Cryptowall 3.0 verlangt 500 Euro in Bitcoins

[Patty]

Hallo!

Mein Laptop wurde mit der Erpresser Malware Cryptowall 3.0 infiziert, die alle meine Daten und Dokumente verschlüsselt hat. Sämtliche Versuche, auch von Profis, meine Daten wiederherzustellen, sind gescheitert. 

Ich kann sie nur zurück bekommen, wenn ich mir für 500 Euro in form von Bitcoins einen persönlich generierten Schlüssel zur Wiederherstellung kaufe. 

Ich bin Studentin und habe in 6 Wochen meine Staatsexamensprüfung. Alle Dokumente und Lernskripte habe ich nun verloren.

Gibt es irgendwas was ich nun tun kann? 

Kann mir hier jemand helfen? Gibt es irgendeine Möglichkeit, diese 2 Bitcoins zu erhalten? 

Viele Grüße

Patty

[fjvbit]

Hallo!

Mein Laptop wurde mit der Erpresser Malware Cryptowall 3.0 infiziert, die alle meine Daten und Dokumente verschlüsselt hat. Sämtliche Versuche, auch von Profis, meine Daten wiederherzustellen, sind gescheitert. 

Ich kann sie nur zurück bekommen, wenn ich mir für 500 Euro in form von Bitcoins einen persönlich generierten Schlüssel zur Wiederherstellung kaufe. 

Ich bin Studentin und habe in 6 Wochen meine Staatsexamensprüfung. Alle Dokumente und Lernskripte habe ich nun verloren.

Gibt es irgendwas was ich nun tun kann? 

Kann mir hier jemand helfen? Gibt es irgendeine Möglichkeit, diese 2 Bitcoins zu erhalten? 

Viele Grüße

Patty

 

ich befürchte man bekommt die 2 Bitcoins nur mit kaufen.

 

Alle sollten daraus lernen die Daten regelmäßig zu sichern.

[Dan Mieck]

ich befürchte man bekommt die 2 Bitcoins nur mit kaufen.

Und ich hätte erhebliche Zweifel, ob mit einer Zahlung die Dateien wirklich wieder entschlüsselt werden. Was hält die Eindringlinge davon ab, noch einmal 1.000 EUR zu verlangen, wenn man durch die Zahlung von 500 EUR schon zeigt, wie wichtig einem die Daten sind? Gibt es Berichte von Leuten, die auf die Erpressung eingegangen sind?

 

Hier soll es angeblich mit Glück den notwendigen Schlüssel geben: https://www.decryptcryptolocker.com/

Ich kenne die Seite nicht. Vielleicht ist das dort angebotene Recovery Tool auch wieder nur weitere Schadsoftware! Habe aber mehrere Hinweise darauf gesehen. Wenn, dann solltest Du einen Experten damit beauftragen. Man kann ja erst einmal recht gefahrlos prüfen, ob der notwendige Schlüssel überhaupt bekannt ist.

 

Hast Du denn gar keine Sicherungskopien gemacht!?

 

Tut mir sehr leid für Dich, Patty!

 

Auch schade, daß manche Leute erstmalig so mit Bitcoin in Berührung kommen. Das ist nicht der beste erste Eindruck!

[Kutscher]

Sieht nicht gut für dich aus. Laut Medienberichten verschwinden die Leute mit den erpressten Bitcoin ohne zu entschlüsseln.

 

[blubblibla]

Wenn Du kein Backup hast, geht vielleicht noch was über die Schattenkopie von Windows:

 

http://deletemalware.blogspot.de/2015/01/how-to-remove-cryptowall-30-virus-and.html

 

 

Ansonsten, wie schon erwähnt, wichtige Daten müssen regelmäßig gesichert werden!

 

 

Zahlen würd ich auf keinen Fall, dann ist das Geld weg und die Daten immer noch verschlüsselt.

[fjvbit]

Und ich hätte erhebliche Zweifel, ob mit einer Zahlung die Dateien wirklich wieder entschlüsselt werden. Was hält die Eindringlinge davon ab, noch einmal 1.000 EUR zu verlangen, wenn man durch die Zahlung von 500 EUR schon zeigt, wie wichtig einem die Daten sind? Gibt es Berichte von Leuten, die auf die Erpressung eingegangen sind?

 

Hier soll es angeblich mit Glück den notwendigen Schlüssel geben: https://www.decryptcryptolocker.com/

Ich kenne die Seite nicht. Vielleicht ist das dort angebotene Recovery Tool auch wieder nur weitere Schadsoftware! Habe aber mehrere Hinweise darauf gesehen. Wenn, dann solltest Du einen Experten damit beauftragen. Man kann ja erst einmal recht gefahrlos prüfen, ob der notwendige Schlüssel überhaupt bekannt ist.

 

Hast Du denn gar keine Sicherungskopien gemacht!?

 

Tut mir sehr leid für Dich, Patty!

 

Auch schade, daß manche Leute erstmalig so mit Bitcoin in Berührung kommen. Das ist nicht der beste erste Eindruck!

 

Es soll wohl "Anbieter" geben, die die Daten hinterher entschlüsseln.

 

Die "Anbieter" haben auch einen guten Ruf zu verlieren.

 

Wenn sich rum spricht, dass sie nie etwas entschlüsseln, dann wird niemand zahlen.

 

Also Google fragen, wie es im speziellen Fall ist. Möglicherweiser ist es ein "seriöser" Erpresser.

[blubblibla]

Es soll wohl "Anbieter" geben, die die Daten hinterher entschlüsseln.

 

Die "Anbieter" haben auch einen guten Ruf zu verlieren.

 

Wenn sich rum spricht, dass sie nie etwas entschlüsseln, dann wird niemand zahlen.

 

Also Google fragen, wie es im speziellen Fall ist. Möglicherweiser ist es ein "seriöser" Erpresser.

 

Definitiv nicht, es gibt genug Leute die zahlen. Von daher niemals bezahlen!

[asorax]

Es soll wohl "Anbieter" geben, die die Daten hinterher entschlüsseln.

 

Die "Anbieter" haben auch einen guten Ruf zu verlieren.

 

Wenn sich rum spricht, dass sie nie etwas entschlüsseln, dann wird niemand zahlen.

 

Also Google fragen, wie es im speziellen Fall ist. Möglicherweiser ist es ein "seriöser" Erpresser.

 

tut mir Leid aber ich muss widersprechen. Ich wurde letztes Jahr von einem Typen erpresst (also einer realen Person, keiner malware), und mein Tip ist ganz klar bei sowas: Niemals zahlen!! Wer einmal zahlt, wird es wieder tun, und deren Ruf ist denen verdammt egal.

 

Allerdings frage ich mich was für eine malware das sein soll. normalerweise einfach im abgesicherten modus starten und das programm entfernen. Es kann natürlich sein das Sie es so in die Registry gepackt haben das Windows es als Systemkritischen Task erkennt und trotzdem gestartet wird. Aber selbst dafür gibt es Lösungen. Zbs die Festplatte in einen anderen pc einbauen und auslesen.

[Kutscher]

Es soll wohl "Anbieter" geben, die die Daten hinterher entschlüsseln.

 

Die "Anbieter" haben auch einen guten Ruf zu verlieren.

 

Wenn sich rum spricht, dass sie nie etwas entschlüsseln, dann wird niemand zahlen.

 

Also Google fragen, wie es im speziellen Fall ist. Möglicherweiser ist es ein "seriöser" Erpresser.

 

Warum sollten sie sich um einen "guten Ruf" kümmern? Es gibt immer genug Leute die panisch bezahlen. Danach macht man mit neuem Namen weiter.

 

Ist ein seriöser Erpresser sowas wie ein schwarzer Schimmel? 

[Kutscher]

 

Allerdings frage ich mich was für eine malware das sein soll. normalerweise einfach im abgesicherten modus starten und das programm entfernen. Es kann natürlich sein das Sie es so in die Registry gepackt haben das Windows es als Systemkritischen Task erkennt und trotzdem gestartet wird. Aber selbst dafür gibt es Lösungen. Zbs die Festplatte in einen anderen pc einbauen und auslesen.

 

Soweit ich gehört habe, verschlüsseln sie alle Daten. Da nützt die Festplatte umbauen auch nicht wirklich.

 

Mit "nicht bezahlen" hast du völlig Recht. Wer zahlt füttert die Nachahmer. 

[asorax]

Soweit ich gehört habe, verschlüsseln sie alle Daten. Da nützt die Festplatte umbauen auch nicht wirklich.

 

Mit "nicht bezahlen" hast du völlig Recht. Wer zahlt füttert die Nachahmer. 

man kann eine ganze festplatte nicht mal eben verschlüsseln. truecrypt brauch für eine 500gb platte locker mehrere stunden. außerdem müssten bei einem normalen antiviren programm mehrmals warnungen kommen.

[fjvbit]

man kann eine ganze festplatte nicht mal eben verschlüsseln. truecrypt brauch für eine 500gb platte locker mehrere stunden. außerdem müssten bei einem normalen antiviren programm mehrmals warnungen kommen.

 

man kann aber problemlos Eigene Dateien und die Dokumente dort verschlüsseln.

 

Das dauert im Normalfall nur ein paar Minuten...

[Kutscher]

man kann eine ganze festplatte nicht mal eben verschlüsseln. truecrypt brauch für eine 500gb platte locker mehrere stunden. außerdem müssten bei einem normalen antiviren programm mehrmals warnungen kommen.

 

http://www.symantec.com/security_response/writeup.jsp?docid=2014-061923-2824-99

 

Wie gesagt, ich kenne zum Glück den Trojaner nur von Berichten. Jedenfalls gibt es viele Webseiten, einschließlich der Anti-Viren-Firmen, die behaupten, die Daten würden wirklich verschlüsselt. 

 

Und Warnungen klicken doch eh die meisten einfach weg ohne zu lesen.

 

Ich kann es nicht testen, ich habe gar kein Windows. 

[prosac]

http://praxistipps.chip.de/cryptowall-virus-entfernen-so-gehts_31228

 

Vielleicht hilfts ja was, hatte mal mit einem Vorgänger zu tun (war aber anscheinend nicht so aggresiv) da hat mir der "abgsicherte Modus" von Windows weitergeholfen!

 

Auf alle Fälle viel Glück!

 

(Schade das der Bitcoin auch auf diese Weise berühmt wird )

 

P.S.: oder du kannst vielleicht versuchen an die "Schattenkopien" der wichtigsten Dateien zu gelangen (Anleitungen hierzu gibt es genug im Netz, z.b. http://www.tipps-tricks-kniffe.de/windows-explorer-zeitmaschinetime-machine-vorherige-versionen-von-dateien-wiederherstellen/ )

[blubblibla]

das ist einer Freundin von mir auch passiert. Es macht erst mal keinen Sinn, zu bezahlen.

Was die gemacht hatte ist ganz einfach. Die ist zur Polizei gegangen und irgendeine Abteilung 

kannte das Problem und hatte ein Tool, das wieder zu entsperren. Ich glaube nicht, dass alle Daten 

gesperrt sind, viele der Systeme, die ich selber gesehen hatte, waren mit irgendwelchen Vektoren verbogen.

 

Willst Du mal wieder rumtrollen? Die erwähnte Malware verschlüsselt die Daten tatsächlich. Wenn das irgendeine Polizeibehörde entschlüsseln kann, dann haben die mehr drauf als alle Sicherheits-Experten und die NSA zusammen. Oder hat in Norwegen jeder Polizist einen Quantencomputer in der Tasche?

 

Sobalds um Technik geht disqualifizierst Du DIch immer wieder selber, halt Dich besser mal an Dieter Nuhr...

[fjvbit]

Ein link zu dem Thema:

 

Trojaner erpresst die Polizei - mit Erfolg

 

http://www.stern.de/digital/online/ransomware-trojaner-erpresst-die-polizei-mit-erfolg-2175644.html

[blubblibla]

Trojaner erpresst die Polizei - mit Erfolg

 

http://www.stern.de/digital/online/ransomware-trojaner-erpresst-die-polizei-mit-erfolg-2175644.html

 

Das war CryptoLocker (eine ältere Variante dieser Art von Malware). Dafür hätte es sogar ein kostenloses Entschlüsselungsprogramm gegeben. Aber typisch Behörde, sind ja nur Steuergelder...

[Christoph Bergmann]

Hmmm ... schlecht ...

 

Ich kenne mich nicht damit aus, aber soweit ich es gelesen habe, gibt es zwar tools, um die Daten zu retten, aber die funktionieren bei der neuesten Generation von Cryptolockern nicht. Was ich auch gehört habe, ist, dass die Cryptoerpresser die Daten in der Regel freigeben, sozusagen, um gute Bewertungen zu bekommen.

 

An sich würde ich auch sagen: zahle so was nie, weil du damit die kriminellen Erpresser unterstützt. Wäre auf deinem Laptop eine ungesicherte Diplomarbeit oder eine Doktorarbeit, würde ich sagen, beiße ich den sauren Apfel, aber Dokumente und lernskripte kannst du doch wohl relativ einfach wiederbesorgen, oder?

[maximal]

Ich machs kurz:

 

Direkt nachdem Cryptowall das System infiziert ist, verschlüsselt es mithilfe der RSA-2048-Verschlüsselung die Dateien auf dem Computer. Gefährdet sind übrigens auch Dateien auf Netzwerkfreigaben.

 

Es gibt derzeit keine Möglichkeit die verschlüsselten Daten wieder herzustellen. Ob der Schlüssel, den die Erpresser liefern, funktioniert (wenn sie ihn überhaupt liefern) hängt auch davon ab, wieviel man durch Löschversuche und Softwareeingriffe auf die Dateien und das System bereits verändert hat.

[Patty]

Hallo!

Vielen Dank für die vielen Antworten. Alle Programme wie Shadow Explorer oder Recuva habe ich versucht, ein Spezialist hatte den Laptop auch übers Wochenende, hat die Festplatte ausgebaut und alles mögliche versucht. Außerdem habe ich mich an den Kryptographie Lehrstuhl an der Uni gewendet. Bei der Polizei war ich auch. Keine Chance, die Daten sind einfach nicht zu entschlüsseln. 

Dann werde ich sie wohl als verloren akzeptieren müssen. 

Ich hatte gehofft, dass man wenigstens über die bitcoins noch irgendetwas erreichen kann, habe mich auch per Kontaktformular an bitcoin.de gewandt, aber da ist auch nichts zu machen. 

Die Daten die ich extra auf dem Stick gespeichert hatte, sind halt leider auch alle mitverschlüsselt...und in 6 Wochen habe ich mein Staatsexamen

[boardfreak]

@pat

 

"...Ich hatte gehofft, dass man wenigstens über die bitcoins noch irgendetwas erreichen kann..." - rechne doch den erwartungswert der alternativen aus - kannst ja problemlos irgendwo die geforderten bitcoins kaufen und denen dann zuschicken - die frage bleibt halt ob die sich dann auch dran halten und dir deinen rechner entschlüsseln

[Patty]

Hallo!

Ja, genau deswegen wollte ich wissen, ob man bitcoins vllt irgendwie zurückziehen lassen kann oder so, ob auf diese Weise was machbar ist. Ich hatte vor diesem Virus noch nie was davon gehört und wollte auch in diese Richtung nichts unversucht lassen. 

[boardfreak]

@pat

 

"...ob man bitcoins vllt irgendwie zurückziehen lassen kann..." - nein - einmal versendete bitcoins sind nicht rückbuchbar - einziger ausweg wäre eine multi-signatur-transaktion mittels eines treuhänders - damit würden die nur die bitcoins gutgeschrieben bekommen wenn du bestätigst dass du deinen rechner entschlüsseln konntest oder der treuhänder als schiedsrichter dies entscheidet - im klartext: 2 der 3 (du, die und der treuhänder) beteiliegten geben die bitcoins frei - ich glaube aber kaum dass de sich auf sowas einlassen bzw selbst den treuhänder bestimmen würden der dann wahrscheinlich eh mit denen unter einer decke stecken würde und somit nicht unparteiisch wäre

 

"...und wollte auch in diese Richtung nichts unversucht lassen..." - bitcoins sind einfach gesagt dezentrales geld und quasi anonym - die hätten auch von dir verlangen können dass du denen euros in bar irgendwo im wald vergräbst - die haben halt deinen rechner in ihrer gewalt und wollen nun lösegeld dafür - die große unbekannte ist halt ob die den rechner entschlüsseln wenn du die bezahlst - das risiko ist halt dass du denen bitcoins schickst aber du immer noch nicht an deine daten kommst - ist wie lotto spielen wo du auch ncht weisst ob du gewinnst wenn du den tippschein kaufst - hier der aktuelle kurs http://bitcoinity.org/markets/kraken/EUR

[blubblibla]

treuhänder ... - ich glaube aber kaum dass de sich auf sowas einlassen bzw selbst den treuhänder bestimmen würden der dann wahrscheinlich eh mit denen unter einer decke stecken würde und somit nicht unparteiisch wäre

Lol, das wär doch mal eine Geschäftsidee. Treuhänder für Erpresser, aslo quasi SilkRow (SolkRoad + Escrow) 1.0.

[Eddi]

Lol, das wär doch mal eine Geschäftsidee. Treuhänder für Erpresser, aslo quasi SilkRow (SolkRoad + Escrow) 1.0.

 

SolkRoad? Lustig. Wenn man Google Translater auf "Solk" loslässt kommt "Müll", wie passend.