CTB Locker

Dieses Thema enthält 90 Antworten und 2 Teilnehmer. Es wurde zuletzt aktualisiert von  stefan.becker 21. Juli 2018 at 21:59.

Ansicht von 15 Beiträgen - 76 bis 90 (von insgesamt 91)
  • Autor
    Beiträge
  • #69388

    stefan.becker
    Moderator

    Leider bin ich nicht der große Ordnungsspezialist bzgl. Thunderbird.

    Aber ich finde es super, dass das geklappt hat und zumindest die Daten wieder da sind.

    Falls du noch andere ungesicherte Daten hast, kannst du ja über den gleichen Weg zumindest mal nachsehen, ob die Daten auf der alten Platte evtl. nicht verschlüsselt wurden!

    #69436

    frankie9440
    Teilnehmer

    Ja das ist wirklich super das zumindestens die Mails wieder da.

    Da hatten die schlauen Verbrecher wohl nicht die Thunderbird Endungen auf Ihrem Schirm….

    Bei den Office Dateien und Bildern schaut es leider schlecht aus. Wenn wir die noch irgendwie retten könnten, wäre Lage perfekt. Gibts da schon Neuigkeiten bzgl. eines Entschlüsselungsprogramms?

    Können wir die zur Rettung verwendeten Sticks auch mit dem Panda Tool überprüfen?

    #69437

    frankie9440
    Teilnehmer

    noch eine Ergänzungs-Frage:

    Kann ich den verseuchten USB-Stick über das Panda-Tool bei Win 7 überprüfen?

    Könnten auf dem Stick noch Schattenkopien vorhanden sein?

    danke
    Frank

    #69389

    stefan.becker
    Moderator

    Hi,

    ja, das geht. Wichtig ist nur, dass du nichts ausführbares vom Stick startest.

    Schau mal in folgende Anleitung:

    http://www.windowspro.de/andreas-kroschel/wiederherstellen-geloeschter-dateien-schattenkopie

    Hier wird beschrieben, wie man Dateien wiederherstellen kann.

    Wenn auf den USB Sticks sonst nichts sinnvolles ist, kannst du sie formatieren.

    Dazu den USB Stick einlegen.

    Dann über das Startmenü “Computer” (rechts in der Liste) aufrufen.

    Den USB Stick unter “Computer” suchen, über dem USB-Stick rechte Maustaste für das Menü:

    [ATTACH=CONFIG]32370[/ATTACH]

    Im folgenden Dialog dann die Formatierung starten:

    [ATTACH=CONFIG]32369[/ATTACH]

    #69390

    stefan.becker
    Moderator

    Hat die Formatierung geklappt?

    Bzgl. der Frage vorher: Ich habe mal per Google gesucht, derzeit ist keine Entschlüsselung von Daten bekannt.

    #69438

    frankie9440
    Teilnehmer

    Hi,
    die Formatierung klappt soweit, danke der Nachfrage. Soll man als Format FAT oder NTFS nehmen?
    Ich habe jetzt immer FAT genommen, könnte es aber ggf. nochmal neu formatieren.

    Zu den Schattenkopien:

    Wenn ich auf die Sticks gehe, egal ob der verseuchte oder andere, dann gibt es die Lasche mit den “Vorgängerversionen” nicht.

    Wenn ich auf die verseuchte Platte gehe, gibt es zwar die Lasche, aber es sind keine Daten darin enthalten.

    Habe ich was falsch gemacht?
    Danke
    Frank

    #69391

    stefan.becker
    Moderator

    Bzgl. der verseuchten Platte kann es sein, dass Windows von dieser Platte gestartet werden muss. Falls möglich evtl. mal die Platte wechseln, es kann ja nichts passieren, die neue ist dann ja nicht angeschlossen.

    Allerdings haben die letzten Varianten der Trojaner die Schattenkopien absichtlich gelöscht. Sonst trägt das “Geschäftsmodell” ja nicht, wenn es so einfach wäre. Von daher sehe ich da eher schwarz.

    Auf den Sticks wird dann wohl nichts sein. FAT ist OK als Dateisystem. NTFS hat den Nachteil, dass nicht alle Geräte (z. B. Smart TVs etc.) damit klarkommen. FAT hingegen ist “Allegemeingut”.

    Einzige Einschränkung von FAT: Eine Datei darf maximal 4 GB groß sein. Ein Rip einer DVD oder BluRay geht damit nicht auf so einen Stick.

    #69439

    frankie9440
    Teilnehmer

    kurz bevor der Virus auf die Platte kam habe ich die C- Partition bereinigt, da da nur noch wenig Speicherplatz vorhanden war.
    Evtl. sind dabei auch Schattenkopien gelösdcht worden.

    Wenn ich von der verseuchten Platte extern über den USB-Anschluss boote und das verseuchte Windows hochfahren, führt das zum gleichen Ergebnis?

    Dann würde ich den Aufwand zum umbauen sparen.

    Ansonsten habe ich die Hoffnung noch nicht aufgegeben, das es irgendwann ein Entshlüsselungstool geben wird….

    #69392

    stefan.becker
    Moderator

    Grundsätzlich wäre das Ergebnis gleich. Würde ich aber nicht machen. Wenn Malware noch aktiv, würde die interne Platte direkt wieder einen abkriegen.

    #69440

    frankie9440
    Teilnehmer

    wäre es eine Alternative, die neue Platte auszubauen und die verseuchte über den USB Anschluss anzuschliesssen?

    Dann würde ich mir die Montagearbeiten mit dem Einbaurahmen sparen.

    #69393

    stefan.becker
    Moderator

    Ja, das kannst du machen.

    Ich würde halt nur nicht mit der alten booten, wenn die neue angeschlossen ist. Sonst wäre unter Umständen alles für die Katz gewesen und dann auch die Mails endgültig weg.

    #69441

    frankie9440
    Teilnehmer

    Hallo Stefan, leider hat das mit der Datenherstellung nicht geklappt. Gibt es mittlerweile ein Möglichkeit die Dateien zu entschlüsseln?

    #69394

    stefan.becker
    Moderator

    Hi,

    mir ist in der letzten Zeit nur der Tesla Decryter aufgefallen.

    http://www.bleepingcomputer.com/forums/t/576600/tesladecoder-released-to-decrypt-exx-ezz-ecc-files-encrypted-by-teslacrypt/

    Aber so wie ich das lese, hilft das nicht gegen den CTB Locker.

    Von daher also (leider bzw. wie vermutet) nichts neues.

    #69442

    frankie9440
    Teilnehmer

    danke für die Info, also abwarten und weiterhoffen….

    #293456

    frankie9440
    Teilnehmer

    Hallo,
    gibt es mittlerweile ein Entschlüsselungstool für CTB Locker ?

Ansicht von 15 Beiträgen - 76 bis 90 (von insgesamt 91)

Du musst angemeldet sein, um auf dieses Thema antworten zu können.