Frischfisch

fish life reporting


Hinterlasse einen Kommentar

CoinVault und Bitcryptor Ransomware: Daten retten möglich ohne zu zahlen!

Die Ransomware Seuche geht weiterhin um. Sollten Sie betroffen sein und schmerzlich Daten vermissen die noch verschlüsselt sind gibt es Hoffnung. Seit 28.10.2015 hat Kaspersky weitere Schlüssel generiert die dir helfen deine Daten wieder zu bekommen.

UnbeKaspersky bietet einen Entschlüssler zum Download annannt

Kaspersky bietet einen Entschlüssler zum Download an

Schritt 1: Notiere die Bitcoin Wallet Address die die Malware anzeigt

Schritt 2: Kopiere die Liste mit den verschlüsselten Dateien

Schritt 3: Enfernen Sie die Erpressersoftware mit einem aktuellem Antivirenprogramm (falls noch nicht geschehen)

Schritt 4: Downloade das Decryption Tool von Kaspersky -> https://noransom.kaspersky.com

Schritt 5: Installiere das Tool und die zusätzliche Datei für das entsprechende Bitcoin Wallet und folge den Anweisungen in der Software. Viel Erfolg.

Nur nebenbei bemerkt: Mit der Software Cryptowall haben die Macher inzwischen mehr als 325 Mill. $ Dollar verdient. Das FBI hat eine Belohnung von 3 Millionen Dollar Belohnung ausgeschrieben für den der diesen russischen Hacker liefern kann. Inzwischen existieren Toolkits im Internet mit denen sich jeder einen eigenen Cryptoerpresser generieren kann. Man sollte also davon ausgehen das diese Seuche so schnell kein Ende nimmt solange sich damit einfach ein paar Millionen verdienen lassen.

Die Infektion erfolgt auf dubiosen Webseiten im Driveby Download oder durch Anhänge in Emails die diese Software installieren. Seien Sie vorsichtig.

cryptowall

Cryptowall Version 3.0

cryptorbit

Cryptorbit Einblendung




Advertisements


Hinterlasse einen Kommentar

Schlüssel für Trojan.Ransom / Cryptolocker /Cryptorbit etc.

FireEye und Fox-it haben eine Webseite veröffentlicht, auf denen man sich die Schlüssel für die Erpressertrojaner generieren kann um seine Daten wieder zu entschlüsseln. Danke dafür.

Wer es braucht: hier lang -> https://www.decryptcryptolocker.com/

 

Viel Erfolg bei der Datenwiederherstellung!


Hinterlasse einen Kommentar

Cryptorbit: Erpressungs-Trojaner Bitcrypt entschlüsselt!

In letzter Zeit ist wieder einiges an Verschlüsselungsviren unterwegs. Letztens berichtete ich über eine Ransomware die sich Cryptorbit nennt und einem die Daten schreddert. Aufgrund der Tatsache das die Programmierer dieser Ransomware die Verschlüsselung nur auf 128 Stellen Länge gesetzt war ließ sich der RSA Schlüssel knacken. RSA 128 bedeutet eigentlich eine Schlüssellänge von 1024bit… dadurch das der aber nur 128 Stellen lang war müssen nur 426bit entschlüsselt werden was lediglich einige Stunden dauerte.

Mit diesem Schlüssel ist es nun möglich die Dateien wieder herzustellen. Zwar muss erstmal den Schlüssel wieder herstellen um dann die Dateien entschlüsseln zu können aber es gibt ein Perl Skript welches das erledigt. Fabien Perigaud, Cedric Pernet  von Airbus Defense Systems stellen dafür eine Analyse und das Skript zu Verfügung. Ich gehe davon aus das diverse Softwarebuden für Virensoftware darauf basierend Verschlüsselungstools veröffentlichen werden die für den Endverbraucher sicher einfacher zu bedienen sind als die Ausführung von Perl Skripten erlernen zu müssen. Blogbeitrag von Airbus Defense Systems         Perl Skript zum Dekodieren des Schlüssels

 

Hier ein Beitrag aus der Spiceworks Community der sehr hilfreich sein könnte:

http://community.spiceworks.com/topic/540722-4-days-to-pay-what-happens-when-you-pay-a-crypto-ransom?utm_campaign=0717&utm_medium=spotlight&utm_source=swemail

 

 


2 Kommentare

Cryptorbit: Alle Dateien sind verschlüsselt

Und schon ist die nächste Erpressersoftware unterwegs. Via Email wird zur Zeit viel Malware verschickt. Die Absender werden immer besser und verschicken täuschend gut aussehende Firmenmails. Meist von der Telekom, Vodafone oder sonstigen Anbietern. Hier ist es laut Anwender irgendeine Webseite gewesen die dies verursacht hat. Die Virensoftware hat wie so oft nicht reagiert.

Diese Ransom Ware entdeckte ich heute auf einem Windows Server. Sie ist vom PC auf die Netzwerkfreigaben „gesprungen“. Für die Firma ein Riesenausfall. Niemand kann arbeiten bis die Daten wiederhergestellt und die Server wieder sauber sind.

Heute sind alle Fotos, Dokumente und andere Dateien in den Netzwerkfreigaben verschlüsselt. Zusätzlich findet sich in jedem Verzeichnis zwei Dateien. Eine Gif Datei und ein Textdokument. Die GIF Datei fordert dazu auf einen Tor Browser zu installieren. Tun Sie das nicht!!!! Im Text steht der gleich Wortlaut.

cryptorbit

Im Gegensatz zur letzte Ransom Ware Seuche behalten diese Dateien ihren Dateinamen bei und werden nicht umbenannt.

Wo diese Seuche herkommt und wie man Sie wieder los wird muss ich jetzt erstmal recherchieren. Ich halte Sie auf dem Laufenden, bleiben Sie dran

EIN HINWEIS!:

Wenn man mit Google nach dieser Seuche sucht werden viele Ergebnisse angezeigt. Die ersten Suchergebnisse führen zu Webseiten die dazu verleiten eine Entfernungssoftware zu installieren. Laden Sie keine Software aus unbekannten Quellen runter! Meist wird SpyHunter zum Entfernen empfohlen und direkt als Download angeboten. SpyHunter entfernt nichts, es nistet sich ein und installiert noch mehr unerwünschtes Zeugs welches buntes Icons auf dem Desktop ablegt. Was Sie auch nicht tun sollten ist der Anleitung in der Textdatei oder im GIF zu folgen. Selbst wenn Sie tausend Euro bezahlen wird dadurch nichts rückgängig gemacht. Die Dateien bleiben zerstört.

Wichtig wäre den Infektionsweg nachvollziehen zu können. Wenn Sie auch betroffen sind wäre ich Ihnen dankbar wenn Sie einen Kommentar hinterlassen wie der Virus auf Ihr System kam. Vielen Dank dafür.

 

[update]

 

Hier ein Beitrag aus der Spiceworks Community der sehr hilfreich sein könnte:

http://community.spiceworks.com/topic/540722-4-days-to-pay-what-happens-when-you-pay-a-crypto-ransom?utm_campaign=0717&utm_medium=spotlight&utm_source=swemail

[/update]