XORT auf Windows 8 Laptop
 

Habe hier einen Windows 8 Laptop aus einem 2 Mann Betrieb, wo viele Daten mit Xort 1Verschlüsselt sind.
Normalerweise würde ich neu aufsetzen, aber viele Dateien sind nicht gesichert. Wenn Ihr mir helfen könnt, ist eine Spende selbstverständlich.

Leider habe ich bevor ich das Board gefunden habe selbst losgelegt und keine Logs gesichert.

Folgende Tools hab ich ausgeführt:
-adwcleaner
-malewarebytes rootkit
-frst64

Virenscanner ist Avira drauf. Habe versucht diesen zu deinstallieren, nach dem Neustart war er wieder da.

Viele Grüße
Martin

moin :kaffee:

Was genau erwartest du jetzt?

1. die Dateien entschlüsseln zu können ist reine Glückssache! Geht nur wenn es einen passenden decrypter gibt. Identifikation des ransoms geht zB darüber => https://id-ransomware.malwarehunterteam.com/

2. Was versuchst du mit den Tools wie Malwarebytes usw zu erreichen? Die können max. helfen das System zu reinigen, aber entschlüsseln geht damit nicht!!

3. Soll das System bereinigt werden oder willst du es neu aufsetzen?

4. Warum sicherst du wichtige Dateien nicht rechtzeitig und regelmäßig? :wtf:

1. Die Entschlüsselung möchte ich probieren. Habe auf dem Desktop ein File, xort.key gefunden.

2. Ziel war es, noch ein paar Daten auf einen USB-Stick zu ziehen ohne den Trojaner auf einen anderen Rechner zu importieren.

3. Neu aufsetzen ist selbst verständlich.

4. Ist nicht mein Laptop. Die betroffene Person hat mich erst informiert wo alles zu spät war. Ich hab als erstes eine NAS bestellt. Grob fahrlässig.

*reinhüpf*

Aber bitte keine Hoffnungen machen:
.XORT kann nach meinem Kenntnisstand (derzeit) nicht entschlüsselt werden.


*raushüpf*

1. da kann man nur viel Glück wünschen, denn wenn die Erpresser alles richtig gemacht haben wird es ziemlich sicher unmöglich sein, da was zu entschlüsseln

2. nachträgliche Datensicherung von intakten oder verschlüsselten Dateien (letztere weil es ja sein kann, dass später doch noch decrypter kommen) über ein Live-System wie zB Ubuntu MATE im Ausprobiermodus

3. Bereinigung ist aber auch möglich - mormalerweise wollen die ransoms "nur" die Benutzerdateien verschlüsseln um die Opfer zu erpressen, die ransoms haben aber idR nicht das Ziel das System zu kompromittieren

4. NAS ist ja schön und gut, aber wenn es permanent im Netzwerk verfügbar ist kann auch ein ransom die Dateien da drauf verschlüsseln. Ich hab den Eindruck, dass dies nicht zu Ende gedacht ist.

Jo, danke für die Info Kollegga :D

Die NAS ist permanent im Netzwerk verbunden. Aber es sind auf keinem PC Netzlaufwerke mit Schreibrechten verknüpft.
Der User mit den Schreibrechten ist nur im Backup-Programm hinterlegt.

Ok, ob als Netzlaufwerk gemappt oder nicht ist egal. Ein share ist ja auch per UNC-Schreibweise verfügbar und das nutzen aktuelle Kryptotrojaner.

Ein Schreibrecht nur für den Backup-User ist da ein guter Schutz! :daumenhoc (ich geh jetzt mal davon aus, dass der auch ein ordentliches Passwort hat)