XORT-Befall Windows 7 Datei-Wiederherstellung
 

Hallo,
Jetzt hat es uns erwischt.. Wir sind ein kl. Elektrounternehmen mit 2 MA und haben keinen IT-Spezialisten an Bord.
Gestern haben wir ein E-mail mit einer Bewerbung bekommen.. die mich natürlich interessiert hat .. deshalb habe ich den Anhang (ZIP-Datei) versucht zu öffnen.

Ergebnis ist nun das jede Menge Daten , Bild , ZIP- Dateien unbrauchbar (vercodiert ?) geworden sind und nun NEU eine zusätzliche Endung ".XORT" aufweisen. Auf dem Desktop sind XORT-Key dateien und eine 00088.-Key Datei.

Es kommt auch ein Fenster hoch mit einer Meldung, daß man jemand über xorthelp@yandex.ru kontaktieren soll um die Dateien wieder decodiert zu bekommen - Erpressung ??


Fakt ist leider auch, dass wir keine aktuelle Datensicherung haben - ist leider "untergegangen" d.h. leider vernachlässigt worden...

Jetzt lassen sich unsere Standard Programme ELAB / Starmoney . nicht mehr starten weil
die Dateien nicht mehr gefunden werden können.

Das zunächst wichtigste für uns ist - denke ich -- dass wir unsere Daten wieder brauchbar bekommen , damit wir wieder an usere Systeme kommen. Natürlich sollte der Computer auch bereingt werden, bevor wir weitermachen.

Aktuell haben wir den Computer vom Netzwerk getrennt.

Kann uns jemand weiterhelfen ? Leider sind wir keine Computerprofis und laufen gerade mit 2 linken Händen und ganz schön verzweifelt rum.

FRST64 habe ich schon mal laufen lassen -> Anhang

Hallo E-ibis.

Mein Name ist Marie. Ich bin Malware-Analyst und habe mich auf Ransomware spezialisiert.

Die Ransomware auf Deinem Rechner nennt sich CrypVault oder VaultCrypt (je nachdem, welche AV-Bude Du fragst). Die Verschlüsselung von CrypVault ist nicht knackbar. Das heißt es wird auch in Zukunft keinen Decrypter geben.

Die einzige Chance auf Entschlüsselung Deiner Daten ohne Zahlung besteht darin, die verschlüsselten Datein zu sichern und zu hoffen, dass die Privatschlüssel der Ransomware in die Hände der Polizei fallen. Ich rate davon ab, eine Zahlung an die Kriminellen vorzunehmen. Häufig nehmen die sich nur das Geld, aber bieten keine Gegenleistung.

Eine Wiederherstellung mittels Datenwiederherstellungssoftware und Shadow Explorer kann glücken, falls die Ransomware nicht alles ordentlich ausführen könnte. Es ist nicht sonderlich wahrscheinlich, aber einen Versuch Wert. Ganz unten sind drei verschiedene Möglichkeiten aufgelistet. Eine Reinigung an einem Firmenrechner werde ich persönlich nicht vornehmen. Damit sind zu viele rechtliche Risiken verbunden und eigentlich solltet ihr eine IT-Abteilung oder IT-Support haben, welche das tun.

http://i.imgur.com/y3MMIrs.png Vorgängerversionen

• Rechtsklicke eine verschlüsselte Datei und klicke auf Einstellungen
• Klicke Vorgängerversionen.
• Dieser Tab listet alle Kopien der gewählten Datei und wann sie gesichert wurde.
• Um eine bestimmte Version der Datei wiederherzustellen, klick Kopiere und wähle einen Ordner, in dem die Datei gespeichert werden soll.
• Falls Du die existierende Datei mit der Version ersetzen willst, klicke Wiederherstellen
• Falls Du den Inhalt der Datei vorher prüfen möchtest, klicke Öffnen

http://i.imgur.com/MzmiIl9.gif ShadowExplorer

• Bitte lade die Datei ShadowExplorer runter und speichere sie auf Deinem Desktop.
• Rechtsklicke ShadowExplorer-0.9-portable.zip und klicke Alle Extrahieren. Wähle den Desktop und klicke Extrahieren
• Rechtsklicke ShadowExplorer.exe und wähle http://i.imgur.com/AVOiBNU.jpg Als Administrator ausführen.
• Du wirst ein Drop-Down-Menü sehen, das Dir die Schattenkopien aller Partitionen und Laufwerke zeigt.
• Klicke C:\ im Menü.
• Wähle rechts ein Datum vor der Infektion aus.
• Um einen ganzen Ordner wiederherzustellen, klicke mit der rechten Maustaste auf den Ordner und klicke Export. Du wirst dann danach gefragt, wohin die wiederhergestellten Dateien gespeichert werden sollen.
  

http://i.imgur.com/J8xQM97.pngDatenwiederherstellungssoftware
Datenwiederherstellungssoftware kann in der Lage sein die Originaldateien wiederherzustellen, welche von der Ransomware gelöscht wurden. Ich empfehle eines der folgenden Programme zu verwenden.

• http://i.imgur.com/fSA1TL4.png R-Studio
• http://i.imgur.com/C08PZmH.png Photorec
• http://i.imgur.com/uc6sByo.png Recuva

Hallo Marie,

Erst mal vielenm Dank.. - auch wenns keine guten Nachrichten sind.
Ich habe jetzt "Vorgängerversionen" und Shadow-Explorer probiert
leider beide male mit negativem Ergebnis.

Recuva läuft grad noch (seit ca. 2+ Std.)
-> Ich melde mich wennwas funktioniert hat.

Nun wäre ja noch das andere - hoffentlich kleinere - Problem - nämlich die Bereinigung des Systems. Könntest Du uns dabei auch unterstützen ?

Lg E-ibis

Wie gesagt:

Die meisten UNITE-Foren verweigern eine Reinigung von Firmenrechnern generell. Ich bin hier nur zu Gast und habe auf die Schnelle keine Regel diesbezüglich gesehen. Ich kann darum keine Aussage dazu treffen, ob andere Helfer hier eine Reinigung vornehmen würden.

Kleinere Firmen ohne IT-Abteilung oder IT-Spezialisten haben üblicherweise einen Vertrag mit einer IT-Firma, die den IT-Support leistet und dafür zuständig ist. Falls ihr sowas habt, nehmt das bitte in Anspruch.

Der Rechner ist böse infiziert, auch ohne die Ransomware. Ich persönlich würde bei einem Firmenrechner kein Risiko eingehen und ihn neu aufsetzen. Zieh vorher ein Backup von den verschlüsselten Dateien und den Dateien xort.KEY, xort.txt und <nummer>.KEY (für den Fall, dass ihr doch mal an die Privatschlüssel zum Entschlüsseln kommt).

Nachtrag: Hier ist die Trojanerboard-Regel bezüglich Firmenrechnern http://www.trojaner-board.de/108422-...-anfragen.html

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen.