ob der noch was anderes findet.
Primär lief der Windows Defender.
Vor paar Jahren hieß es immer, die "anderen" sind besser, daher wahrschlich diese "abwertende" Einschätzung/Erwartung.

Selbst wenn der Defender aktiviert gewesen wäre, wäre das noch keine Garantie dafür gewesen das er die Ransomware erkannt und unschädlich gemacht und das verschlüsseln der Dateien verhindert hätte. Wie cosinus schon sagte: viele User verlassen sich zu sehr auf ihren Virenschutz und auch auf deren Schutzfuktionen vor Ransomware, egal ob das der Defender ist oder ein Drittanbieter Virenschutz.

Wie hätte man es verhindern können?

Dazu müsste man den genauen Befall kennen, schwierig zu beantworten.

100 % lässt sich das niemals verhindern.

Wichtig ist halt das Backup. Wichtiger als alle Updates und Virenscanner.

Dazu müsste man wissen, wie das System infiziert wurde. :)

Wenn du Mail ausschließen kannst, bleibt (von der Wahrscheinlichkeit her) meiner Meinung fast nur noch Drive-By oder illegale Software. :D

Und wenn jemand via RDP auf dem System gewesen sein sollte, dann fehlts hier sehr weit. Vor allem stellt sich dann die Frage, von welchem anderen Gerät eine Verbindung aufgebaut wurde... und dann stellt sich gleich wieder die Frage, wie kam die Malware auf den anderen Rechner...

Ist mittlerweile auch egal, euer Sicherheitskonzept hat Lücken.


Sofern du alle Daten extern gesichert hast, kannst du eine saubere Neuinstallation in Angriff nehmen. Dein Sicherheitskonzept solltest du auch gleich überprüfen.

Alles andere kann man guten Gewissens nicht empfehlen.


Die größte Schwachstelle sitzt vor dem Gerät. ;)

Hauptsache, man lernt daraus. :)

Im Übrigen:
Geld an die Erpresser zu zahlen, ist das Dümmste, was man machen kann.

Stand jetzt, gehe ich von einem offene RDP Port aus.
Mails werden auf dem Gerät nicht gelesen und auch öffnen wir keine Anhänge unbedacht.

Das mit dem Backup haben wir schon geändert.

Ich gehe von einem RDP Port als Einfalltor aus, wo der Angreifer darüber Software heruntergeladen und diese dann ausgeführt hat.
Es ist auf dem Desktop ein Ordner erstellt worden, mit den Namen "svchost" darin sind diverse Programme (s.exe) und Bat Dateien (closeapps.bat, vss.bat) sowie "Regestrier Änderung Datei" gewesen. Sowie 2-3 Datein die von Windows Defener entfernt worden sind.

Das es Lücken hat, habe ich gemerkt. :headbang:

"Die größte Schwachstelle sitzt vor dem Gerät." mein reden... ;-)

Habe ich schon.

Ob es dumm ist, würde ich nicht sagen.
Es ist die einzige Hoffnung/Chance, die ich habe, kurzfristig an Daten zu kommen.
Die Personen machen so oder weiter und der Fehler ist mir unterlaufen.
Security Firmen haben mir wenig Aussichten auf Erfolg gegeben und auch da kann es sehr sehr teuer werden.

Meine Hoffnung ist gewesen, dass es dafür schon einen Weg zu m entschlüsseln gibt, so wie es aktuell aussieht, gibt es keinen.
Also bleibt nur die Chance/Hoffnung, dass der "Erpresser" etwas Anstand besitzt und nach Zahlung die Daten freigibt. Mir ist bewusst, dass ich das Geld nicht wiedersehe, aber das habe ich bei beiden Szenarien (Dattenretter oder Erpresser).

Klingt nach Vollzugriff auf dein System.

Die Neuinstallation wartet auf dich.

Alles Gute!

Schon erfolgt und ist mit das kleinste Übel.

war schon 2019 ein Verbreitungsweg von Ouroboros.

Du solltest dir bei Verhandlungen auf jeden Fall ein Limit setzen.
Es ist nicht unüblich, dass immer wieder höhere Summen verlangt werden.

Und wenn du ein decryption tool bekommst, besteht das Risiko, dass Dateien trotzdem nicht entschlüsselt werden können.

Es kann sich auch um einen Fake bzw. weitere Schadsoftware handeln.
Nicht vergessen: Das sind Kriminelle.

Viel Glück!

Habe ich getan (Limit) und hatte er auch mehrmals angedroht (Forderung erhöhen).
Würde nichts bringen, da wir nichts unendlich zahlen können.

Wenn das Tool nichts entschlüsselt, ist am Ende das gleiche Risiko, was wir von Anfang an eingehen. Er hat uns aber paar Dateien (die wir willkürlich ausgewählt haben) entschlüsselt und mir zugeschickt und die sind so weit ok gewesen. Virensoftware hat ebenfalls nichts gemeldet.
Bezüglich dass es Fake/Schadsoftware ist, haben wir das ebenfalls in Erwägung gezogen.
Auch da, am Ende das gleiche Risiko, was wir von Anfang an eingehen.

Wir bezahlen für die "Hoffnung", dass es gut geht...

Bitte daran denken: mach auch von deiner Systempartition C mit Windows drauf ein Image/Backup auf eine externe Festplatte in gewissen Zeitabständen die du festlegst denn Windows neu installieren und alles wieder einrichten, dauert erheblich länger als wenn man ein Image/Backup vom Windows hat das man mit dem Boot Medium des Backup Programms einspielen kann.
Wenn ihr Pech habt, schickt er aber ein Tool nachdem ihr teuer bezahlt habt, das dann doch nicht die Dateien entschlüsseln kann, oder nur eine bestimmte Anzahl der Dateien können damit entschlüsselt werden. Egal wie man es dreht: er erpresst Euch und nur darauf ist er aus um feste Kohle zu scheffeln.

Vermutlich wird es so kommen. Siehe auch --> Lösegeld zahlen lohnt nicht

Auch das BSI rät von der Zahlung des Lösegeldes ab.

Das Risiko muss ich eingehen und auch einkalkulieren.
Letztendlich wird es mich so oder so Geld kosten, ob beim Datenretter oder beim Erpresse.

Die Frage ist, bei wem, von den beiden, habe ich eine bessere Wahrscheinlichkeit das ich meine oder ein paar Daten davon zurückbekommen könnte.

Datenretter hatten mir alle nach den Gesprächen gesagt, dass sie es probieren würden, aber aus dem Gespräch doch eher wenig Aussichten auf Erfolg sich ergaben.

Wie es kommt, werde ich nur sehen, wenn ich das Risiko eingehe.

Grundsätzlich würde ich mein Geld auch lieber für mich behalten, als es jemanden in den Rachen zu werfen, der es nicht verdient hat.
Da mir aber was an den Daten liegt, muss ich eine Abwägung vornehmen und die spricht eher für den Erpresser als für Datenretter. Die Wahrscheinlichkeit ist bei dem Erpresser, meiner Einschätzung nach, höher.

Den Informationen nach, die über die Ransomware gelesen hab, hinterlässt den Eindruck, dass da so schnell nichts kommt, um die Daten zu entschlüsseln, wenn überhaupt mal was kommt.

Am Ende ist es ein Abwägen von Pro und Contra.

Du solltest sie als erstes mal hier identifizieren lassen:
https://id-ransomware.malwarehuntert...php?lang=de_DE

Stattdessen kommunizierst Du bevorzugt mit den Erpressern.

Was in erster Linie entscheidend ist: Ist das eine Variante mit beklannter/möglicher Entschlüsselung, oder nicht. In manchen Fällen kann man Glück haben, wenn die Erpresser Fehler in ihrem Prozess hatten, oder irgendwann nach x Jahren mal die Keys veröffentlicht werden.

Meistens nicht. In Einzelfällen aber schon. Eine exakte Identifizierung der Malware ist Voraussetzung dafür.

Du hast ja nicht mal die spezielle Version genau benannt. Abgesehen davon, können auch Datenwiederherstellungsfirmen keine Wunder bewirken, wenn eine starke Verschlüsselung gesetzt ist. Volumenschattenkopien usw. werden von solcher Malware sowieso mit gelöscht, da hat man wenig Optionen. Außer Backups.

Ja, dann war die Verschlüsselung erfolgreich.

Das ist ja auch generische Erkennung eines Virenscanners, damit kann man nicht viel anfangen. Beschäftige Dich bitte mal mit der Aussagekraft von Virenscannern, auch hinsichtlich der Bezeichnungen von Malware.

Bezahlen, und damit kriminelle Erpresser unterstützen, damit sie weitere Ressourcen zum Erpressen weiterer Menschen in Zukunft zur Verfügung haben? Nicht Dein Ernst.

Dir kann doch niemand sagen, wie lange die Mailadresse eines Kriminellen erhalten bleibt, mit dem Du auch noch obendrein zu kooperieren beabsichtigst. LOL

Dann war es aber kein Backup. Backups unterliegen per Definition(!) bestimmter Voraussetzungen/Kriterien, die sie erst zu Backups machen. Und die wurden bei Dir/Euch somit sicherlich nicht eingehalten.

Alle Datenträger im selben Computer verbaut? Oder wie war das im Detail geregelt? Auch dazu fehlen Deinerseits genaue Angaben!

Ja, wenn das Sicherheitskonzept stimmig ist/war. Dennoch muss unabhängig dazu parallel ein schlüssiges Backup-Konzept stehen.

Nein, das sind in der Regel keine "unglücklichen Zufälle", sondern strukturelle Schwächen in Sicherheitskonzepten.

"Spielereien", gleich welcher Art, haben auf Produktivsystemen keinerlei Platz und Berechtigung. Erst recht dann nicht, wenn auch noch wichtige Daten auf eben diesen Systemen liegen. Das meine ich mit "struktureller Schwäche".

Zu solchen Daten benötigt es immer externe Backups auf "nicht verbundenen Speichern". Und zusätzlich auch noch räumlich ausgelagerte. Bei Euch gab es offenbar weder das Eine noch das andere.

Die sollte man sich allerdings bereits präventiv beschaffen. Im Nachgang bringt es bezüglich bereits verschlüsselten Daten nämlich nicht mehr viel.

Ontrack und Co können bei starker, fehlerfreier Verschlüsselung nicht zaubern, die Daten würden verschlüsselt bleiben.

Wie gesagt, eine Kooperation mit Kriminellen in dieser Form ist indiskutabel.

Falsch. Du hast bisher nur noch keine möglichst exakte Definition erzielt.

Nein. Ransomware sorgt nach ihrer Ausführung dafür, dass all diese Optionen im Nachgang nicht mehr in Frage kommen. Daher ist ein schlüssiges Backupkonzept heutzutage so immens wichtig. Will nur im Vorfeld immer keiner hören. Lieber im Nachhinein unendlich viel Zeit fehlinvestieren oder mit Kriminellen kooperieren. Wie widersinnig!

Ja, so ist das eben: Was man im Vorfeld technisch nicht umsetzt, entgegen aller gebetsmühlenartig immer wiederholter Backup-Empfehlungen, das zahlt man am Ende mit einem deutlich erhöhten finanziellen Aufwand, oder mit dem kompletten Verlust der Daten.

Der Erpresser ist jemand, dem Du mit Deinem Geld sein auch zukünftiges Tun und somit die Schädigung weiterer Menschen finanzierst.

Und warum gibt es dann keine Backups von diesen? Wenn sie so dermaßen wichtig sind?

Mit dem entsprechenden Key schon. Aber den hast Du nicht.

Vermittler mit Kriminellen? Da gibt es eher das Mittel der Strafanzeige (wenngleich die Chancen auf Ermittlung der Täter nicht gut stehen).

Das sind Basics der PC-Nutzung! Nur, weil Dateien in Quarantäne liegen, bedeutet das nicht, dass sie nicht mehr zugreifbar sind. Für solche Fälle hat man außerdem mindestens geeignete Live-/Bootsysteme betriebsfertig in der Schublade liegen.

Bei Euch scheint es so ziemlich an allem Wichtigen zu fehlen.

Und dies ist dann auch möglichst sofort anzuwenden, bevor aus verschiedensten Gründen irgendwelche Daten gelöscht werden.


Was von Malware gelöscht wurde, gerade auf SSDs, zusätzlich Stichwort TRIM und Garbage Collection, ist nicht wiederherstellbar.


Anti-Virensoftware. "Virensoftware" wäre die Malware selbst. Abgesehen davon, hast Du offenbar auch zu viel Gewichtung auf den vermeintlich großen Schutz solcher Virenscanner gelegt. Lies in diesem Zusammenhang bitte:
https://www.trojaner-board.de/199203...verwenden.html

Das wurde erfolglos versucht, ist aber auch nicht notwendig.
Sicher wäre es gut gewesen, wenn der Hilfesuchende Samples zur Verfügung gestellt hätte, aber wie hier
https://www.trojaner-board.de/206961-problem-ransomware-ouroboros-gg-mtb.html#post1774833
schon vermutet, ist die Ransomware alter Wein in neuen Schläuchen.
Es gibt folgenden Artikel:
https://id-ransomware.blogspot.com/2023/04/enmity-ransomware.html
Der Ursprung ist dann eben Ouroboros bzw. Limbozar/Void.
Und wie meistens gilt auch hier:
https://forum.kasperskyclub.ru/topic/421954-zashifrovany-vse-fajly/?do=findComment&comment=2106318

Natürlich ist es notwendig zu wissen, mit welcher Variante man es genau zu tun hat. Es kam in der Vergangenheit bereits vor, dass Subvarianten im Gegensatz zu anderen Fehler in der Verschlüsselung bzw. Implementierung enthielten, sodass infolgedessen nur bei diesen eine Entschlüsselung möglich war.

https://www.heise.de/news/Ransomware...e-6222348.html

So, ich habe in den sauren Apfel gebissen und gezahlt (mit BTC).

Das "Ergebnis", er hat eine EXE Datei sowie eine Key.txt Datei geschickt.
Dazu muss man dann die ID mit angeben.

Die Dateien, die mir am wichtigsten gewesen sind, konnte ich damit wieder entschlüsseln und sind auf den ersten Blick ok.
Der Rest wird jetzt nach und nach entschlüsselt.

Letztendlich ist dies, auch wenn ich es nicht gut finde, die logistische Variante gewesen.
Prognose, die von den Fachleuten ausgesprochen worden sind, sind alle schlecht gewesen.
Kostet viel Geld und keine Garantie.
Warten ist keine Alternative gewesen.
Der Preis ist zudem billiger gewesen als ich, für die Analysen hätte bezahlen müssen.

Noch was, hat jemand Verwendung für die Dateien, sodass noch jemand anderes daraus Nutzen ziehen kann?

Da liegt ein Missverständnis vor.
Wenn man die Informationen des Threads inkl. der verlinkten Beiträge im Zusammenhang bewertet, kann man eine Einordnung vornehmen.
Da bedarf es keiner automatischen und auch fehleranfälligen Auswertung.
Davon ist nicht auszugehen, allerdings besteht das Risiko, dass das decryption tool zusätzlich schädlich ist.
Du kannst die Datei z.B. bei Virustotal oder https://www.hybrid-analysis.com zur Verfügung stellen.
Eventuelle Erkennungen sollte man sich aber genau ansehen.

Wie geht das ? Zur Bank gehen und Bitcoin kaufen? Sorry wenn ich so naiv frage
aber meine Bekannten bei der Sparkasse zucken nur die Schultern, wenn ich sie danach frage.

Ich habe letztendlich ein Coinbase Konto angelegt, es mit unserem Paypal Konto verbunden, Bitcoin gekauft, darüber den Betrag transferiert und letztendlich an eine "Wallet ID" gesendet.
Das Transferieren von Paypal zu Coinbase hat paar Euro gekostet (im zweistelligen Bereich) sowie das Empfangen und Senden von BTC.
Insgesamt ist der ganze Ablauf stressiger gewesen, als es sich oben in dem Satz liest.
Ich persönlich hatte bis dato NULL Erfahrung mit BTC oder solchen "Bankarten".

Muss dazu sagen, dadurch dass das Konto frisch bzw. neu gewesen ist, wurde der Betrag wegen Geldwäschegesetz (oder so) erst einmal für ca. 1 Woche geblockt.
Dadurch dass BTC in der Zeit gestiegen ist, hat es die Transferkosten wieder ausgeglichen.

Insgesamt ist es cleverer, wenn man von vornherein sein System "Wasserdicht" macht.
Auch wenn mich das relativ viel Zeit und Geld gekostet hat, habe ich verdammt viel dabei gelernt, es hat aber mit Sicherheit auch viel Nerven gekostet.

VIELEN DANK an ALLE, ihr habt mir sehr geholfen.

Nachtrag, offensichtlich werden nicht alle Dateien verschlüsselt.
Wichtig dabei, wenn mit den Daten gespielt wird, dass es KOPIEN sind.
Viele, die "offensichtlich" nicht entschlüsselt werden, können unbenannt werden und dann lassen sie sich anzeigen/abspielen bzw. anderweitig regulär nutzen.

Ich schätze die Quote dennoch sehr hoch ein (über 80%), was die Daten angeht, die verschlüsselte sind.

Wurde dir die Vorgehensweise erklärt/vorgegeben, mußtest du das selber rauskriegen oder hattest du anderweitig bereits Erfahrung mit BTC ??
Bisher haben IMHO relativ wenige Normalverbraucher Erfahrungen oder Kenntnisse.

Er hatte ja nun einige Wochen um sich zu informieren was Bitcoin angeht. :party:

Ich hatte bis dato NULL Erfahrung mit BTC, kannte es aber aus diversen YouTube-Videos wo darüber gesprochen wurde.
Nein, Hilfe gab es keine.

Aus den Videos weiß ich aber, dass es empfohlen wird, ein BTC Konto mit Guthaben. :-)
Daher werde ich das Coinbase Konto beibehalten.

Insgesamt ist es relativ human abgelaufen.
Von der anfänglichen Forderung von weit über 8k EUR sind am Ende weit unter 1k geblieben.
Die Summe hielt ich für ein angemessenes Risiko.

Interessant ist, da wir hier und da ins Gespräch gekommen sind (ich für meine Person, wollte mir ein Gefühl von dem Typen machen, ob es Sinn macht, den Entcryper mit Key zu kaufen), was die für Vorstellungen von uns haben. Er dachte, wir schwimmen hier alle in Geld.

Das soll am Ende nicht heißen, dass es bei jedem so abläuft.
Wenn aber die Prognose von Profis mehr als schlecht ist, "lohnt" sich, denke ich, ein "Gespräch" mit den Kriminellen (nichts anderes sind sie am Ende!), wenn man keine Zeit zum Warten hat.

Hingezogen hatte es sich letztendlich wegen der einwöchigen Sperre, sonst wäre das schon längst über die Bühne gegangen.

Nebenbei, meine Sorge ist auch gewesen, dass der Kontakt, warum auch immer, abreist, welcher zuletzt über Telegramm lief.

Es ist jetzt echt nicht schön zu betonen wie lieb und nett die Erpresser waren :daumenrunter:
Oder hast du vergessen, dass die aktiv den Schaden bei dir herbeigeführt haben? Bei dir klingt das so als ob man ja einfach nur die "Erpressersteuer" bezahlen muss und schon lüppt das alles wieder. Hat schon so ein bisschen was von Stockholm-Syndom finde ich... :balla:

Hast du als gewerblich Agierender auch Kunden? Ist dir in den Sinn gekommen, dass die Erpresser nicht nur Daten verschlüsselt sondern auch abgegriffen haben? DSGVO ist dir ein Begriff?

Von "lieb und nett" habe ich auch nichts geschrieben, ich habe lediglich versucht wieder zugegeben, wie sowas, in meinem Fall, laufen kann. Es handelte sich dabei um private Daten, wo kein Download stattgefunden hat.

Ich kann dich da schon nachvollziehen. Aber du musst auch mal überlegen welche Außenwirkung das haben könnte was du da alles schreibst.

Wie sieht denn nun dein neues Konzept der Datensicherung aus? Das wäre hier die Quintessenz und Vorbeugung für alle Leser hier oder meinst du nicht?

Die primäre Fehlerquelle (offener Port und deaktivierte Firewall/Virenschutz) wurde bereits geschlossen bzw. aktiviert.

Hinzukommt, das regelmäßig die Platten geklonte werden.
Dafür habe ich mir zu jedem Laufwerk ein passende Backuplaufwerk angeschafft.
Was die DB angeht, so wird dazu zusätzlich ein separat täglich ein Backup in der Cloude geladen.

Insgesamt werde ich mich weiter einlesen und schauen, wie man es besser/sicherer machen kann.