Aktuell sind wieder vermehrt Decrypt Trojaner im Umlauf, die getarnt als Bewerbungsvorlage oder Setups zu Programmen Dateien auf der Festplatte unwiederherstellbar verschlüsseln. Ist es einmal passiert hilft meist nur noch eine Rücksicherung aus einem Backup oder eine Systemwiederherstellung. In diesem Artikel zeige ich Ihnen wie Sie mit unserem Skript erkennen können ob ein Verzeichnis betroffen ist.

Haben Sie einen akuten Verdacht dass bestimmte Verzeichnisse befallen sind, können Sie unser PowerShell Skript nutzen um herauszufinden ob ein Befall vorliegt.

Laden Sie dazu einfach das angehängte Skript auf ein zu prüfendes System.

 

Führen Sie nun das Skript „FindDecryptVirus.ps1“ mit dem Parameter -path und der Pfadangabe aus.

Parameter2

Bitte beachten Sie das je nach Größe des Pfades diese Prüfung einige Zeit beanspruchen kann, da jede einzelne Datei geprüft wird.

Wird eine Datei (oder mehrere) gefunden erhalten Sie eine Ausgabe darüber. Es kann sich natürlich immer noch um einen Fehlalarm handeln, aber eine manuelle Verifizierung der aufgelisteten Dateien ist nun viel besser möglich.

 

found

 

Wurde keine Datei gefunden, bleibt das Ergebnis grün.

safe

 

Verbundene Netzlaufwerke unter dem ausgeführten Benutzerkonto sind hier auch möglich als Pfadangabe.

Sollte die Ransomware erkannt werden und ein echter Befall vorliegen, prüfen Sie unbedingt ob Sie noch ein Backup ohne Verschlüsselung besitzen. Ansonsten bleibt Ihnen nur der saure Apfel und es wird empfohlen zu bezahlen (übrigens sogar vom FBI). Dies sollte aber immer die allerletzte Option darstellen.

 

UPDATE 17-12-2015:

Wir freuen uns immer über Feedback und so haben wir eine erweiterte Version des Skriptes von einem Kunden erhalten. Herr Weinmann war dabei so freundlich dieses Skript auch für die Gemeinschaft freizugeben. In dieser Version können Sie unter anderem noch mehr Parameter angeben, um auch andere Ransomware Arten zu erkennen.

  • Extensions: Geben Sie Dateiendungen an, die typisch sind.
  • Files: Geben Sie komplette Dateinamen an, die typisch sind
  • LogPath: Geben Sie einen Pfad an, in welchem zusätzlich noch ein Protokoll                  erstellt wird.

finddecryptbycustomer

output

Vielen Dank an dieser Stelle für Ihr Engagement.

 

Download Skript: DecryptSkript

Download Customer-Version: CustomerEdition