29
Virus hat Dateien verschlüsselt
Guten Tag,
habe von einem Bekannten (Windows7prof32bit) einen Anruf erhalten, dass er seine Daten (pdf, dtf, doc usw) auf einem ext Zyxel (NSA310S)Laufwerk nicht mehr lesen kann, weil alle in der Endung und im Namen unkenntlich verändert wurden.
Das Laufwerk war per Netzlaufwerk mit dem Rechner verbunden. Die vorhandene Sicherung ist leider etwas älter.
Offenbar hat er einen Virus/Trojaner gefangen (er weiss nicht wie) mit Namen HELP_YOUR_FILES. Im Internet habe ich gegoogelt.
Dort wurde erklärt , man müsse an CRYPTOWALL Geld zahlen um eine Entschlüsselung vorzunehmen.
Weiß jemand etwas über diesen Virus/Trojaner? Der Virenscanner Avast hat nichts gefunden.
Gibt es eine Lösung diese Dateien wiederherzustellen?
Vielen Dank für eine Antwort.
Gruss Bertburger
habe von einem Bekannten (Windows7prof32bit) einen Anruf erhalten, dass er seine Daten (pdf, dtf, doc usw) auf einem ext Zyxel (NSA310S)Laufwerk nicht mehr lesen kann, weil alle in der Endung und im Namen unkenntlich verändert wurden.
Das Laufwerk war per Netzlaufwerk mit dem Rechner verbunden. Die vorhandene Sicherung ist leider etwas älter.
Offenbar hat er einen Virus/Trojaner gefangen (er weiss nicht wie) mit Namen HELP_YOUR_FILES. Im Internet habe ich gegoogelt.
Dort wurde erklärt , man müsse an CRYPTOWALL Geld zahlen um eine Entschlüsselung vorzunehmen.
Weiß jemand etwas über diesen Virus/Trojaner? Der Virenscanner Avast hat nichts gefunden.
Gibt es eine Lösung diese Dateien wiederherzustellen?
Vielen Dank für eine Antwort.
Gruss Bertburger
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 291526
Url: https://administrator.de/contentid/291526
Printed on: April 19, 2024 at 09:04 o'clock
29 Comments
Latest comment
Kommt auf die Version des Cryptowall Viruses an.
Hallo @bertburger,
die Suchfunktion hier auf Administrator.de ist dein Freund.
Du bist nicht der erste bzw. einzige der dieses Problem hat.
Lösung für die Datenrettung: Backup wieder einspielen
Du kannst auch versuchen von Kaspersky mit einem Tool drüber zu gehen
Alternativ kannst du versuchen das "Lösegeld" zu zahlen ...
... wobei die Wahrscheinlichkeit sehr gering ist, dass du den Schlüssel bekommst.
Ansonsten musst du Abwarten und Hoffen das der Schlüssel bekannt wird ...
... danach ist die Wahrscheinlichkeit groß, dass du die Daten entschlüsseln kannst.
Gruß
@kontext
die Suchfunktion hier auf Administrator.de ist dein Freund.
Du bist nicht der erste bzw. einzige der dieses Problem hat.
Lösung für die Datenrettung: Backup wieder einspielen
Du kannst auch versuchen von Kaspersky mit einem Tool drüber zu gehen
Alternativ kannst du versuchen das "Lösegeld" zu zahlen ...
... wobei die Wahrscheinlichkeit sehr gering ist, dass du den Schlüssel bekommst.
Ansonsten musst du Abwarten und Hoffen das der Schlüssel bekannt wird ...
... danach ist die Wahrscheinlichkeit groß, dass du die Daten entschlüsseln kannst.
Gruß
@kontext
Hallo,
Nein, hat er eigentlich nicht. Da werden ganz normale Programme und Prozesse zum Verschlüsseln genutzt welche meistens eh schon auf dein Rechner im OS sind. Kein Virus - Kein Trojaner - Kein Schadcode. Nur blöd das als Ergebnis dir der Schlüssel zum entschlüsseln nur gegen Bares raus gerückt werden könnte. Nennt sich Erpressung und es ist nicht sicher das der Schlüssel dann passt. Wenn du selbst Dateien Verschlüßelst würdest du die gleichen Prozeduren anwenden, nur das du den Schlüssel selbst kontrollierst. Da kann eher kein Antiviren etwas böses erkennen. Hier wird das "Ich klick mal, wird schon nichts schlimmes sein, hab ja ein Antivirus" Verhalten von Anwender erfolgreich genutzt.
https://malwaretips.com/blogs/remove-help-your-files-virus/
http://www.bleepingcomputer.com/forums/t/572146/cryptomonitor-stop-all- ...
https://blog.malwarebytes.org/intelligence/2013/10/cryptolocker-ransomwa ...
https://malwaretips.com/blogs/remove-cryptolocker-virus/
https://blogs.sophos.com/2014/06/03/staying-secure-against-gameover-and- ...
https://community.spiceworks.com/topic/393209-does-sophos-protect-from-i ...
https://blogs.sophos.com/tag/cryptolocker/
https://blogs.sophos.com/2015/03/03/anatomy-of-a-ransomware-attack-crypt ...
http://www.systemssolutions.com/sophos-protect-your-files-from-cryptolo ...
Gruß,
Peter
Nein, hat er eigentlich nicht. Da werden ganz normale Programme und Prozesse zum Verschlüsseln genutzt welche meistens eh schon auf dein Rechner im OS sind. Kein Virus - Kein Trojaner - Kein Schadcode. Nur blöd das als Ergebnis dir der Schlüssel zum entschlüsseln nur gegen Bares raus gerückt werden könnte. Nennt sich Erpressung und es ist nicht sicher das der Schlüssel dann passt. Wenn du selbst Dateien Verschlüßelst würdest du die gleichen Prozeduren anwenden, nur das du den Schlüssel selbst kontrollierst. Da kann eher kein Antiviren etwas böses erkennen. Hier wird das "Ich klick mal, wird schon nichts schlimmes sein, hab ja ein Antivirus" Verhalten von Anwender erfolgreich genutzt.
Dort wurde erklärt , man müsse an CRYPTOWALL Geld zahlen um eine Entschlüsselung vorzunehmen.
Wie heißt es doch immer "Wir verhandeln nicht mit Erpressern"Der Virenscanner ... hat nichts gefunden.
Gib denen jetzt nicht die Schuld.Lösung diese Dateien wiederherzustellen?
Neben einer Datensicherung - keine.https://malwaretips.com/blogs/remove-help-your-files-virus/
http://www.bleepingcomputer.com/forums/t/572146/cryptomonitor-stop-all- ...
https://blog.malwarebytes.org/intelligence/2013/10/cryptolocker-ransomwa ...
https://malwaretips.com/blogs/remove-cryptolocker-virus/
https://blogs.sophos.com/2014/06/03/staying-secure-against-gameover-and- ...
https://community.spiceworks.com/topic/393209-does-sophos-protect-from-i ...
https://blogs.sophos.com/tag/cryptolocker/
https://blogs.sophos.com/2015/03/03/anatomy-of-a-ransomware-attack-crypt ...
http://www.systemssolutions.com/sophos-protect-your-files-from-cryptolo ...
Gruß,
Peter
Haben diese Fälle jede Woche bei Endkunden...
michi1983 hat die Möglichkeiten schön einfach zusammengefasst
Das Geld zahlen kann man ausprobieren, aber erst Kontakt zum "Täter" aufnehmen -> ist eine Verhandlungsbasis
michi1983 hat die Möglichkeiten schön einfach zusammengefasst
Das Geld zahlen kann man ausprobieren, aber erst Kontakt zum "Täter" aufnehmen -> ist eine Verhandlungsbasis
Zitat von @117643:
Das Geld zahlen kann man ausprobieren, aber erst Kontakt zum "Täter" aufnehmen -> ist eine Verhandlungsbasis
Das Geld zahlen kann man ausprobieren, aber erst Kontakt zum "Täter" aufnehmen -> ist eine Verhandlungsbasis
Das gestaltet sich nicht so einfach. Denn der will i.d.R. nicht geschnappt werden.
lks
Hallo an alle die mir helfen!
Danke für die/alle Zuschriften. Dann muss ich mal sehen, wie ich weiterkomme.
Werde es mal mit den Schlüsseln oder Verhandlungen machen.
Das mit Zahlen kann ich offenbar nicht weiterempfehlen.
Kann man sagen wie denn das passieren kann um in Zukunft dies zu vermeiden?
Einen schönen Abend und Danke
Bertburger
Danke für die/alle Zuschriften. Dann muss ich mal sehen, wie ich weiterkomme.
Werde es mal mit den Schlüsseln oder Verhandlungen machen.
Das mit Zahlen kann ich offenbar nicht weiterempfehlen.
Kann man sagen wie denn das passieren kann um in Zukunft dies zu vermeiden?
Einen schönen Abend und Danke
Bertburger
Nicht alles anklicken was blinkt und Gewinne verspricht.
Keine E-Mail Anhänge öffnen von denen man 100% weiß, dass sie nicht kompromittiert sind.
etc.
Keine E-Mail Anhänge öffnen von denen man 100% weiß, dass sie nicht kompromittiert sind.
etc.
Einen schönen Abend und Danke
Bitte, ebenso
Hallo,
wenn das am anderen Ende gutgesinnte Menschen wären hätte man das Problem ja eigentlich gar nicht.
Aber wenn die nie die Daten rausgeben, würde auch keiner mehr zahlen....
Stefan
wenn das am anderen Ende gutgesinnte Menschen wären hätte man das Problem ja eigentlich gar nicht.
Aber wenn die nie die Daten rausgeben, würde auch keiner mehr zahlen....
Stefan
Zitat von @StefanKittel:
Hallo,
wenn das am anderen Ende gutgesinnte Menschen wären hätte man das Problem ja eigentlich gar nicht.
Aber wenn die nie die Daten rausgeben, würde auch keiner mehr zahlen....
Stefan
Dieser Tipp war eher ironisch gemeint von mir Hallo,
wenn das am anderen Ende gutgesinnte Menschen wären hätte man das Problem ja eigentlich gar nicht.
Aber wenn die nie die Daten rausgeben, würde auch keiner mehr zahlen....
Stefan
Außerdem glaube ich nicht, dass die Leute Zahlen weil sie gehört haben, dass irgender schon mal die Daten wieder bekommen hat, sondern einfach aus Angst.
Gruß
WIr haben einen Kunden der sich freigekauft hat, war aber nicht günstig
Kann man sagen wie denn das passieren kann um in Zukunft dies zu vermeiden?
Regelmäßige Offsite-Backups machen.Ist wie immer ein schönes Druckmittel/Denkzettel das derjenige nun mal über eine vernünftige Backupstrategie nachdenkt.
Flash/Java aus den Browsern endgültig verbannen und Mails mit unangeforderten Attachments direkt in den Papierkorb befördern und bei Zweifel in den Header der Mail schauen,also Köpfchen einschalten, das bringt mehr als jeder Virenscanner dem man blind vertraut.
Gruß und frohes Fest.
grexit
Was kannst du machen? Ein regelmäßiges Backup - wie wäre es damit? Und möglichst die Backup-Datenträger nicht dauerhaft am Rechner lassen (sonst ist das Sinnlos - auch bei einer überspannung o.ä. würden die ggf. mit gegrillt werden!). Dann hast du das Problem nicht erst... Wie häufig das Backup gemacht werden muss hängt von den Anforderungen ab - es gibt durchaus Leute da reicht "alle 4 Wochen einmal manuell" bis hin zu "alle paar Stunden automatisch"...
Zitat von @122990:
Ist wie immer ein schönes Druckmittel/Denkzettel das derjenige nun mal über eine vernünftige Backupstrategie nachdenkt.
Flash/Java aus den Browsern endgültig verbannen und Mails mit unangeforderten Attachments direkt in den Papierkorb befördern und bei Zweifel in den Header der Mail schauen,also Köpfchen einschalten, das bringt mehr als jeder Virenscanner dem man blind vertraut.
Gruß und frohes Fest.
grexit
Kann man sagen wie denn das passieren kann um in Zukunft dies zu vermeiden?
Regelmäßige Offsite-Backups machen.Ist wie immer ein schönes Druckmittel/Denkzettel das derjenige nun mal über eine vernünftige Backupstrategie nachdenkt.
Flash/Java aus den Browsern endgültig verbannen und Mails mit unangeforderten Attachments direkt in den Papierkorb befördern und bei Zweifel in den Header der Mail schauen,also Köpfchen einschalten, das bringt mehr als jeder Virenscanner dem man blind vertraut.
Gruß und frohes Fest.
grexit
Sers Kollege,
gibt es denn sichere Alternativen zu Java??
Dass Flash inzwischen nicht mehr sicher ist, sollte inzw. jedem DAU bekannt sein! Bei uns hat der inzwischen nichts mehr zu suchen.
Gruß
VGem-e
Kein Java!
Und Anwendunge die auf Java bestehen verbannen.
lks
Servus,
@ lks:
Dumm nur, wenn Du bei einem großen Systemanbieter bist und dessen Software tlw. Java zwingend voraussetzt.
Oder die nette Trassenauskunft der Telekom, die auch ohne Java nicht läuft?
Oder ein GIS-Verfahren, das ebenfalls Java zwingend benötigt!
Hier hat man(n) als Admin die A...karte gezogen.
Gruß
VGem-e
@ lks:
Dumm nur, wenn Du bei einem großen Systemanbieter bist und dessen Software tlw. Java zwingend voraussetzt.
Oder die nette Trassenauskunft der Telekom, die auch ohne Java nicht läuft?
Oder ein GIS-Verfahren, das ebenfalls Java zwingend benötigt!
Hier hat man(n) als Admin die A...karte gezogen.
Gruß
VGem-e
Du kannst Java ja auch nur im Browser deaktivieren oder mindestens die Plugins auf Bestätigung stellen wenn sie doch auf irgendwelchen Seiten gebraucht werden, das hilft schon mal den meisten automatisierten Java-Trojaner-Müll abzuweisen.
Zusätzlich kann man über Deployment-Regeln nur bestimmte Applets etc freigeben
Explizites Freigeben von bestimmten Java-Applets im Browser via Deployment-Config (Sicherheitswarnung deaktivieren)
Zusätzlich kann man über Deployment-Regeln nur bestimmte Applets etc freigeben
Explizites Freigeben von bestimmten Java-Applets im Browser via Deployment-Config (Sicherheitswarnung deaktivieren)
Hallo,
Nochmal etwas Info als PDF von Sophos zum Thema der Cryptolocker und Co.s
https://nakedsecurity.sophos.com/2015/12/22/the-current-state-of-ransomw ... und dort das PDF holen https://www.sophos.com/en-us/medialibrary/PDFs/technical%20papers/sophos ...
Gruß,
Peter
Nochmal etwas Info als PDF von Sophos zum Thema der Cryptolocker und Co.s
https://nakedsecurity.sophos.com/2015/12/22/the-current-state-of-ransomw ... und dort das PDF holen https://www.sophos.com/en-us/medialibrary/PDFs/technical%20papers/sophos ...
Gruß,
Peter
Hallo nochmal an alle, die sich mit diesem Thema befasst haben.
Irgendwo habe ich gelesen, dass bei der Verschlüsselung von Cryptowall, dieser die Daten löscht und dann neue verschlüsselte Daten erzeugt.
Nun ist meine Idee, diese gelöschten Daten mittels Recovery-Programm wiederherzustellen.
Ich weiß aber nicht, was dieses NSA 310S (um das es sich handelt, siehe meinen Beitrag ganz oben) für eine Platten-Formatierung hat.
Vermute mal ext4 oder XFS.
Gibt es ein Programm für ext4, vorausgesetzt das mit dem Löschen stimmt, das auf der Platte nach den gelöschten Daten suchen kann?
Bei FAT oder NTFS (bin mir nicht mehr sicher) habe ich so was schon mal über Nacht laufen lassen mit Erfolg. Solche Programme suchen ja unten in der Magnetisierung nach.
Was meint Ihr zu dieser vielleicht falschen Idee?
Gruss Bertburger
Irgendwo habe ich gelesen, dass bei der Verschlüsselung von Cryptowall, dieser die Daten löscht und dann neue verschlüsselte Daten erzeugt.
Nun ist meine Idee, diese gelöschten Daten mittels Recovery-Programm wiederherzustellen.
Ich weiß aber nicht, was dieses NSA 310S (um das es sich handelt, siehe meinen Beitrag ganz oben) für eine Platten-Formatierung hat.
Vermute mal ext4 oder XFS.
Gibt es ein Programm für ext4, vorausgesetzt das mit dem Löschen stimmt, das auf der Platte nach den gelöschten Daten suchen kann?
Bei FAT oder NTFS (bin mir nicht mehr sicher) habe ich so was schon mal über Nacht laufen lassen mit Erfolg. Solche Programme suchen ja unten in der Magnetisierung nach.
Was meint Ihr zu dieser vielleicht falschen Idee?
Gruss Bertburger
Hallo,
Dann prüfe deine Quellenangaben.
Erzeugen der Verschlüsselten Datei
Überschreiben der Original Datei mit den nun verschlüsselten Dateninhalt
Überschreiben der Kopierten Datei mit Nullen oder so
Löschen der Kopie
Beispiel FAT (File Allocation Table) siehe mal hier. https://technet.microsoft.com/en-us/library/cc776720(v=ws.10).aspx
Im Inhaltsverzeichnis steht z.B. der Dateiname, dessen Größe und in welchem Cluster die Datei anfängt. Am ende vom ersten Cluster ist allerdings der Zeiger(Clusternummer) auf den nächsten verwendeten Cluster der Datei zu finden. Das nennt sich Verkettete Liste und wenn diese reißt ist eben diese Datei nicht mehr rekonstruierbar. Sollte also ein Cryptolocker und Co. die Cluster am ende alle auf 0 setzten oder im Inhaltsverzeichnis (FAT) den Startcluster auf 0 setzen dann wird es schon deutlich schwieriger und langwieriger. Ganz unmöglich nicht, aber der Aufwand ist immens.
https://technet.microsoft.com/en-us/library/cc938947.aspx
Und FAT ist noch das einfachste ....
Gruß,
Peter
Dann prüfe deine Quellenangaben.
dass bei der Verschlüsselung von Cryptowall, dieser die Daten löscht und dann neue verschlüsselte Daten erzeugt.
Erzeugen einer Kopie mit etwas anderen NamenErzeugen der Verschlüsselten Datei
Überschreiben der Original Datei mit den nun verschlüsselten Dateninhalt
Überschreiben der Kopierten Datei mit Nullen oder so
Löschen der Kopie
Ich weiß aber nicht, was dieses NSA 310S (um das es sich handelt, siehe meinen Beitrag ganz oben) für eine Platten-Formatierung hat.
Platte an einen Rechner hängen und mal (nur lesend) nachschauen z.B. mit TestdiskSolche Programme suchen ja unten in der Magnetisierung nach.
In der Magnetisierung sucht nun wirklich keiner, aber in Inhaltsverzeichnisse (auch Fragmente davon) sowie einzelne Sektoren sowie zusammenhängende Sektoren und so weiter. Aber im Magnetismus.....Beispiel FAT (File Allocation Table) siehe mal hier. https://technet.microsoft.com/en-us/library/cc776720(v=ws.10).aspx
Im Inhaltsverzeichnis steht z.B. der Dateiname, dessen Größe und in welchem Cluster die Datei anfängt. Am ende vom ersten Cluster ist allerdings der Zeiger(Clusternummer) auf den nächsten verwendeten Cluster der Datei zu finden. Das nennt sich Verkettete Liste und wenn diese reißt ist eben diese Datei nicht mehr rekonstruierbar. Sollte also ein Cryptolocker und Co. die Cluster am ende alle auf 0 setzten oder im Inhaltsverzeichnis (FAT) den Startcluster auf 0 setzen dann wird es schon deutlich schwieriger und langwieriger. Ganz unmöglich nicht, aber der Aufwand ist immens.
Was meint Ihr zu dieser vielleicht falschen Idee?
Ausprobieren....https://technet.microsoft.com/en-us/library/cc938947.aspx
Und FAT ist noch das einfachste ....
Gruß,
Peter
Hallo Pjordorf / Peter,
wahrscheinlich habe ich mich sehr unklar ausgedrückt was ich meine (Maxwell und Magnetismus sind mir eigentlich klar).
Ich habe folgendes gemeint (Quellenangabe habe ich mir durch schnelles Lesen leider nicht gemerkt!) :
Die Daten einer Festplatte werden auf der Magnetscheibe (ich nenne sie mal so) gespeichert. Durch einfaches Überschreiben kann man diese Daten nicht einfach löschen. (mal ganz abgesehen vom Austragen aus der FAT o.ä.), sondern man muß ein mehrfaches!!! Überschreiben z.B. mit Nullen vornehmen.
Wenn jetzt der Cryptowall die Verschlüsselung vornimmt, so habe ich gelesen, verschlüsselt er die Datei und löscht oder überschreibt die ursprüngliche.
Da es mit Wiederherstellungsprogrammen möglich ist, auch im Restmagnetismus noch Daten zu erkennen, sollte man diese auch wiederherstellen können. Das ist doch der Grund warum man Daten-Festplatten nicht in fremde Hände geben soll.
Mit den Programmen R-Studio, Recuva und Recover My Files habe ich deshalb tatsächlich etwa 90% der Daten wiederherstellen können. Die ext4 Platte aus dem NAS über einen SATA USB Adapter an einen Windows7-Rechner angeschlossen und los! Die Programme haben teilweise bis zu 15h am Stück gesucht.
Nochmals Danke an alle für die rege Diskussion, damit schliesse ich meine Frage an Euch.
Schönes Neues Jahr, das alte steckt im Magnetismus.
Bertburger
wahrscheinlich habe ich mich sehr unklar ausgedrückt was ich meine (Maxwell und Magnetismus sind mir eigentlich klar).
Ich habe folgendes gemeint (Quellenangabe habe ich mir durch schnelles Lesen leider nicht gemerkt!) :
Die Daten einer Festplatte werden auf der Magnetscheibe (ich nenne sie mal so) gespeichert. Durch einfaches Überschreiben kann man diese Daten nicht einfach löschen. (mal ganz abgesehen vom Austragen aus der FAT o.ä.), sondern man muß ein mehrfaches!!! Überschreiben z.B. mit Nullen vornehmen.
Wenn jetzt der Cryptowall die Verschlüsselung vornimmt, so habe ich gelesen, verschlüsselt er die Datei und löscht oder überschreibt die ursprüngliche.
Da es mit Wiederherstellungsprogrammen möglich ist, auch im Restmagnetismus noch Daten zu erkennen, sollte man diese auch wiederherstellen können. Das ist doch der Grund warum man Daten-Festplatten nicht in fremde Hände geben soll.
Mit den Programmen R-Studio, Recuva und Recover My Files habe ich deshalb tatsächlich etwa 90% der Daten wiederherstellen können. Die ext4 Platte aus dem NAS über einen SATA USB Adapter an einen Windows7-Rechner angeschlossen und los! Die Programme haben teilweise bis zu 15h am Stück gesucht.
Nochmals Danke an alle für die rege Diskussion, damit schliesse ich meine Frage an Euch.
Schönes Neues Jahr, das alte steckt im Magnetismus.
Bertburger
Hallo,
das Thema Restmagnetismus ist ein Mythos aus Zeit der 8" Disketten.
Dort waren die Datenfelder noch ziemlich groß.
Bei aktuelle Platten wird schon die NSA richtig schwierigkeiten bei nur einem überschreiben mit Zufallsdaten zu bekommen.
Bei SSDs sieht das ganze nun wieder ganz anders aus wegen deren Logik.
Wenn Du dort was wiederherstellen konntest wurden die Daten nur gelöscht und nicht überschrieben.
Viele Grüße
Stefan
das Thema Restmagnetismus ist ein Mythos aus Zeit der 8" Disketten.
Dort waren die Datenfelder noch ziemlich groß.
Bei aktuelle Platten wird schon die NSA richtig schwierigkeiten bei nur einem überschreiben mit Zufallsdaten zu bekommen.
Bei SSDs sieht das ganze nun wieder ganz anders aus wegen deren Logik.
Wenn Du dort was wiederherstellen konntest wurden die Daten nur gelöscht und nicht überschrieben.
Viele Grüße
Stefan
Moin,
Falsch.
Auch falsch.
Nein. Das ist der Grund, warum man Festplatten schreddert, wenn man sichergehen will, daß Leute mit sehr viel Geld Deine Daten nicht bekommen. Für das normale Budget reicht ein komplettes einmaliges überschreiben mit Nullen (oder anderen Werten) . Das einzige Problem dabei ist, daß reloziierte Sektoren nicht überschrieben werden und man da Daten extrahieren könnte.
Das hat aber nichts mit der Magnetisierungnach dem überschreiben zu tun, sondern einfach nur nicht gelöschte Daten, weil nur die Verwaltunsstrukturen übreschreiben wurden und nicht mehr.
Das ist bei defekten Platten normal, manchmal dauert es sogar Tage.
lks
Zitat von @bertburger:
Die Daten einer Festplatte werden auf der Magnetscheibe (ich nenne sie mal so) gespeichert. Durch einfaches Überschreiben kann man diese Daten nicht einfach löschen. (mal ganz abgesehen vom Austragen aus der FAT o.ä.), sondern man muß ein mehrfaches!!! Überschreiben z.B. mit Nullen vornehmen.
Die Daten einer Festplatte werden auf der Magnetscheibe (ich nenne sie mal so) gespeichert. Durch einfaches Überschreiben kann man diese Daten nicht einfach löschen. (mal ganz abgesehen vom Austragen aus der FAT o.ä.), sondern man muß ein mehrfaches!!! Überschreiben z.B. mit Nullen vornehmen.
Falsch.
Wenn jetzt der Cryptowall die Verschlüsselung vornimmt, so habe ich gelesen, verschlüsselt er die Datei und löscht oder überschreibt die ursprüngliche.
Da es mit Wiederherstellungsprogrammen möglich ist, auch im Restmagnetismus noch Daten zu erkennen, sollte man diese auch wiederherstellen können.
Da es mit Wiederherstellungsprogrammen möglich ist, auch im Restmagnetismus noch Daten zu erkennen, sollte man diese auch wiederherstellen können.
Auch falsch.
Das ist doch der Grund warum man Daten-Festplatten nicht in fremde Hände geben soll.
Nein. Das ist der Grund, warum man Festplatten schreddert, wenn man sichergehen will, daß Leute mit sehr viel Geld Deine Daten nicht bekommen. Für das normale Budget reicht ein komplettes einmaliges überschreiben mit Nullen (oder anderen Werten) . Das einzige Problem dabei ist, daß reloziierte Sektoren nicht überschrieben werden und man da Daten extrahieren könnte.
Mit den Programmen R-Studio, Recuva und Recover My Files habe ich deshalb tatsächlich etwa 90% der Daten wiederherstellen können.
Das hat aber nichts mit der Magnetisierungnach dem überschreiben zu tun, sondern einfach nur nicht gelöschte Daten, weil nur die Verwaltunsstrukturen übreschreiben wurden und nicht mehr.
Die ext4 Platte aus dem NAS über einen SATA USB Adapter an einen Windows7-Rechner angeschlossen und los! Die Programme haben teilweise bis zu 15h am Stück gesucht.
Das ist bei defekten Platten normal, manchmal dauert es sogar Tage.
lks
Hallo,
Aber erfolgreich überschreiben.... Füll einen Sektor deiner Festplatte mit Nullen, dann schreibt ein kleines Gedicht und Speicher es dort im Sektor welcher voll mit Nullen ist. Stehen dann anschließend beim lesen Nullen im Raum oder kannst du dein Gedicht lesen? Wie gesagt ein und der gleiche Sektor
Natürlich ist bei CSI das alles einfacher dargestellt
> Mit den Programmen R-Studio, Recuva und Recover My Files habe ich deshalb tatsächlich etwa 90% der Daten wiederherstellen können.
Gelöscht bzw. überschrieben ist gelöscht bzw. überschrieben. Auch diese Programme können weder zaubern noch ohne Flügel fliegen. @Lochkartenstanzer hat es ja schon gesagt warum angeblich gelöschtes wieder erscheinen kann.
Gruß,
Peter
Aber erfolgreich überschreiben.... Füll einen Sektor deiner Festplatte mit Nullen, dann schreibt ein kleines Gedicht und Speicher es dort im Sektor welcher voll mit Nullen ist. Stehen dann anschließend beim lesen Nullen im Raum oder kannst du dein Gedicht lesen? Wie gesagt ein und der gleiche Sektor
Wenn jetzt der Cryptowall die Verschlüsselung vornimmt, so habe ich gelesen, verschlüsselt er die Datei und löscht oder überschreibt die ursprüngliche.
Si - und weg ist dein Gedicht.Da es mit Wiederherstellungsprogrammen möglich ist, auch im Restmagnetismus noch Daten zu erkennen
Alleine auf einer nie benutzen Platte welche nur Nullen enthält nach dem schreiben von Einsen dort noch vorhergehende Nullen zu erkennen ist schon eine Forschungsarbeit welche auch noch sehr viel Zeit in Anspruch nimmt. Von den Kosten ganz zu schweigen.Natürlich ist bei CSI das alles einfacher dargestellt
> Mit den Programmen R-Studio, Recuva und Recover My Files habe ich deshalb tatsächlich etwa 90% der Daten wiederherstellen können.
Gelöscht bzw. überschrieben ist gelöscht bzw. überschrieben. Auch diese Programme können weder zaubern noch ohne Flügel fliegen. @Lochkartenstanzer hat es ja schon gesagt warum angeblich gelöschtes wieder erscheinen kann.
Gruß,
Peter
Eine schönen Nachmittag,
Zitat von Pjordorf:
Aber erfolgreich überschreiben.... Füll einen Sektor deiner Festplatte mit Nullen, dann schreibt ein kleines Gedicht und Speicher es dort im Sektor welcher voll mit Nullen ist. Stehen dann anschließend beim lesen Nullen im Raum oder kannst du dein Gedicht lesen? Wie gesagt ein und der gleiche Sektor
Das heisst doch im Klartext, einmal mit Nullen alle Sektoren und alles ist total gelöscht. Wenn das so einfach ist.
Wenn das stimmt, frage ich mich , warum z.B. die Gutman-Methode 35x! überschreibt, oder das US-Verteidigungsministerium
Bitfolgen 101010... und dann umgekehrt 010101.. einige Male, und dann noch beliebige Folgen auf die Sektoren schreibt.
Mit Grüssen Bertburger
Zitat von Pjordorf:
Aber erfolgreich überschreiben.... Füll einen Sektor deiner Festplatte mit Nullen, dann schreibt ein kleines Gedicht und Speicher es dort im Sektor welcher voll mit Nullen ist. Stehen dann anschließend beim lesen Nullen im Raum oder kannst du dein Gedicht lesen? Wie gesagt ein und der gleiche Sektor
Das heisst doch im Klartext, einmal mit Nullen alle Sektoren und alles ist total gelöscht. Wenn das so einfach ist.
Wenn das stimmt, frage ich mich , warum z.B. die Gutman-Methode 35x! überschreibt, oder das US-Verteidigungsministerium
Bitfolgen 101010... und dann umgekehrt 010101.. einige Male, und dann noch beliebige Folgen auf die Sektoren schreibt.
Mit Grüssen Bertburger
Wenn das stimmt, frage ich mich , warum z.B. die Gutman-Methode 35x! überschreibt, oder das US-Verteidigungsministerium
Es war einmal, das Steinzeit-Diskettenzeitalter ...Sicheres Löschen: Einmal überschreiben genügt
Zitat
Das hindert freilich die Anbieter von Datenlöschprogrammen nicht, Software feilzubieten, die nach jahrzehntealten, für Disketten entwickelten Sicherheitsstandards Daten bis zu 35-mal überschreibt. Das gibt dem Löschenden das psychologisch wichtige Gefühl es gründlich gemacht zu haben, ist aber reine Zeitverschwendung.
Naja - reine Zeitverschwendung: nein. Es ist ggf. mit genügend Aufwand möglich noch eine Restinformation zu finden wenn das nur mit ner "0" überschrieben wurde. ABER ganz ehrlich: DAS erfordert sicher mehr Möglichkeiten als der normale Bürger in seinem Bereich hat. Wenn du z.B. das US-Verteidigungsministerium hast dann sind sicher da andere Informationen zu finden als auf deiner Festplatte zuhause. Da will man sicher sein das wirklich jeder Sektor wegradiert ist und auch ohne rest-spur (es könnte ja sein das deine Platte beim einmaligen Überschreiben den Sektor nicht erwischt oder dieser Sektor als defekt markiert wurde ohne das er das wirklich ist).
Und ich wage mal zu behaupten das solche Informationssicherheit bei den wenigsten hier gefordert ist. Wenn jemand an die Informationen eines normalen Privatbürgers oder eine Firma möchte und entsprechende Mittel hat dann gibt es sicher bessere und elegantere Wege als die Datenwiederherstellung aus einer gelöschten Festplatte.
Und ich wage mal zu behaupten das solche Informationssicherheit bei den wenigsten hier gefordert ist. Wenn jemand an die Informationen eines normalen Privatbürgers oder eine Firma möchte und entsprechende Mittel hat dann gibt es sicher bessere und elegantere Wege als die Datenwiederherstellung aus einer gelöschten Festplatte.
Zitat von @bertburger:
Das heisst doch im Klartext, einmal mit Nullen alle Sektoren und alles ist total gelöscht.
Das heisst doch im Klartext, einmal mit Nullen alle Sektoren und alles ist total gelöscht.
Jein. Beachte, dalß es reloziiierte Sektoren gibt, die nicht pberschrieben werden!
Wenn das so einfach ist. Wenn das stimmt, frage ich mich , warum z.B. die Gutman-Methode 35x! überschreibt, oder das US-Verteidigungsministerium Bitfolgen 101010... und dann umgekehrt 010101.. einige Male, und dann noch beliebige Folgen auf die Sektoren schreibt.
Ganz einfach das ist eine Behörde udn da wird alles nach Vorschrift gemacht, auch wenn die Jahrzehnte alt sind und der Grund warum das mal gemacht wurde, inzwischen weg ist.
Auch bei heutigen Platten hast Du zwar prinzipiell Restmagnetisierungen, aus dennen man mit exorbitantem Aufwand vielleicht ein wenig Daten herauslesen könnte. Doch durch die heutigen Strukturen, bei denen schon die regulären Bits "ineinanderlaufen" und durch komplizierte mathematische Verfahren wieder "herausgerechnet" werden müssen, braucht man schon sehr viel Geld und Zeit, um wieder da etwas brauchbares herausextrahieren zu können, wenn überhaupt. Die größere Gefahr ist heutztage, daß Laufwerke ohne großen Umstand einfach mal sektoren reloziieren und daher daten, die auf einem "defekten" Sektor gelandet sind, nicht mehr gelöscht/überschrieben werden können.
Deswegen müssen solche Platten geschreddert werden, wenn da wichtige Daten drauf waren, die nicht in falsche Hände geraten sollen.
lks
Prost Neujahr an alle
die sich dankenswerter Weise mit meinen Problemen beschäftigt haben.
Fazit für mich:
Wie man trotz Cryptowall-Verschlüsselung, zumindest in meinem Fall, die Daten wiederherstellen kann, habe ich im Beitrag oben v. 28.12.2015 beschrieben.
Zum Thema Festplatte:
Ich habe jetzt eine Festplatte, die vorher mit nicht mehr benutzten Daten voll war, total mit Nullen beschrieben (Sektoren mit einem Editor nachgeprüft).
Dann wie gehabt mit den Wiederherstellungsprogrammen getestet, ob noch was da war. NICHTS MEHR GEFUNDEN!
Das heißt, dass einfaches Löschen (beschreiben mit Nullen) vorerst ausreicht.
Das Plattenprinzip beruht auf der Remanenz (einfach gesagt verbleibende Magnetisierung). Mit großem! Aufwand, wie Ihr auch teilweise beschrieben habt, wird man möglicherweise noch was finden.
Daher ist schreddern die wirklich totale Lösung. Oder: Ich habe mir aus 20 Magnetscheiben einen Spiegel gebaut.
Gruß Bertburger
die sich dankenswerter Weise mit meinen Problemen beschäftigt haben.
Fazit für mich:
Wie man trotz Cryptowall-Verschlüsselung, zumindest in meinem Fall, die Daten wiederherstellen kann, habe ich im Beitrag oben v. 28.12.2015 beschrieben.
Zum Thema Festplatte:
Ich habe jetzt eine Festplatte, die vorher mit nicht mehr benutzten Daten voll war, total mit Nullen beschrieben (Sektoren mit einem Editor nachgeprüft).
Dann wie gehabt mit den Wiederherstellungsprogrammen getestet, ob noch was da war. NICHTS MEHR GEFUNDEN!
Das heißt, dass einfaches Löschen (beschreiben mit Nullen) vorerst ausreicht.
Das Plattenprinzip beruht auf der Remanenz (einfach gesagt verbleibende Magnetisierung). Mit großem! Aufwand, wie Ihr auch teilweise beschrieben habt, wird man möglicherweise noch was finden.
Daher ist schreddern die wirklich totale Lösung. Oder: Ich habe mir aus 20 Magnetscheiben einen Spiegel gebaut.
Gruß Bertburger
