Diese Dateien nimmt markusg entgegen wenn er denn wieder on ist.
Ich wollte dir nur helfen evtl. Fehlerquellen auszuschließen.

Hallo ich habe die Ncht schonmal geschrieben. Ich habe auch einen dieser Verschlüsselungstrojaner. Ich habe ihn zwar mit der Kaspersky rettungs CD erstmal ausgeschaltet aber alle Dateien sind noch locked. Ich habe zwar gedacht, ich hätte einen Entschlüsselungsschlüssel generieren können, aber er war wohl falsch, denn alle Dateien waren weiterhin nicht lesbar. Heute habe ich gemerkt, dass ich wohl schon jede Menge unordnung in meinen entschlüsselten und nicht entschlüsselten Dateien habe. Jetzt habe ich es mit 5 verschiedenen Originaldateien und verschlüsselten Dateien versucht und leider kann ich keinen Schlüssel generieren. Ich würde auch gerne mal die Original und die verschüsselten dateien hochladen, aber die Dateien sind für dieses Forum als Anhang zu groß. vielleicht kann mir jemand helfen, ich kann die Dateien auch nach Wunsch zusenden- Es kommt immer: es konnte kein Schlüssel generiert werden. Ich glaube ich habe den neuesten Verschlüsselungstrojaner, der sich auch mit 2 gleichen Dateien nicht entschlüsseln lässt. Gibt es hierfür auch schon HILFE??
BItte, ich brauche ganz dringend Hilfe. DANKE

Hallo Sophia,

erstmal runter kommen (auch wenn es schwer fällt) habe hier auch einen Rechner wo immo nichts geht(16000 Files locked). Wichtig ist keine überstürzten Sachen machen und immer mit Backup's testen. Wenn Du die Mail hast, dann an http://markusg.trojaner-board.de schicken im Betreff auch Deinen Namen hier vom Board vermerken. Bei der ersten Generation letzte Woche hat es auch ein paar Tage gedauert bis Bewegung rein kam.

LG

Zitat:

Zitat von Nusshund

Hallo Sophia,

erstmal runter kommen (auch wenn es schwer fällt) habe hier auch einen Rechner wo immo nichts geht(16000 Files locked). Wichtig ist keine überstürzten Sachen machen und immer mit Backup's testen. Wenn Du die Mail hast, dann an http://markusg.trojaner-board.de schicken im Betreff auch Deinen Namen hier vom Board vermerken. Bei der ersten Generation letzte Woche hat es auch ein paar Tage gedauert bis Bewegung rein kam.

LG

leider habe ich die mail nicht mehr, ich habe sie gelöscht. LEIDER !!

Zitat:

Zitat von sophiacompi

leider habe ich die mail nicht mehr, ich habe sie gelöscht. LEIDER !!

eventuell im Papierkorb oder im Ordner"gelöschte Objekte" im Mail Proggi¿
oder weißt Du den Namen der Datei und den Inhalt der Mail noch?

hi,
welche infos wir über die dateien wollen, haben wir ja eig schon lang und breit auf der vorhergehenen seite diskutiert.
sind die dateien denn auf das byte gleich groß zb?
wenn man dateien anhängen will, dann vorher mit winrar zb packen, dann werden sie kleiner :-)
@mails weiter leiten:
wie das geht, steht auf der vorherigen seite, ich kopiere es aber noch mal hier her:
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann mail an:
http://markusg.trojaner-board.de
dort die soeben erstellte datei anhängen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte außerdem den nutzernamen dazu packen, damit ich dann gleich weis mit wem ich rede :-)
daran kann ich dann schon mal sehen, ob die entschlüsselung anhand von paaren
überhaupt noch klappt.

Zitat:

Zitat von markusg

hi,
welche infos wir über die dateien wollen, haben wir ja eig schon lang und breit auf der vorhergehenen seite diskutiert.
sind die dateien denn auf das byte gleich groß zb?
wenn man dateien anhängen will, dann vorher mit winrar zb packen, dann werden sie kleiner :-)
@mails weiter leiten:
wie das geht, steht auf der vorherigen seite, ich kopiere es aber noch mal hier her:
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann mail an:
http://markusg.trojaner-board.de
dort die soeben erstellte datei anhängen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte außerdem den nutzernamen dazu packen, damit ich dann gleich weis mit wem ich rede :-)
daran kann ich dann schon mal sehen, ob die entschlüsselung anhand von paaren
überhaupt noch klappt.

Die Dateien sind gleichgroß und haben den gleichen Namen. Ich habe jetzt die lockes dateien und die Originaldateien angehangen. Es sind die Beispielbilder von windows xp. Die email habe ich leider schon gelöscht. der Anhang war eine rechnung.zip, Ich spreche zwar die ganze Zeit von mir, aber es ist der Computer meiner Chefin und sie braucht ihn wirklich dringend wieder. Leider kann sie mir auch nicht mehr genau sagen, was in der email stand. Angeblich hat sie was bei eplus gekauft, die Zahlung wurde lt. email bestätigt uns sie könnte sich die Rechnung runterladen. Sie hatte natürlich nichts gekauft. Ich glaube das sie verschlüsselung anhand von paaren in diesem Fall nicht klappt. Ich habe schon die verschiedensten Programme üwie Avira unlocker, Kaspersky unlocker, Decrypthelper...

die frage ist wie ich meine dateien entschlüssel, da ich kein schlüssel erzeugen kann. link zu meinen locked bilder und originale sind in meinem thread zu vor

Zitat:

Zitat von hackbart2

die frage ist wie ich meine dateien entschlüssel, da ich kein schlüssel erzeugen kann. link zu meinen locked bilder und originale sind in meinem thread zu vor

so wie es immo aussieht, ist es ja leider nicht das Problem dass keine orig. Daten mehr vorhanden sind, sondern das die Programierer einen Weg gefunden haben keine gültigen Paare mehr zu zulassen. Es hat irgendwo jemand geschrieben er hääte bezahlt und danach wurde alles wieder entschlüsselt. Wäre das vielleicht ein Ansatz um dem Prog irgendwie vorzugaukeln, das eine Zahlung erfolgt ist? im Win sys32 Ordner liegen zumindest bitmaps wo steht Zahlung erfolgt ?!?

nein, falsche schlüssel funktionieren nicht.
und, wenn ihr zahlt, wer sagt euch nicht, dass es beim nächsten mal ne infektion via sicherheitslücke über ne webseite gibt, die dann vllt 500 € kostet.
wenn man die leute bezahlt ist das ein lohnendes geschäftsmodell, und was sich lohnt, setzt sich durch und kostet dann vllt noch mehr.
einfach mal ein bisschen geduld mitbringen, ich weis, das ist schwierig, aber diese malware wurde vor 2 tagen angepasst.
das läuft dann nicht wie im fernsehen, das da mal einer ne minute lang tippt und ne lösung hatt, das braucht halt ein wenig zeit.
und, auch programierer haben ein wochenende und familie etc.
das einzige was wir machen können ist, uns die mails die ich angefordert hab anzusehen, rauszufinden ob ihr wirklich diese variannte habt, die spammer melden etc.

Zitat:

Zitat von markusg

nein, falsche schlüssel funktionieren nicht.
und, wenn ihr zahlt, wer sagt euch nicht, dass es beim nächsten mal ne infektion via sicherheitslücke über ne webseite gibt, die dann vllt 500 € kostet.
wenn man die leute bezahlt ist das ein lohnendes geschäftsmodell, und was sich lohnt, setzt sich durch und kostet dann vllt noch mehr.
einfach mal ein bisschen geduld mitbringen, ich weis, das ist schwierig, aber diese malware wurde vor 2 tagen angepasst.
das läuft dann nicht wie im fernsehen, das da mal einer ne minute lang tippt und ne lösung hatt, das braucht halt ein wenig zeit.
und, auch programierer haben ein wochenende und familie etc.
das einzige was wir machen können ist, uns die mails die ich angefordert hab anzusehen, rauszufinden ob ihr wirklich diese variannte habt, die spammer melden etc.

du hast mich falsch verstanden Markus. Ich sagte nicht bezahlen, sondern vielleicht kann man dem Tool vorgaukeln, dass bezahlt ist? Also mit seinen eigenen Waffen schlagen?

ne, hatte das schon verstanden, nur vllt nicht richtig ausgeführt.
soweit ich weis, klappt es zumindest nicht, wenn man falsche keys eingibt.
ob es sonst noch irgendwelche fehler im programm selbst gibt, weis ich nicht, aber da kümmern sich einige hersteller und ich denke da wirds schon noch ne lösung geben.

Zitat:

Zitat von markusg

ne, hatte das schon verstanden, nur vllt nicht richtig ausgeführt.
soweit ich weis, klappt es zumindest nicht, wenn man falsche keys eingibt.
ob es sonst noch irgendwelche fehler im programm selbst gibt, weis ich nicht, aber da kümmern sich einige hersteller und ich denke da wirds schon noch ne lösung geben.

Du schreibst falsche Schlüssel passen nicht. Avira und Co sagen trotz identischen Bits Dateien sind nicht die gleichen. Kann es sein,
das also der Ursprungsort irgendwie mit gespeichert wurde? Ich habe hier Dateien wo die locked und die orig in unterschiedlichen Ordnern lagen und es funzt nicht.
Würde es vielleicht helfen, wenn Dateien aus einem noch nicht verschlüsselten Ordner nehme und dann einfach den Virus nochmal starten lasse um auch diesen Ordner zu verschlüsseln oder ist der Ansatz Blödsinn?

bei den neuen variannten hat sich die art der verschlüsselung geendert, da klappts nicht mehr mit den paaren.
und, selbst wenn, würde es funktionieren, und du würdest jetzt die malware starten, würde sie einen neuen schlüssel erzeugen.

Hallo zusammen,

ich verfolge diesen Thread seit mehreren Tagen und muss auch meine Begeisterung für die bisherige Leistung und Initiative äußern.

Ich habe bei mir die Systemplatte (und das etwas ältere Backup) meiner Schwester zu stehen. Sie hat am Donnerstag Abend, 03. Mai 12 die mutierte Version geöffnet. Bislang konnte ich keine der hier geschilderten Gegenmaßnahmen erfolgreich anwenden. Das Tool von Matthias ist leider nicht in der Lage einen brauchbaren Schlüssel aus diversen Datei-Paarungen zu errechnen - die anderen Tools allerdings auch nicht . Ich habe auch den Eindruck, dass die Mutation nicht mehr wählerisch bei den Dateitypen ist, sondern einfach alles verschlüsselt, was sie in die Finger bekommt.

Sofern von Nutzen, möchte ich gerne diverse Datei-Paarungen anbieten, um dem Algorithmus der Mutation auf die Schliche kommen zu können. Die Original-eMail habe ich leider nicht mehr finden können, die EXE, welche bei User-Anmeldung gestartet wird, liegt mir aber noch vor und kann auch jederzeit zur Verfügung gestellt werden. Ich habe dafür extra im Forum angemeldet, also seht mir bitte nach, wenn ich die Datei-Upload-Gepflogenheiten nicht sofort parat habe.

Grüße, truthahn