Hilfe!! Dateien lassen sich nicht mehr öffnen!!

[jahlives]

@g202e
warum forderst du es mit solchen Beiträgen immer wieder hinaus. Neben lesen wäre es auch hilfreich das Gehirn zu benutzen.
Ein Erpresserserver in der Schweiz? Super Idee. Das geht keine 5min und die Behörden reagieren auf ein Amtshilfegesuch in solchen Fällen.
Verbindungen über TOR und dann die IP des Servers in der Meldung? Hirnriss.
Oder steht der Server etwa in Holland, weil es einen holländischen Satz drin hat oder in DE weil es auch Deutsch ist?
Und auf den Virenscannern rumzureiten hilft auch nicht, weil bekannt ist, dass diese Cryptolocker & Co leider allzu oft an den Virenscannern vorbeikommen.
Zu unterstellen man treibe sich auf zwielichtigen Seiten rum ist eine reine Unterstellung. Schonmal von Drive-by Downloads gehört? Das kann dir auch bei bnd.de passieren, wenn die z.B. einen Werbebanner haben und das Werbenetzwerk dahinter kompromittiert ist. Oder via eine der Flashlücken, welche im Zuge des Leaks beim HackingTeam bekannt wurden. Das waren ZeroDays d.h. kein Virenscanner hätte die entdecken können und es hätte z.B. auch beim Angucken eines Videos bei Youtube passieren können.

@topicstarter
sorry mein Beitrag hilft dir nicht wirklich weiter, aber hier musste ich echt was sagen

 

[axuaxu]

Dass das Synology-System zumindest seit Dezember 2013 immer wieder von grossen Sicherheitslücken betroffen ist, die gerne von Trojaner wie dem meinen genutzt werden, habe ich in den letzten 48h auch herausgefunden:

Wie Jedes andere System ebenfalls
Schwachstellen werden andauernd in allen möglichen Programmen gefunden, lässt sich auch nur schwer verhindern
Aber da die DS ja nicht einfach so offen im Inet hängt (ist ja eigentlich immer ein Router dazwischen, somit nicht von aussen erreichbar, ausser man gibt absichtlich entsprechende Ports frei) sollte es auch nicht allzutragisch sein

Nun meine konkrete Bitte an diejenigen hier, die mir konstruktiv helfen möchten: wie kann ich ohne Datenverlust von unserer DSM 4.2 auf die neueste DSM updaten?

Wie schon gesagt hast du dir den Cryptowall auf dem PC eingefangen. Auf der DS lagern lediglich die Daten. Machst du ein Update, werden diese ja nicht verändert

 

[Hafer]

Wer von uns weiß, ob die Entschlüsselung noch funktioniert, wenn sich irgend etwas im Netzwerk des TO ändert, z.B. ein Zugriffspfad - auch wenn die verschlüsselten Daten dabei unangetastet bleiben?
Meine Empfehlug deshalb: Alles belassen, wie es ist, bis die Entschlüsselung erfolgreich durch ist. Das sind nur ein paar Tage, die das Risiko im Vergleich der vergangenen Monate und Jahre nicht unmäßig vergrößern. Du kämpfst sonst nicht nur mit dem Decrypter, sondern vielleicht auch mit allen möglichen Komplikationen, die ein so umfangreiches update mit sich bringen kann.
Die Reihenfolge wäre demnach: Bezahlen, entschlüsseln, File-Service deaktivieren, Backup der Daten auf extern, NAS update, alle Clients reinigen/neu aufsetzen, File-Service wieder aktivieren, ein Liedchen trällern.

Viel Erfolg!

 

[g202e]

Entschuldigung an alouette: Dieses Posting hilft dir eher wenig, aber da ich hier konkret angesprochen wurde, möchte ich darauf auch hier reagieren.

Hirnriss.

Tolle Wortwahl für einen Moderator

Und auf den Virenscannern rumzureiten hilft auch nicht, weil bekannt ist, dass diese Cryptolocker & Co leider allzu oft an den Virenscannern vorbeikommen.

Vorbeikommen vielleicht, aber spätestens, wenn die dann anfangen zu verschlüsseln, sollte das einem ordentlichen Scanner auffallen. Aber das ist dir ja bekannt:

dass dir eine Malware auf dem PC die Dateien in den Freigaben verschlüsselt hat. Wobei das eigentlich von aktuellen Virenscannern erkannt werden sollte

Schonmal von Drive-by Downloads gehört? ....Oder via eine der Flashlücken... beim Angucken eines Videos bei Youtube

Gewiss habe ich schon davon gehört, aber wenn der Cryptolocker in der Art verbreitet würde, wäre das Netz voll von Hilferufen.
Ist es aber nicht!
In meinem Umfeld kenne ich nur einen Befall von Cryptolocker und dieser wurde auf die von mir angedeutete Weise hervorgerufen. Es ist nämlich Teil der Strategie dieser "Dunkelhüte", dass gezielt Leute angegriffen werden, die sich auf "den dunklen Seiten des Netzes" bewegen. Denn diese sind selbstverständlich eher bereit, zu zahlen.
Aber das weißt du wahrscheinlich selber...

 

[Perry2000]

Also wir hatten im Geschäft den Cryptolocker vor rund 2 Wochen eingefangen.
Wie und warum ist bis heute nicht bekannt. Kein Virenscanner hat uns gewarnt und trotzdem wurde unser Server verschlüsselt.... Der Scanner hat erst nach einem manuellen Scan angeschlagen. Da war es logischerweise schon zu spät.

Es ist nämlich Teil der Strategie dieser "Dunkelhüte", dass gezielt Leute angegriffen werden, die sich auf "den dunklen Seiten des Netzes" bewegen.

Ich denke nicht, dass wir uns auf der Dunkeln Seite der Macht bewegen. Metallbearbeitung ist nicht so deren Ding ;-)

Fazit:
Mitarbeiter nach Hause schicken, Sämtliche PCs vom Netz trennen und überprüfen, Server überprüfen und Arbeitsverzeichnis mit dem Backup neu aufsetzen.
Ausfall ca. 1 Arbeitstag.
Da wir nicht wissen wie und woher der Virus kam, bleibt ein ungutes Gefühl. Alle Systeme sind aktuell und das Backup Syno war zum Zeitpunkt des "Angriffes" ausgeschaltet.

 

[Frogman]

Ist schon drollig, was hier so behauptet wird...
Es ist nun lange kein Geheimnis mehr, wie die typischen Angriffsvektoren von Malware wie bspw. Cryptolocker sind. Ganz oben auf der Liste waren und sind nach wie vor email-Anhänge, denn immer noch sind Sicherheitseinstellungen vieler Mailclients grottig - und immer noch öffnen viele Leute in grenzenloser Neugier oder Arglosigkeit auch Anhänge von Absendern, die ihnen nicht unbedingt bekannt sind. Hier helfen teilweise Sandbox-Systeme, die leider für den privaten Durchschnittsuser noch recht fremd sind, und natürlich Aufmerksamkeit sowie gut konfigurierte Clients, was auch die Hersteller fordert.
Der von jahlives erwähnte Drive-by-Download ist ebenfalls hoch beteiligt, und das nicht nur auf der "dunklen Seite des Internets" (in Österreich ist ein Fall dokumentiert, in dem die Webseite einer Tageszeitung kompromittiert war). Hier kann zumindest helfen, die Ausführung von Javascript zu deaktivieren (beim FF bspw. über NoScript), denn das ist nach wie vor die am häufigsten verwendete Mittel. Damit werden zwar nicht wenige Seiten mitunter kaum nutzbar, doch für echtes Surfen sollte man ohnehin eine VM unterhalten. Interessant bei Privatnutzern sind für Cryptoerpresser auch jüngst Gamer geworden, hier werden über im Netz verbreitete Addons zu Spielen gezielt junge Nutzer angegriffen - auch hier gilt, dass ein Spiel oder Addons dazu aus unbekannter Quelle nichts auf einem Rechner zu suchen hat, auf dem echte Nutzdaten liegen.
Grundsätzlich gilt, was schon angeklungen ist - Virenscanner und Firewalls sollten aktuell sein und können helfen, tun es aber nicht immer. Man sollte sich also nicht darauf verlassen. Deshalb immer regelmäßige Backups auf nicht ständig verbundenen Datenträger, für wichtige Daten immer mit Versionierung! Und die goldene Regel: nach Möglichkeit Nutzdaten niemals auf dem gleichen Rechner, der für's Daddeln verwendet wird. Nicht umsonst werden in gesicherten Umgebungen Arbeitsrechner für wichtige oder vertrauliche Unterlagen entweder nur in speziell beschränkten Netzen oder gar ohne einen Netzzugang vorgeschrieben.

 

[alouette]

hallo miteinander

entschuldigt bitte, die sich hier an mich wandten, aber noch keine Rückmeldung erhalten haben.

Ich hatte wegen des Trojaners CryptoWall 3.0 einige sehr stressige Tage weil ich ja einen Zahltermin einzuhalten habe bzw. hatte und zudem mithilfe meines Helfers "Cosinus" drüben von www.trojaner-board.de meine Platten auf Schadware prüfe.

Anbei der Text, den ich soeben im anderen Forum zur Information gepostet habe. Werde mich dann auch nochmals melden, wie es bezüglich der Dechiffrierung ausgegangen ist.

vg
alouette

hallo miteinander

ich wollte diejenigen, die interessiert sind und diesen Beitrag verfolgen, über den Stand meines "Crypto Wall 3.0 Infekts" informieren:

ich konnte gestern ein Konto bei einer Bitcoin-Börse (NL oder GB) eröffnen und per SEPA von der Schweiz aufs Konto nach München überweisen. Heute 11 Uhr morgens war das Geld bereits dort. Danach kaufte ich die Bitcoins und konnte diese direkt ohne Umweg (es braucht somit keine eigene Wallet) aufs Erpresserkonto überweisen.

Danach wartete ich relativ lange, dass jemand (Epresser oder eine Software) den Eingang bestätigt. Dies geschah aber nicht. Also wagte ich mich, auf meiner persönlichen Erpresserseite die Zahlung mittels Eingabe der verlangten Transaktionsnummer zu bestätigen. Danach passierte lange nichts bis die Seite einen Gatway-Fehler meldete. Nach 2 weiteren Leerversuchen mit den Browserfehlermeldungen konnte ich mich kaum noch auf dem Stuhl halten. Am Ende des 3. Versuches blieb die Browserseite intakt, jedoch mit der Meldung, die Zahlung sei nicht eingegangen. Ich gab nochmals die Transaktionsnumer ein und klickte auf "Bezahlt" und bekam endlich die Entwarnung!! Der Adrenalinpegel war höher, als der Arzt erlaubt .

Ich konnte die Zyp-Datei (siehe 1. Beitrag von nachtaktiv) erst nach dem 2. Versuch runterladen, nachdem beim 1. Versuch der Browser wieder ein Fehler gemeldet hat und ich wieder komplett aus dem Häuschen....ich habe keine Ahnung ob der Erpresser so viel Traffic hat, oder ob sich gerade ein neuer Trojaner auf meinen PC einschleuste.

übrigens: just heute wurde bei mir das Lösegeld angehoben von 1.79 auf 1.89 Bitcoins. Der im online-Brief mit den Instruktionen genannte Betrag scheint somit am aktuellen Kurs veknüpft zu sein. Zum Glück hatte ich gestern wesentlich mehr € überwiesen und konnte genug Bitcoins einkaufen. Die restlichen EUROS bleiben vorerst auf meinem Konto bei der Bitcoin-Börse.

Hätte ich gestern und heute nicht einen unglaublich hilfsbereiten und deutsch-schreibenden (live-Chat!!) Mitarbeiter an meiner Seite gehabt, ich bezweifle, diese Transaktion rechtzeitig hätte durchführen können. Dank dem Mitarbeiter kam ich dann noch auf eine Seite, welche die letzten Eingänge auf das Erpresserkontos zeigt: seit Ende Juni sind nur gerade einmal 6 Zahlungen eingetroffen, allesamt bestehend aus verdächtigen Zahlen, die umgerechnet in etwa dem Betrag von $/€ 500.00 ergeben. Ist naheliegend, dass es sich hierbei ebenfalls um Lösegeldzahlungen handelt.

ich werde nun heute anfangen bzw. versuchen meine Daten mit dem Encrypter und den beiden zugestellten Schlüssel wieder zu entschlüsseln. In der letzten Meldung, wo ich die Zip-Datei runterladen konnte hiess es, es müssen alle Virenscanner ausgeschaltet oder deinstalliert sind. Ein riskanter Schritt, aber ich werde mich daran halten.

werde mich dann nochmals hier melden, wie es ausgegangen ist, und auch bei Dir Cosinus, wegen den letzten Schritten zur Bereinigung der Platten.

vg
alouette

 

[dil88]

Was für ein Alptraum, ich möchte nicht in Deiner Haut stecken. Ich hoffe, Du bist erfolgreich und bekommst Deine Daten wieder.

 

[Perry2000]

Ist schon krass.
Es würde mich nicht wundern, wenn Du jetzt einiges entschlüsseln kannst und es dann aber nach ein paar Wochen wieder von vorne los geht.
Wer weiss denn schon, was da so alles auf den Kisten rumschwirrt.......
Ich habe gerade heute ein zusätzliches Image vom ganzen System gezogen.

 

[WAVez]

Guten Morgen aloutte,
habe hier mitgelesen und "mitgefiebert". Da seit deinem letzten Post knapp 1 Woche her ist, wollte ich mal nachfragen, ob es denn nun geklappt hat, deine Daten zu entschlüsseln?

Gruß Oli