.Devos Ransomware

M

MdLaw

Profi
Thread Starter
Mitglied seit
03.05.2019
Beiträge
3
Habe folgendes Problem,

Eine Bekannte von mir hat sich eine Ransomware eingefangen.

Leider gibt es keine Restorepoints oder Shadows um die Dateien zurückzusichern.

Backup ist ebenfalls mit verschlüsselt.

8000 $ soll der Spaß kosten.

Ransomware ist Phobos. Dateiendung .devos

WIe lange schätzt Ihr würde es dauern auf eine Entschlüsselung seitens bekannter Hersteller zu warten?
Oder kennt Ihr gar eine Methode?

Das rekonstruieren einiger Dateien ist möglich.
Leider brauche ich aus dem System eine Datenbank die verschlüsselt ist.
Hat irgendwer einen Tipp? Oder kann helfen?
Sämtliche Decrypter wurden bereits getestet.
Leider ohne Erfolg
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Wenn auch das Backup verschlüsselt ist, dann ist das konzeptionell falsch!

Ansonsten hier schon geschaut?

ID Ransomware

Lade eine Lösegeldforderung und/oder eine verschlüsselte Beispieldatei hoch, um die Ransomware zu identifizieren, die deine Daten verschlüsselt hat.
id-ransomware.malwarehunterteam.com id-ransomware.malwarehunterteam.com
 
So ist es.
Und sehr viele Ransomwares löschen die Schattenkopien, damit man darüber nicht die Daten wiederherstellen kann.
Bei Wiederherstellungspunkten werden Benutzerdaten übrigens nicht gesichert/wiederhergestellt, sondern nur Systemdaten.

Wer wichtige Daten hat, hat ein Backup, und zwar ein Offline-Backup (offline deshalb, damit Ransomware darauf keinen Zugriff hat).
Wer kein Backup auf einem Offlinemedium (z.B. USB-Festplatte, CD-ROM/DVD-ROM/BD-ROM) hat, hat keine wichtigen Daten.
Bzw. die Daten waren ihm nicht wichtig genug, um die auf ein Offlinemedium zu sichern.

Daten können nicht nur durch Ransomware und ähnliche Schädlinge verloren gehen, sondern auch durch Hardwaredefekte wie Plattencrash, Überspannung, etc.
Deshalb sollten auch Privatleute immer regelmäßig ein Backup auf einem Offlinemedium haben.
Das Offlinemedium darf nur wärend der Zeit des Backups bzw. der Wiederherstellung angestöpselt sein, denn sonst ist kein Offlinemedium, sondern online.
Ein NAS o.Ä. ist aus o.g. Gründen auch kein wirklich taugliches Backupmedium.
Bei z.B. Überspannung stirbt nämlich nicht nur der PC, sondern auch gleich das NAS mit.
Dann hätte man Daten und Sicherung zugleich verloren.
Und Ransomware würde auch die Daten auf einem NAS verschlüsseln.

Und was Ransomware angeht:
So etwas kann man sich nur auf den Rechner holen, wenn Brain.exe nicht richtig funktioniert oder teilweise deaktiviert wurde.
 
Zuletzt bearbeitet:
Nope, Online geht auch, man muß halt ein vernünftiges CoW-Dateisystem mit Read Only Snapshots einsetzen, dann kann die Ransomware zwar auch die Daten verschlüsseln die Originale bleiben aber als Read Only Snapshots vorhanden >> ZFS! (BTRFS kann das mWn auch, ist in meinen Augen aber noch nicht wirklich einsetzbar.)
Das einzige was im Zweifelsfalle passieren kann, ist daß das Dateisystem volläuft, wenn über 50% des Dateisystems befüllt sind, dann kann halt nicht mehr weiter verschlüsselt werden.

Grundsäzlich ist ein Offline Backup natürlich die Beste Wahl - und mindestens in einem anderen Brandabschnitt gelagert.
 
Schattenkopien sind aber kein Backup.
 
Ceiber3 schrieb:
Schattenkopien sind aber kein Backup.
Zum Vergrößern anklicken....
Wenn die Architektur passt und die Anwendung korrekt ist dann geht das voellig in Ordnung.
... Will dich mal ohne Snapshots sehen wie du n großes produktives System in kurzer Zeit wieder restoren kannst :-)
 
Und was ändert das an meinen Text ? :unsure: Ich habe auch Snapshots und trotzdem zur Sicherheit ein externes Backup. Wenn ein die Daten so wichtig sind, hat man min 1 Backup von den Daten.
Sogar die Snapshot Datein habe ich auf nen extra Datenträger, so können die auch nicht verschlüsselt werden.
 
Was sabbelst du denn so rum?
Du hast ne allgemeine Aussage getaetigt, dass Snapshots keine Backups sind.
Das ist halt falsch, und fertig.
 
Du hast ne allgemeine Aussage getaetigt, dass Snapshots keine Backups sind.
Zum Vergrößern anklicken....

Sehe ich komplett anders. 😜 Müssen aber nicht einer Meinung sein.
 
Die Aussage, daß Snapshots keine Datensicherung ist, ist ja auch richtig, Snapshots, wenn sie denn Read Only sind, schützen halt vor Ransomware und ermöglichen das Wiederherstellen von Vorversionen (das was bei MS dann Schattenkopie heißt und von jeder x-belibigen Ransomware gelöscht werden kann).
Aber: Bei ZFS werden via ZFS Send Snapshots gesichert, daher möglicherweise die Irritation.
 
Um mal zum Thema zurück zu kommen :

Images der Festplatten ziehen und PC neu machen. Dann hoffen das irgendwann ein decrypter bereit steht und man an die verschlüsselten Daten kommt. Ob das jemals der Fall sein wird kann keiner von uns sagen.
Eine andere Möglichkeit gibt es nicht.

Falls da eine Doktorarbeit oder dergleichen drauf war welche eben dringend benötigt wird würde ich ein Image ziehen und dann das Gerät zu Ontrack oder einem anderen Profi in Sachen Wiederherstellung geben. Aber auch da sind die Chancen gering bis nicht vorhanden......und billig ist das auch nicht.
Habe schon Unternehmen erlebt welche tatsächlich gezahlt haben da der Datenverlust zwischen letztem Backup und der Verschlüsselung teurer gewesen wäre als die Lösegeld Forderung. Die Erpresser hatten sogar nen ganz netten 'Support' ^^

Das 'Backup' Konzept deiner Bekannten sollte man auf jeden Fall überdenken und anpassen damit so etwas nicht nochmals passiert.
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh