Hier hat bisher kein Eccrypter den richtigen Schlüssel gefunden. Hab eine Originaldatei und eine verfälschte Datei. Anhand der Größe, Datum und Uhrzeit zueinander. Aber bisher hilft nichts es heisst nur "Schlüssel konnte nicht gefunden werden" Hab Matthias Tool probiert, Kasperskys und Bitdefender, Avira und Norton.

Vielleicht wisst ihr noch ein Tool das auf aktull verschüsselte (BKA-Trojaner) spezialisiert ist ? Dateinamen ist "jqjyjqAyleleleDsDsD" statt "Bilder Monte Garten 013.jpg"

Wäre schön wenn es da noch was gibt. Danke schon mal im voraus.

Entschlüssung wurde als erfolgreich angezeigt mit ESET.

Datei sieht nun so aus

#ïÔ|Ñ¥6Q˜Ìd¸W×Êp9²&x;‘Û0 üçêV Т>/uŒÅ™Îø ˆÉWÌO Á©6ÐÇàHªqî )+ ŠåJkywj–
`¹WÙŠ}ZX¨
]Æå¾!ä›GÓ4ç1z¯�Ÿ
pZo †×Ú ‰ 64ºFF²{ ¯ ÜÄâßX[jo¾ÈÀOv€õg Ì•i‡;é¿…q4qxéæ!`l
†�

Es war vorher eine doc Datei.

@scos,
hier ist das Diskussionsforum.
Ganz oben steht Hinweis: Vorgehen beim Verschlüsselungs-Trojaner
Wenn Du Hilfe brauchst, dann mache einen eigenen Hilfethred auf und beginne mit o.g. Punkt 1-
Du rufst hier nach Hilfe, ohne jegliche Angaben zum System, zur Variante das Trojaners, wie sich die verschlüsselten Dateien darstellen.
Mir scheint, Du hast hier in den betreffenden Foren nicht weiter gelesen.
Wenn dem so wäre, dann wäre Dir auch klar, dass eine Rekonstruktion nur bei verschlüsselten Dateien der Form locked-xxxxxx.xyyy.zzzz bedingt Erfolg hat.
Weiterhin wüsstest Du, dass bei Dateien der Form DJGHKrhjTUZUIg eventuell auf einen Windows-Widerherstellungspunkt vor der Vireninfektion zurück gegriffen werden kann.
Ansonsten hilft nur Daten verschlüsselt sichern und Abwarten.

Gruß Volker

Hallo.
Bin neu hier.

Mal ne ganz fiese Frage:

Was passiert, wenn man zahlt?
Sind die Dateien dann wieder lesbar?
Gibt es da Erfahrungswerte?

Oder passiert einfach nichts UND das Geld ist weg?



Ich weiss, ich weiss, in mir sträubt sich alles dagegen, die Verursacher auch noch zu belohnen, aber in der Not frisst der Teufel Fliegen.

Bitte antwortet mal sachlich.

Ich habe hier nämlich echt ein fieses Problem, wenn ich nicht wieder an die Dateien komme.

Gruss

McNugget

Hi,

Ich habe hier einen am freitag infizierten Rechner, die Dateien sehen alle ungefähr so aus JguGdsfxDTspDyn, weder ein wiederherstellungspunkt noch die tools avira unlocker, scareuncrypt, decrypter helper oder te94decrypt haben geholfen. Da noch ein altes Backup existiert, habe ich eine große Anzahl unbeschädigter Dateien zum Vergleich. Bin für jeden weiteren Lösungsansatz dankbar,

Beste Grüße
Nor

Zitat:

Zitat von McNugget

Hallo.
Bin neu hier.

Mal ne ganz fiese Frage:

Was passiert, wenn man zahlt?
Sind die Dateien dann wieder lesbar?
Gibt es da Erfahrungswerte?

Oder passiert einfach nichts UND das Geld ist weg?



Ich weiss, ich weiss, in mir sträubt sich alles dagegen, die Verursacher auch noch zu belohnen, aber in der Not frisst der Teufel Fliegen.

Bitte antwortet mal sachlich.

Ich habe hier nämlich echt ein fieses Problem, wenn ich nicht wieder an die Dateien komme.

Gruss

McNugget

Diese Frage tauchte schon öfter auf, aber keiner konnte oder wollte sie bis jetzt beantworten. Klar ist, dass man Erpressern kein Geld in den Hals werfen sollte, aber interessant zu wissen was passiert wäre es schon. Ich habe ja auch schon gepostet, dass im sys32 Ordner sogar eine Bitmap liegt, welche suggeriert eine Entschlüsselung sei im Gang. http://www.trojaner-board.de/114115-...tml#post827498 Falls Du als Versuchskaninchen fungieren möchtest bitte ich mal gleich um Rückmeldung aber eigentlich wäre es der falsche Weg.

Hallo,

ich konnte dan DecryptHelper-0.5.3 einen Schlüssel erzeugen und auch die alle dateien (jpg,doc,pdf,xls usw.) entsperren. Nur habe ich das Problem das die Dateien danach immer noch unbrauchbar sind, da man Sie nicht öffnen kann bzw. es aussieht als ob kein inhalt vorhanden wäre. Die Dateien habe aber ihre richtige Größe usw. Die dateien heißen, locked-2011-Arbeitsdienst.jpg.lhsn

Das Panda Prog geht gar nicht.

Hat jemand einen Rat?

Gruß Alex

@benton18,

Zitat:

Zitat von 007Alex007

Hallo,
...
...
Die Dateien habe aber ihre richtige Größe usw. Die dateien heißen, locked-2011-Arbeitsdienst.jpg.lhsn

...

Gruß Alex

Etwas anderes ist z.Z. auch fast auszuschließen.

Gruß Volker

Hallo..
wir haben ja leider auch die "Lieferschein.exe" Sauerei eingefangen...
Bei uns sind alle Daten auf D: verschlüsselt... auf C: nichts mehr , da hat es gereicht die Endungen wieder anzuhängen (jpg oder mp3...) Was aber auf D: nicht geht ...
Den Virus haben wir mit Kaspersky gelöscht...

Ist es sinnvoll das System (C neu aufzuspielen wenn das Problem auf Partition D: besteht oder ist es erstmal nicht ratsam..?

p.s.: Win 7 Ultimate
Liebe Grüße

moin moin McNugget,
irgendwo, ziemlich am Anfang der mittlerweile fast 1000 Postings zum Thema, hat einer gepostet, ein Bekannter habe gezahlt und die Daten wieder erhalten.
Das war noch die Trojanervariante vom April.
Das war aber Hörensagen.
Selbst hat das hier wahrscheinlich noch keiner getan.
Möglich ist zwar alles, ich würde aber von Deiner letzten Vermutung ausgehen, Geld und Daten weg.
Wie sollte man auch zu dem Schlüssel kommen, wenn der Rechner lahm gelegt ist, per Post mit BootCD oder der Geldempfänger kommt persönlich vorbei und hackt sich wieder in den Rechner ein?
Du übermittels nur den Ucash-Code nix weiter.
Die Rekonstruktion müsste dann simultan online erfolgen oder die Routine müsste im Trojaner selbst existieren.
Aber auch da müsstest Du online bleiben, bis der Request der Ucashprüfung erfolgt ist.
Stell Dir mal vor, 1000, 2000 oder 3000 Betroffene zahlen.
Die Hacker brauchten dazu eine kleine GEZ um das zu händeln.

Ich bin mir sicher, beim Zahlen ist die Kohle weg und Du stehst immer noch im regen.

Gruß Volker

Moin zusammen,

das ist eine sehr fiese (aber vielleicht schnelle) Art, mit unschuldigen Usern Geld zu machen. Wenn man zahlt ist das Geld weg.............darin dürfte ja wohl kein zweifel bestehen......
egal was man macht ob zahlen oder nicht, man steht mit einem riesigen Problem da, zumal zur zeit keine vernünftige Lösung in sicht ist.

Es gibt so viele versch. Varationen dieses Viruses das für jede Art eine eigene Lösung geschaffen werden müsste......
- der eine Verschlüsset den ganzen Dateinamen
- der ander nennt um und verschlüsselt dann
- wieder ein anderer belässt den Dateinamen und ändert die Dateiinformationen
usw. usw.

für alle die betroffen sind ist das mehr als dumm gelaufen...... so hart das auch sein mag
sorry wenn ich das so sage......
aber ich muss auch sagen das sehr viele User nicht richtig lesen, wenn sie eine Mail usw. erhalten (einige unserer Kunden eingeschlossen)...der Inhalt dieser Mail (ohne das ZIP zu aktivieren) hätte eigentlich schon alle Alarmglocken
schlagen lassen müssen, jeder weiss doch ob er im Internet oder wo auch immer etwas gekauft hat was eine solche Re-Summe rechtfertigt......

sorry nachmals an alle die es gemacht haben........möchte nicht noch Öl auf die Wunden schütten...aber es ist so


Didek

Ok...

Sieht also echt mies aus...

Rechtliche Seite?

Sammelanzeige gegen unbekannt?

So wie hier die Antworten reinprasseln, haben sicher hunderte, wenn nicht tausende User das Problem.

Sollte man da nicht versuchen, die Übeltäter irgendwie in den Knast zu bekommen?

Ich bin wirklich sauer.

Habe zwar wohl auch einige wenige Dateien, die als Ursprungsdatei für eine wie geartete Wiederherstellung herhalten könnten, aber irgendwie möchte ich auch, dass jemand dafür "bezahlt". In irgendeiner Weise.

Die Kontoinhaberdaten bei Ucash oder beim Zielkonto herausklagen und dann fette Anzeige mit hunderten Nebenklägern.

Normalerweise müsste es für so etwas eine so drakonische Strafe geben, dass der Verursacher schon fast seines Lebens nicht mehr froh wird..

Und wenn es Gruppenkeile von jedem Betroffenen wären...

Da wäre ich dann gerne bei....


Also, Rechtsanwälte/Staatsanwälte vor: Wie geht man die feigen Verursacher an?


Gruss

McNugget

Wie soll man gegen so Arsch.... vorgehen, die irgendwo im tiefen osten sitzen. Ich sitz gerade am Rechner meines CHEFE. Dort konnte ich zwar dank Festplatte ausbauen und am anderen Rechner bereinigen die Dries Malware wegbekommen. Aber fasst alle Dateien sind verschlüsselt. Zum Glück ist das nicht mir passiert.

In der Bildschirmmitteilung nach dem Start war eine E-Mailadresse aus Litauen.
Viel Spaß demjenigen, der da einen Schuldigen dingfest machen will!!!
Ich werd jetzt alle verschlüsselte Daten auf nen externen Speicher packen und die Kiste von Grundauf neu installieren. Falls der Entschlüsslungsallgorithmus auftaucht, wäre ich und vor allem mein GEldgeber überglücklich.

KRIEG den Schweinepriestern die daran gefallen finden. Schade das man keine Sackläuse per Email verschicken kann

häng mich hier dran, hab auch nur noch files ohne datieendung die nicht zu entschlüsseln sind!
BITTE BITTE meine Family killt mich, ich trottel hab 100terte Familien bilder im system und nicht gebackupt.

@totwart,
hat Kaspersky mittlerweile die Möglichkeit der Selektion der zu bearbeitenden Dateien in das Tool eingebunden?
Es gab bisher nur die CheckBox HDDs ja oder nein, ohne Auswahlmöglichkeit der HDD geschweige denn einzelner Folder oder Dateien.

Gruß Volker