Opfer von Ransomangriff - Festplatte verschlüsselt - was kann ich jetzt tun?

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564

Thonav

Benutzer
Sehr erfahren
Mitglied seit
16. Feb 2014
Beiträge
7.896
Punkte für Reaktionen
1.517
Punkte
274
Nicht auf der DS öffnen - per Explorer rüberkopieren auf PC Festplatten oder USB Platte.
Dann die kopierte Datei lokal versuchen zu öffnen.
 

DaDe81

Benutzer
Mitglied seit
14. Aug 2022
Beiträge
16
Punkte für Reaktionen
0
Punkte
1
Ok, ich versuche die Datei zu kopieren und melde mich dann wieder.

Nur zum Verständnis, was ist hierbei der Unterschied?
 

Thonav

Benutzer
Sehr erfahren
Mitglied seit
16. Feb 2014
Beiträge
7.896
Punkte für Reaktionen
1.517
Punkte
274
Du sollst nicht auf dem angefeixtem System arbeiten. Wegsichern heißt weg sichern.
 
  • Like
Reaktionen: DaDe81

DaDe81

Benutzer
Mitglied seit
14. Aug 2022
Beiträge
16
Punkte für Reaktionen
0
Punkte
1
Hallo Zusammen,
die Datei wurde auf eine 2. separate Synology kopiert und über den Backup Explorer geöffnet. Leider kommt identische Fehlermeldung.

Ist die Datei somit auch verschlüsselt worden?

Wie mache ich hier am besten weiter?
 

DaDe81

Benutzer
Mitglied seit
14. Aug 2022
Beiträge
16
Punkte für Reaktionen
0
Punkte
1
Parallel hatte ich Kontakt zu dem "Hacker". Ich habe um Sicherheit gebeten das er auch wirklich den Schlüssel besitzt. Er hat mir nun einen Datei decrypted.
Hilft uns das nun den Schlüssel zu finden indem wir beide Dateien (verschlüsselt/unverschlüsselt) analysieren?
Kann das jemand?

Danke und viele Grüße
Daniel
 

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.969
Punkte für Reaktionen
3.807
Punkte
344
Das wird schwierig werden, es gibt verschiedene Tools für die bereits bekannt gewordenen Verschlüsselungen.
zb. https://www.avast.com/de-de/ransomware-decryption-tools#mac
Aber wenn Du danach suchen solltest, bleib umsichtig von wo Du die Tools verwendest.
Doch daß Du hiermit weiterkommst ist eher unwahrscheinlich. Die Entwickler von Ransomware sind auch nicht auf den Kopf gefallen.

Hat sich der Hacker schon zum Preis für die Freischaltung geäußert?
 

DaDe81

Benutzer
Mitglied seit
14. Aug 2022
Beiträge
16
Punkte für Reaktionen
0
Punkte
1
Danke für deine Rückmeldung.

Das Backup ist also auch verschlüsselt oder?

Ist denn die Ermittlung des Schlüssels durch zwei identische Dateien möglich, welche einmal ein- und decrypted vorliegt?
Der Hacker hat mir eine entschlüsselt.

Preis soll bei ca. 1000€ liegen…
 

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.969
Punkte für Reaktionen
3.807
Punkte
344
Vermutlich ist das Backup auch verschlüsselt, liegt jedenfalls auch sehr nahe, dass der Hacker dies nicht unberührt hat lassen.
Ermittelung des Schlüssels, wird unmöglich sein

Bezahlen, zum einen wie Wertvoll sind die Daten für Dich, zum anderen ist nicht sicher, dass Du nach Bezahlung den Schlüssel bekommst. 🤷‍♂️

Es tut mir echt leid, dass es da kaum bessere Aussichten für Dich gibt.
 
Zuletzt bearbeitet:

Iarn

Benutzer
Sehr erfahren
Mitglied seit
16. Jun 2012
Beiträge
3.019
Punkte für Reaktionen
429
Punkte
149
Ist denn die Ermittlung des Schlüssels durch zwei identische Dateien möglich, welche einmal ein- und decrypted vorliegt?
Der Hacker hat mir eine entschlüsselt.
Eigentlich beruhen alle modernen Kryptierverfahren, darauf, dass genau dies nicht möglich ist. Das geht eigentlich nur bei historischen Verfahren von vor dem 1. Weltkrieg.
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.135
Punkte für Reaktionen
2.093
Punkte
259
Die Verschlüsselungsverfahren basieren auf Mathematik, die in eine Richtung (Verschlüsselung) einfach funktioniert, in die andere aber unmöglich oder zumindest extrem aufwändig, ohne den Schlüssel zu kennen.

Einfaches Beispiel: Datei mal x Quadrat - das führt zum identischen Ergebnis, egal ob x positiv oder negativ ist. Man kann in dem Fall zu 50% erraten, ob es positiv oder negativ war. Es lässt sich aus x Quadrat aber nicht errechnen.

Tatsächlich verwendet werden zum Beispiel elliptische Funktionen, die ebenfalls sehr schwer zurück zu rechnen sind (genauer gesagt die Steigung der Tangente an einem Punkt der Funktion - von der sich bei elliptischen Funktionen nur schwer die Funktion selbst errechnen lässt). Das führt man 50.000 Mal nacheinander aus - wobei die Ausgangswerte einer Berechnung die Eingangswerte der nächsten sind.

Die Zahl der Möglichkeiten steigt dabei exponentiell an, so dass aus einem Vergleich einer Ausgangs- und einer ZieldateI überhaupt nichts berechnet werden kann.

Ist die Verschlüsselung intakt, hast du entweder ein Backup, oder 1.000 Öcken.
 
  • Like
Reaktionen: njanert und Schwarte

DaDe81

Benutzer
Mitglied seit
14. Aug 2022
Beiträge
16
Punkte für Reaktionen
0
Punkte
1
Das klingt ja nicht rosig....

Ich habe mir jetzt mal den Encoder von BloodDolly organisiert. Hierzu habe ich 2 Fragen:

- gibt es eine Mac Version oder weiß jemand wie ich diese unter Mac OS zum laufen bekommen?
- macht es überhaupt Sinn den encoder zu nutzen? Würde versuchen über die Verschlüsselte/Entschlüsselte Datei den Schlüssel ermitteln zu lassen...

Danke!
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.135
Punkte für Reaktionen
2.093
Punkte
259
Das ist Windows-Software. Auf einem Intel-Mac lässt sich Windows starten, und dann liesse sich dieses Programm installieren und starten,

Auf einem Mx-Mac lässt es sich nicht ausführen.

Der Decoder funktioniert nur für die TeslaCrypt Ransomware.
 

Rotbart

Benutzer
Sehr erfahren
Mitglied seit
04. Jul 2021
Beiträge
1.715
Punkte für Reaktionen
635
Punkte
134
Welches Dateisystem hast du auf deiner DS ? Bei BTRFS kann man ja Schnappschüsse wiederherstellen, falls eingerichtet, und der Hacker das nicht beachtet hat.
 

Adama

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
05. Mrz 2013
Beiträge
2.190
Punkte für Reaktionen
766
Punkte
154
Die Snapshots werden da auch nicht viel nützen, die bilden ja immer nur den Teil ab, der sich geändert hat. Bei allem, was gleich geblieben ist, weisen die Snapshots auch auf die Original-Quelle...

Vielleicht kann man da einen Teil zurückholen, aber das wird stark darauf ankommen, wieviel immer gändert wurde und wie weit die Snapshots zurückreichen.
 

Rotbart

Benutzer
Sehr erfahren
Mitglied seit
04. Jul 2021
Beiträge
1.715
Punkte für Reaktionen
635
Punkte
134
Naja wenn alle Dateien verschlüsselt sind haben sich ja auch alle geändert, aber wahrscheinlich gibt es eh keine Snapshots.
 

synfor

Benutzer
Sehr erfahren
Mitglied seit
22. Dez 2017
Beiträge
9.167
Punkte für Reaktionen
1.652
Punkte
308
Oder die wurden vom Angreifer gelöscht.
 

Adama

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
05. Mrz 2013
Beiträge
2.190
Punkte für Reaktionen
766
Punkte
154
Hmmm, interessante Idee. Wenn er alle ändert, müsste er ja von allen einen Snapshot gemacht.

Bringt natürlich nichts, wenn der Hacker so gewitzt ist, wie von Synfor vermutet.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat