Wegen Trojaner teilweise Dateien verschlüsselt

Status
Für weitere Antworten geschlossen.

oli_e

Benutzer
Mitglied seit
10. Jun 2011
Beiträge
52
Punkte für Reaktionen
0
Punkte
0
Liebe Forummitglieder,

durch eine dumme Unachtsamkeit habe ich eine zip-Datei in einem Emailanhang geöffnet.

Auf meiner DS sind jetzt teilweise Dateien verschlüsselt und teilweise nicht. Das letzte Backup ist leider schon 2 Wochen her und mein Sohn hat wichtige Dateien für die Schule in einem der infizierten Ordner. Auf dem Volume sind mehrere Ordner angelegt und es sind aber "nur" 2 betroffen. Alle verschlüsselten Dateien haben den Anhang .a3fe und es ist jeweils in den Ordner, in welchen verschlüsselte Dateien liegen eine README.hta Datei vorhanden.

Der Rechner, der dies "verursacht" hat, hängt nicht mehr an meiner DS. McAfee hat darauf 3 Trojaner gefunden. Artemis... und in die Quarantäne verschoben.

Die DS ist auch vom Netz.

Kennt jemand von Euch das Problem und weiß eine Lösung? Vielleicht direkt zu einem Datenrettungsdienst?

Vielen Dank schon mal im Voraus und auf das die Woche besser wird.

Oli
 

Andy14

Benutzer
Mitglied seit
05. Mrz 2014
Beiträge
1.013
Punkte für Reaktionen
0
Punkte
0

KlausKaa

Benutzer
Mitglied seit
08. Feb 2011
Beiträge
100
Punkte für Reaktionen
0
Punkte
0
... McAfee hat darauf 3 Trojaner gefunden. Artemis... und in die Quarantäne verschoben. ...

Hallo Oli,

Artemis hat nix mit der Verschlüsselung von Dateien zu tun - das hat sicher eine andere Ursache.

Grüße, Klaus
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Nach einem solchen Befall sollte man die betroffenen PCs stets neuinstallieren. Auch sollte man sich die Frage stellen ob der Trojaner schlau genug ist sich selbst auf ein Netzlaufwerk zu replizieren, sodass ein späterer Aufruf der Dateien ggf. weitere Infektionen hervorruft ...

MfG Matthieu
 

Perry2000

Benutzer
Mitglied seit
05. Nov 2012
Beiträge
829
Punkte für Reaktionen
16
Punkte
44
Ich hatte im Geschäft auch einen Verschlüsselungsindianer der auf unserem Server werkelte.
Eingefahren durch einen unachtsamen Mitarbeiter. Auf seinen PC war nix passiert, aber das Arbeitsverzeichnis auf dem Server wurde verschlüsselt.

Sobald klar wurde was passiert, hatte ich sämtliche Netzwerkverbindungen getrennt. Alle PCs gescannt, Server Arbeitsverzeichnis formatiert und Betriebssystem gescannt. Bei uns ist auf dem Server das Arbeitsverzeichnis und das Betriebssystem Festplattenmässig getrennt. Betriebssystem konnte ich säubern, war nix verschlüsselt. Die Sicherung ist auf dem Syno, welches Tagsüber aus ist und nur Nachts Syncht, daher auch da nix passiert.

Sicherung vom Syno auf eine USB Platte an einem "sauberen" PC gespielt und dann von USB auf das Server Arbeitsverzeichnis.
Zeitaufwand einen guten halben Tag. / Datenverlust ca. 6 Stunden.

Fazit: Unser Sicherungskonzept ist ausreichend.
Aber den Adrenalinschub brauch ich nicht wieder ;-)

Entschlüsseln ging übrigens nicht und bezahlen tue ich den "Erpressern" sicher nix solange es anders geht.
Hier noch eine Adresse die Dir helfen könnte: http://www.trojaner-board.de
 

oli_e

Benutzer
Mitglied seit
10. Jun 2011
Beiträge
52
Punkte für Reaktionen
0
Punkte
0
Vielen Dank mal für die Rückmeldungen und sorry für die späte Antwort. Kam aber auch noch ein Zahnarzttermin dazwischen.


@Andy14: Ja leider. Hatte heute auch schon ein Telefonat mit einem Mitarbeiter von Kroll in Böblingen. Die machten mir keinerlei Hoffnung auf die Entschlüsselung. Max. das die die bis jetzt noch nicht befallenen Dateien retten könnten.

@KlausKaa: Interessant, es war zumindest vom Datum und der Uhrzeit her passen. Zumindes auf dem Rechner den Mist mal runtergeworfen. Alles weitere mache ich an dem Rechner, wenn alles andere funktioniert.

@Matthieu: Lt. Kroll gehen die davon aus, das der Trojaner so schlau war. Den PC installiere ich in jedem Fall neu. Gibt es eine Möglichkeit, deinen Punkt zu "scannen"?

@Perry2000: Wie hast Du das Betriebssystem auf Deinem Server gescannt? ´Wenn ich den aber wieder ans Netz nehme, also nur Strom nicht Internet, habe ich die Befürchtung, dass er weiter verschlüsselt. Gibt es da eine Möglichkeit, dies zu unterbinden?
 

Perry2000

Benutzer
Mitglied seit
05. Nov 2012
Beiträge
829
Punkte für Reaktionen
16
Punkte
44
Bei uns waren so ziemlich alle Daten auf dem Arbeitsverzeichnis verschlüsselt. Daher hatte ich einfach LAN abgehängt und den Server nicht herunter gefahren. Danach alle PCs gescannt und herunter gefahren. Danach konnte ich LAN wieder anhängen und so hatte ich Zeit die Sache genauer zu betrachten und diverse AV Scanner durchzuprobieren um das Betriebssystem zu säubern, beziehungsweise den Trojaner zu eliminieren.
Wir hatten vor ein paar Monaten den Server durch einen leistungsfähigeren ersetzt. Daher war der Trojaner rasen schnell mit verschlüsseln. Auf dem alten hätte es wohl Tage gedauert ;-)

Eine Möglichkeit das weitere Verschlüsseln zu unterbinden könnte ein booten von CD oder Stick sein und möglichst nur Eingabeaufforderung laufen lassen. Eventuell kommst Du so an die unverschlüsselten Daten und kannst diese sichern.... Ist ein Versuch wert.
Vielleicht passiert auch nix weiter wenn Du normal startest. Wer weiss schon was die Kranken programmieren.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat