Vielen vielen Dank für Eure Hilfe, hat alles super zum ent"locked" funktioniert :-)

Frage noch, wielange soll die Sicherheitskopie der Locked Daten draufbleiben und kann man diese dann einfach löschen?

Hallo ich habe auch das Problem mit dem entschlüßeln habe zwar einen Key mit einer Kranken und einer gesunden Datei erstellt es wurden auch alle Ordner wiederhergestellt doc,xls,pdf dateien wenn ich die aber aufrufe, kommt eine Schrift die mann nicht lessen kann ganz komische Zeichen was kann ich jetzt dagegen tun das ich die Dateien wieder lessen und bearbeiten kann.

Gruß
Rainer

Hallo zusammen,
Wahnsinn, was hier in kurzer Zeit auf die Beine gestellt wurde. Dafür schon mal vielen Dank! Gestern haben wir uns den Trojaner leider auch ins Haus geholt.
Aber leider funktioniert das mit der Entschlüsselung bei uns nicht. Ich weiß nicht, ob ich das ganze nicht vielleicht falsch verstehe und falsch mache. Man muss ja die locked-Datei erst anklicken, und dann die Originaldatei. Aber was denn für eine Originaldatei? Sind doch alle locked. Hab dann mal so ein Beispielbild abgespeichert. Aber das geht auch nicht. Da steht dann, das ist nicht das gleiche Paar oder hat eine verschiedene Größe. Ich verstehe es nicht.

Ja hallo zunächst Chapou, kein großer Virenscanner kann es bisher!
Ich habe alles durchgeführt erst Malwarebytes 4 Dateien gefunden (im abgesicherten Modus ging bei mir das starten noch) dann besser noch von Dr. Web Drwebcurlet erst damit ging ein start ohne Erpresserbildschirm, dann mit aviraunlocked einige Dateien die wichtigsten entschlüsselt alles geht. Jetzt mit Dercrypthelper die unwichtigen Dateien drüber, weil der in der lage ist die locked- Dateien nicht zu behalten. Was derzeit noch stört die Microsoft Officeprogramme lassen sich nicht richtig starten ein Instalationsvorgang wird gestartet wenn man den abbricht fahren die Office Programme runter?

@MatKuni
Jetzt mal ehrlich:
ich glaube Du hast mit deinem Script so manchen hier glücklich gemacht.
Ganz herzlichen Dank für Deine Mühe!
Ich kann grob erahnen, was es Dich an Arbeit gekostet hat.
Natürlich hätten wir alle ohne Internet und Mail keine Viren... um so toller finde ich Leistungen wie Deine.
Ich bin wirklich froh, auf Deinen Beitrag gestossen zu sein.

Herr KUNIG, Vielen Vielen Vielan Dank!

Über 600 Dateien Datenbanken, alles wieder so wie es sein soll!

Natürlich auch ein großes Dankeschön an www.trojaner-board.de für die Unterstützung von Anfang bis zum Ende!

Ich muss mich auch bedanken, oder besser im Namen meines Kunden, der wird sich am Montag freuen.

Da haben wir echt Schwein gehabt,
das der Schöpfer so "faul" war um für alle Dateien den gleichen Key zu benutzen.

Richtiger wer es doch gewesen ein neues Schlüsselpaar beim infizieren zu erzeugen, den Privaten dann zum Autor zu schicken und restlos vom System Wipen.
Jetzt für jede Datei / Ordner nochmal zufällige Schlüssel generieren und diese dann mit dem Öffentlichen Schlüssel zu verschlüsseln.
Bei Zahlung gibt es dann vielleicht den Privaten zurück......
(oder habe ich da jetzt einen Denkfehler drin wo hier der "Fehler" des Autors lag ?)

oder er hatte wohl die CO2 Bilanz seines Treibens im Hinterkopf

hatt doch nicht jeder den selben schlüssel.
außerdem ist das ja erst die erste version.
sie wird weiter entwickelt.
habe gestern eine version eingesendet, in der die möglichkeit besteht, die liste der verwendeten urls auszutauschen.
also der urls der cc server und der server, von denen die malware weitere malware downloaden kann.
da wird sicher noch einiges kommen.

Hallo zusammen

Danke für die geniale Arbeit alle meine Daten sind wieder zurück.
Ich habe mir Vergleichsdaten (Bilder aus dem Ordner Publik ) für XP Vista Win7 zusmmengestellt.
Wer welche braucht, helfe gern Pin mit e.mail Adresss. reicht oder kann ich die hier als zip ablegen?

matkuni und natürlich alle die an diesem genialen Tool mithelfen.
Ihr habt mir viel Zeit erspart und dass habe ich heute mit einem "Fuffi" als Spende für eure Arbeit belohnt. Ich weiss, wieviel Arbeit sowas kostet und bin froh, dass es so Leute wie Euch gibt.
Gruss bummi-fix

Ich habe nur die kranken Dateien habe von einem Freund eine Kranke und gesunde Datei erhalten dann hat der den key generiert. Aber nach der entschlüßelung waren die Dateien zwar wieder im ursprungszustand aber Mann konte sie nicht mehr ließen was kann ich jetzt machen damit ich die Dateien wieder ließen kann.

Gruß
Rainer

INFO 1
Habe den Trojaner offensichtlich am 24.4. gefangen und relativ schnell mit Avira gescanned, deshalb ist Befall bei mir nicht 100% (dann erst nach 2 Tagen wieder am Rechner gewesen und das Chaos festgestellt)
Habe festgestellt, daß er beide Festplatten mit insgesamt 5 Partitionen gleichzeit verseucht hat, allerdings nur bis übergeordneter Ordner beginnend mit A bis D - also offensichtliche alphabethische Reihenfolge. Leider ist Dokumente und Einstellungen betroffen inkl. aller links.
Ebenso .dll, mdb und so weiter

INFO 2
Habe mit AVIRA-ransomeFileUnlocker test auf stick mit 3 Stück .jpg gemacht. Einzel-decrypt ist fehlgeschlagen (vielleicht Fehler von mir - er hat die gleiche datei mit zusatz "decrypted" am Ende des Namens vor der Endung gespeichert, diese hat sich nicht öffnen lassen), aber als ich "kompletten Ordner" angeklickt habe, hat das Programm innerhalb Sekunden die 3 Bilder von zusammen 10 MB wiederhergestellt.
Leider steht da jetzt das Datum vom 29.4. 2012 - speziell bei Fotos wäre mir das Original Datum der Datei lieber.
Habe dann leichtsinnigerweise das komplette Laufwerk "C" (Partition einer Festplatte) eingegeben: nach vielleicht 15 min bekam ich die Antwort "3048 files entschlüsselt".
Ich glaube aber, es hat nicht funktioniert: Bei xls bekomme ich nach wie vor Hyroglyphen, bei .doc die Meldung "Konverter kann nicht gestartet werden mswrd632.wpc"
Andere Dateien wie .dll, .db kann man so eh nicht testen.

FRAGE:
Kann ich da jetzt nochmal den "DecryptHelper" laufen lassen? Der Name der Original-Datei existiert ja jetzt wieder in den verseuchten Teilen des Laufwerks

vielen heißen Dank für dein Programm Matkuni, hat mir Zeit und Nerven gerettet.
Ich bin gerne bereit, dir per Paypal eine Anerkennung zu senden, wenn du mir deine Empfängeradresse zukommen läßt.

Ein Problem habe ich allerdings. Ich habe vor DecryptHelper 0.5 zuerst versucht mit Avira Ransom File Unlocker die Dateien zu retten, dummerweise auf der ganzen C Festplatte.
Da die Dateien aber danach erzeugt wurden, aber nicht lesbar sind, habe ich jetzt das Problem, dass ich den DecryptHelper 0.5 dafür verwenden will.

Da aber alle Dateien namentlichals angebliches Original entschlüsselt und schon erzeugt sind, findet DecryptHelper 0.5 natürlich nichts.
Ich müßte jetzt jede einzelne von Avira erzeugte "entschlüsselte" Originaldatei wieder löschen :-(

Gibt es eine Möglichkeit, irgendwie zu hinterlegen "trotzdem erzeugen", also überschreiben.
Das wäre ganz toll

Danke im voraus
zebulon0401

Bin heute und auch noch morgen mit Unikram beschäftigt und deshalb nur ein kurzes Update.

Zitat:

Zitat von zebulon0401

Gibt es eine Möglichkeit, irgendwie zu hinterlegen "trotzdem erzeugen", also überschreiben.
Das wäre ganz toll

- Die Funktion "Existierende Dateien überschreiben" wurde hinzugefügt und macht genau das, was angefragt wurde
- Zeilenumbrüche in der Logdatei sind nun auch unter Windows korrekt

http://matthi.org/DecryptHelper-0.5.2.jar
http://matthi.org/DecryptHelper-0.5.2.exe (für Leute, bei denen Jar-Dateien mit dem falschen Programm geöffnet werden)

Zitat:

Zitat von Speasy

Huhu!
Ja super..bei allen klappt das wieder,nur bei mir nich *bade ne Runde in Selbstmitleid.Hab es schon mit zwei Pärchen(eine infizierte Bilddatei und eine frisch aus der Camera) mit exakt der selben Größe mehrfach probiert,aber es kommt immer nur "Der Schlüssel konnte nicht bestimmt werden.Und was nu?Muß die Orginaldatei exakt den selben Namen haben,wie die infizierte

Diese Fehlermeldung taucht auf, wenn zwar die Dateigröße die selbe ist, aber die Dateien nach dem Entschlüsseln trotzdem nicht 100%ig übereinstimmen.
Kann dadurch kommen, dass Metadaten (EXIF etc) geändert wurden, nachdem die Datei von der Kamera geladen wurde. Also ein anderes Pärchen suchen.

Es muss sich um die selbe Datei handeln - ohne irgendwelche Änderungen - damit lediglich die Differenz berechnet werden kann, die die Schadsoftware verursacht hat.

Zitat:

Zitat von Bernie1951

FRAGE:
Kann ich da jetzt nochmal den "DecryptHelper" laufen lassen? Der Name der Original-Datei existiert ja jetzt wieder in den verseuchten Teilen des Laufwerks

Mit Version 0.5.2 ist dies möglich.
Aber auch der DecryptHelper wird deine Erstell-/Änderungszeitpunkte nicht wiederherstellen können. Eventuell kannst du diese aus den EXIF-Daten deiner Bilder auslesen.

Zitat:

Mit Version 0.5.2 ist dies möglich.
Aber auch der DecryptHelper wird deine Erstell-/Änderungszeitpunkte nicht wiederherstellen können. Eventuell kannst du diese aus den EXIF-Daten deiner Bilder auslesen.

@ matkuni
Erst Mal vielen Dank - werde die neue Version ausprobieren, spart mir auf jeden Fall jede Menge Zeit.
Exif Datei hat tatsächlich Original Datum

Habe einige Daten recovered mit 0.5.2 - hat fast alles geklappt, bis auf 2 exe (Steuerprogramm von Lexware). Ich warte erst Mal, bis ich alles fertig habe - kann auch an was Anderem hängen
Melde mich noch Mal