SSD verschlüsselt, ganz verrückte Nummer...

eXquisite

Lötkolbengott/-göttin
Ich habe damals für einen Kumpel nen Rechner gebaut mit folgenden Specs:

ASRock B450M Pro4
Ryzen 2600X
Sapphire RX580 Special Edition (die in Babyblau)
16GB G-Skill AEGIS 3200Mt/s
512GB Crucial BX500
1TB Seagate HDD
Netzteil ist ein CoolerMaster irgendwas aus nem Mediamarkt, sein altes BeQuiet (aus dem Rechner davor) ist irgendwann mal gestorben.
(Nichts dolles aber relativ neu, scheint zu laufen.)

Das Ding lief jetzt knapp 5 Jahre einwandfrei.

Seit ein paar Tagen hatte besagter Kumpel ständig irgendwelche merkwürdigen Fehler. Ich hatte mal kurz per Discord Screenshare raufgeschaut, aber auf die schnelle nichts gefunden.
Auch CrystalDiskInfo war und ist unauffällig, daher hatte ich da noch nicht auf die Platte getippt...

Ein paar Tage später hat Windows dann angefangen E/A Gerätefehler und Datenträgerfehler auszuspucken.
Er hat natürlich weiter League of Legends gespielt bis nichts mehr ging... seit gestern ist kein Windows Boot mehr möglich und im Bios konnte man nichts mehr anklicken bzw. auswählen (das Bios war komplett "verwirrt").

Jetzt habe ich den Rechner hier, konnte F6 beim Start drücken und ein aktuelles Bios flashen, hab ne Platte von mir reingehängt, der Rechner läuft wieder einwandfrei.

Aber:
Seine BX500 SSD ist verschlüsselt.
In seinem Rechner wird vor dem Bios nach einem HDD Passwort gefragt, ich habe die Platte in nen alten Rechner von mir gehängt, ebenfalls HDD Passwort. (Es ist ne S-ATA SSD aber das Bios checkt es nicht.)
Er hat natürlich kein Passwort im Bios oder so für die Platte vergeben, er weiß nicht mal das sowas geht.

Mit der Crucial Software lässt sich die Platte nicht ansprechen, die Software stürzt ab.
Das Laufwerk ist im "Computer" nicht sichtbar.
In der Datenträgerverwaltung wird der Speicherplatz angezeigt, aber ohne Partitionen. Es lassen sich auch keine Partitionen erstellen, alle Optionen außer "Eigenschaften" sind ausgegraut.
In CrystalDiskInfo hat die Platte den Zustand "gut" "75%".
Auch mit Diskpart habe ich keine Chance, da keine Partitionen vorhanden sind und nicht erstellt werden können.

Edit:
Sobald die Platte angesteckt ist, starten Programme wie CrystalDiskInfo super langsam.
Wenn ich die Platte im Betrieb abziehe startet auch sofort die Crucial Software. :ugly:
Ich glaub echt der Controller hat einen weg, da die Flash-Zellen ja "gut" sind.

Was ist da passiert? Kann durch einen Gerätefehler/Controllerfehler in der SSD die Platte verschlüsselt werden? War da ein Virus im Spiel?
Zum Glück lagen fast alle wichtigen Daten auf der HDD, auf der SSD lagen nur Windows und Spiele.

Gruß
 
Zuletzt bearbeitet:
Was ist da passiert?
Verschlüsselter Datenträger ohne eigenes Zutun (oder hier sogar überhaupt Wissen darüber) ist praktisch sicher Ransomware.

Zum Glück lagen fast alle wichtigen Daten auf der HDD, auf der SSD lagen nur Windows und Spiele.
Ich hoffe wenn du die Platte bei dir eingebaut hast, dass du auch Backups all deine Daten offline hast. Ransomware hat meist die Eigenschaft, sich selbst auf allem zu verbreiten wo sie Zugriff hat.
 
Danke für die schnelle Antwort. :daumen:

Ich hab die Platte natürlich in meinen alten Rechner gehängt in dem sich nur eine alte Kingston A400 mit Windows befindet.

Frage wäre was ich mit dieser tun muss, um sicher zu gehen, dass ich mir am Ende nichts per Stick o. ä. einfange...

Auch habe ich bisher noch keine externe Festplatte / Stick angeschlossen, um die Daten von der HDD zu sichern...

Ich hätte diese einfach wieder in seinen Rechner gehängt. :ugly: (Daten sind ja noch drauf.)

Frage wäre also, wie gehe ich hier korrekt vor, damit am Ende meine "Fünftplatte" und sein Rechner mit neuer SSD Virenfrei bleiben.

Malwarebytes auf meinen Zweitrechner?
 
Frage wäre was ich mit dieser tun muss, um sicher zu gehen, dass ich mir am Ende nichts per Stick o. ä. einfange...
Mit der SSD?
ATA SecureErase.

Problem: Das beseitigt zwar garantiert alle Schadsoftware (und alles andere...) auf der SSD, aber natürlich nicht auf der Quelle. Was genau infiziert ist, woher die Malware stammt usw. kann ich aus der ferne ja nur raten, die Möglichkeiten sind endlos. :ka:
 
Die Crucial Software könnte das, aber die verweigert den Start solange die Platte angeschlossen ist.
Da dreht der "Ladekreis" und sobald ich die Platte abziehe (hab HotPlug an) öffnet sich die Software.
Schließe ich sie wieder an kann man nichts mehr anklicken... -.-

Im Bios vom ASRock Board oder meinem X370 Prime Pro habe ich keine Option zum "platt machen" gefunden.
 
Ohne Board das SecureErase kann ist das natürlich blöd.
Kommst du in die Datenträgerverwaltung? Da könntest du zumindest mal alle Partitionen löschen bzw. die SSD in den RAW-Zustand bringen, vielleicht will die Crucial Software dann wieder starten.

Wenn gar nichts mehr geht bleibt dir nur die SSD in ein Board einzubauen das Biosseitig SecureErase kann oder, ganz profan gesagt, mit nem Hämmerchen draufhauen und ne neue kaufen :-/
Ne 512GB oder 1TB-SATA-SSD kriegt man ja mittlerweile ziemlich nachgeworfen.
 
Kommst du in die Datenträgerverwaltung? Da könntest du zumindest mal alle Partitionen löschen bzw. die SSD in den RAW-Zustand bringen, vielleicht will die Crucial Software dann wieder starten.
Ja komme ich, aber:
In der Datenträgerverwaltung wird der Speicherplatz angezeigt, aber ohne Partitionen. Es lassen sich auch keine Partitionen erstellen, alle Optionen außer "Eigenschaften" sind ausgegraut.

Wenn gar nichts mehr geht bleibt dir nur die SSD in ein Board einzubauen das Biosseitig SecureErase kann oder, ganz profan gesagt, mit nem Hämmerchen draufhauen und ne neue kaufen :-/
Ein paar Boards liegen hier noch. :ugly: Letzteres werde ich wohl auch noch machen.
Ne 512GB oder 1TB-SATA-SSD kriegt man ja mittlerweile ziemlich nachgeworfen.
Ist schon bestellt, jetzt muss er erstmal mit ner 256GB Samsung aus meinem Keller leben. :ugly:
Das Board hat nen M.2. Slot, da kommt ne 1TB Lexar rein und gut ist.

Mal ganz dumm, bei Geizhals steht Garantie von Crucial bis zum erreichen der TBW.
Meinst man kann das Ding noch einschicken?^^ Hat "erst" 50TB runter und Crucial garantiert 120TB... :ugly:

Aber wir sind uns einig, HDD auch platt machen mit Secure Erase?
Und die paar Daten? Auf die A400? Malwarebytes und fertig?
Ggf. bei den paar Worddokumenten nochmal auf die Größe schauen? (Ist zum Glück echt nicht viel.)
Notfalls muss er den Kram halt abtippen.^^
 
Mal ganz dumm, bei Geizhals steht Garantie von Crucial bis zum erreichen der TBW.
Meinst man kann das Ding noch einschicken?^^ Hat "erst" 50TB runter und Crucial garantiert 120TB... :ugly:
Normalerweise ist Garantie Zeit und Schreibleistungsbegrenzt. Von der TBW geht das sicher noch klar aber ich glaube kaum dass da so viele Jahre drauf sind wie die SSD schon alt sein müsste^^
(und nebenbei ist Malware kein Garantiefall)

Aber wir sind uns einig, HDD auch platt machen mit Secure Erase?
Und die paar Daten? Auf die A400? Malwarebytes und fertig?
Wie gesagt ich kanns dir nicht sagen. Niemand weiß ob Malwarebytes genau die Ransomware findet und wenn ja sie beseitigen kann. Niemand weiß wo sie her ist (bedeutet selbst wenn du alles komplett löschst was existiert haste den Schmarrn wieder drauf wenn dein Kollege beispielsweise den verseuchten e-Mail-Anhang nochmal anklickt).

Normalerweise wäre das Standardvorgehen
1.) PC vom Internet trennen
2.) Alle Datenträger die im PC sind, am PC irgendwie angeschlossen waren (auch Sticks, Netzwerklaufwerke, usw.!) sicher löschen
3.) PC neu aufsetzen
4.) Offline-Backup von einem Zeitpunkt vor der Verseuchung einspielen

Das, woran hier die allermeisten scheitern ist das nicht Vorhandensein von Nummer 4.
 
Vom der Beschreibung bin ich mir gar nicht so sicher dass es wirklich Malware ist. Kann auch schlicht ein kaputter Controller zusammen mit einem dadurch verwirrten UEFI sein.
Spätestens aus einem Live-Linux (wenn es ganz sicher sein soll mit absichtlich keinem aktiven NTFS Treiber) raus müsstest du sonst zumindest ohne Verzögerung eine Formatierung der Platte anschieben können.
 
Vom der Beschreibung bin ich mir gar nicht so sicher dass es wirklich Malware ist. Kann auch schlicht ein kaputter Controller zusammen mit einem dadurch verwirrten UEFI sein.
Hab ich auch schon drüber nachgedacht aber dass etwas dann als "verschlüsselt" angezeigt würde wäre mir neu.

Aber ja, Live-Linux ist noch ne gute Idee. Zu verlieren gibts ja nix.
 
Es sieht für mich (kein Storage Experte aber gelernter FISI) nicht nach Software, sondern nach Hardwareverschlüsselung aus...
Daher hatte ich oben ja auch die Vermutung mit dem Controllerbug geäußert.
Und wenn es ne "gute" Software wäre, warum ist die HDD dann nicht verschlüsselt?

Live-Linux werde ich am WE nochmal probieren.

Bzgl. Garantie, da steht ein "oder" und im Falle eines Controllerdefekts...
1718311013543.png


Es geht um diese Platte:
(Hab den Link nochmal angepasst, es ist natürlich die Version die man seit 2018 kaufen kann ohne QLC...)

Das ist auch n Kumpel der Mails überwiegend am Handy abruft und (außer daddeln) kaum was mit der Kiste macht.
Also wenn dann kommt der Virus von einem Download, er nutzt z. B. viele Mods für alte Titel wie Gothic.

Ansonsten nur League of Legends, Rocket League und den Bums... direkt von Steam oder Riot.

Backup ist natürlich nicht vorhanden, ist überwiegend ne reine Spiele-Kiste mit 8 Word-Dokumenten drauf.
 
Zuletzt bearbeitet:
Zuerst hätte ich gedacht, dass er vielleicht bitlocker auf dem Laufwerk aktiviert hat, aber das würde genau so da stehen in der Datenträgerverwaltung. Wenn das nicht so ist und auch nicht über die crucial Software, dann klingt ransomware schon wahrscheinlich. Ein defekter Controller wird meiner Erfahrung nach nicht als Hardwareverschlüsselung angezeigt.
 
Ich denke mal die SSD ist hinüber. Mit einer Linux Rettungsdisk oä kannst es mal versuchen. Ransomware glaub ich eher nicht. Sicherheitshalber solltest deine Kiste trotzdem mit Malwarebytes mal prüfen.

Wenns eine Bitlocker Verschlüsselung ist, steht das dabei, ausser bei der HomeEdition. Der Bitlocker Recovery Key wird im Microsoft Konto hinterlegt - wenn man eines hat. Einem Kumpel ist es mal so gegangen, die folgenden Links haben ihm da sehr geholfen. Warum sein Laufwerk plötzlich verschlüsselt war wusste er auch nicht.

 
Zurück