@cologne1,
das ist ja schon ein Anfang, da hilft nur weiter nach anderen Schlüsselpaaren zu suchen.
Ich habe das hier schon mehrfach gepostet.
Zum Glück hatte ich mehrere hundert Originalbilkder zur Verfügung.
Daraus konnte ich mit vier Dateipaaren 12000 JPGs rekonstruieren.
Die Originale dieser vier Dateien waren aus unterschiedlichen Jahren (2008, 2010, 2011, 2012).
Dateien aus der gleichen Bilderserie z.B. Bild001.jpg bis Bild120.jpg oder die zeitnah im gleichen Jahr aufgenommen wurden, lieferten auch nur die gleichen Teilergebnisse.

Gruß Volker

In dem Post "http://www.trojaner-board.de/115183-...ml#post830795" habe ich beschrieben, wie ich auf einem Windows7 Rechner fast alle Dateien wieder herstellen konnte.
Gruß DevilTH

naja, ein Anfang ist es, (hatte die Original-Vergleichsdatei, war eine MP3 im Mailanhang in gesendete Objekte wiedergefunden) Was ein Glück , weil bei mir alle 3HDD´s betroffen sind, vielleicht finden wir ja noch eine Möglichkeit auch die Bilder wiederherzustellen

Hallo,

ich konnte dan DecryptHelper-0.5.3 einen Schlüssel erzeugen und auch die alle dateien (jpg,doc,pdf,xls usw.) entsperren. Nur habe ich das Problem das die Dateien danach immer noch unbrauchbar sind, da man Sie nicht öffnen kann bzw. es aussieht als ob kein inhalt vorhanden wäre. Die Dateien habe aber ihre richtige Größe usw.

Hat jemand einen Rat?

Gruß Alex

Ich bin neu hier. Ich bin von den Neuen Trojaner betroffen. Einige Dateien siehen wie lrjAttyAtsOylsNN aus. Jedoch meine Erkenntnisse:

Es sind einige Dateien verschlüsselt und zwar in alphabetischer Reihenfolge: Das Ganze Lauwerk C und teils Laufwerk D. Lauwerk D bis zum Order d:\D.....\f..... Rest ist verschont. Desweiten habe ich festgestellt, dass im Ordner d:\d.....\c....\Nuty na keyboard (CeZzZi) der Name geändert wurde vom "Nuty na keyboard". Diese Endung (CeZzZi) habe ich nicht zugefügt. Die Dateien, die ich verglichen habe (Bilder), sind bis zu Position 12288 (3000HEX) geändert.

Meine Überlegung ist auch ob die Datei C:/WINDOWS/system32/2C392FCDCC2AC3E052EB.exe wirklich einen zufälligen Namen hat, ob vielleicht irgendwas mit der Verschlüsselung zu tun hat.

Ich hoffe, dass jemand eine Lösung findet. Viel Glück. Ich werde auch weiter Lösung suchen.

Ich bestätige, die Dateien sind ab 3000HEX byte nicht geändert worden. Habe PDF-Dateien geprüft. Kann jemand damit was anfangen oder bestätigen?

ich würde gerne die Suche nach passenden Decrypter vorantreiben. Ich habe 2 emails erhalten mit Rechnung im zip Format. Ich habe natürlich nichts bestellt. Ich habe sie auch noch nicht gelöscht und natürlich auch nicht den Anhang geöffnet. Aber ich habe immernoch den Computer meiner Chefin, der mit der variante vom 04.05.2012 verseucht ist, wo auch das entschlüsseln mit Paaren nicht funktioniert. Ich würde sie gerne an MarkusG weiterleiten. Ich arbeite aber mit AOL im Browser. Also wie soll ich die emails weiterleiten?

Brauchen dringend Hilfe!!!!!!

Bei uns funktionieren die Entschlüsslung nicht. Wir bekommen immer wieder die Meldung das die zwei Dateien nicht übereinstimmen. Die Dateien sind sehr wichtig, es ist leider nur ein Teil vorher gesichert wurden. Wir haben morgen ein wichtigen Termin und brauchen die Daten. Wer kann uns schnell helfen.

Verschlüsselte Datei sieht so aus E:\1 IFS QMH neu\3 Personal Schulung\locked-Schulung Vorgehensweise beim Hartplastikbruch.doc.sfai

Hier hat bisher kein Eccrypter den richtigen Schlüssel gefunden. Hab eine Originaldatei und eine verfälschte Datei. Anhand der Größe, Datum und Uhrzeit zueinander. Aber bisher hilft nichts es heisst nur "Schlüssel konnte nicht gefunden werden" Hab Matthias Tool probiert, Kasperskys und Bitdefender, Avira und Norton.

Vielleicht wisst ihr noch ein Tool das auf aktull verschüsselte (BKA-Trojaner) spezialisiert ist ? Dateinamen ist "jqjyjqAyleleleDsDsD" statt "Bilder Monte Garten 013.jpg"

Wäre schön wenn es da noch was gibt. Danke schon mal im voraus.

Entschlüssung wurde als erfolgreich angezeigt mit ESET.

Datei sieht nun so aus

#ïÔ|Ñ¥6Q˜Ìd¸W×Êp9²&x;‘Û0 üçêV Т>/uŒÅ™Îø ˆÉWÌO Á©6ÐÇàHªqî )+ ŠåJkywj–
`¹WÙŠ}ZX¨
]Æå¾!ä›GÓ4ç1z¯�Ÿ
pZo †×Ú ‰ 64ºFF²{ ¯ ÜÄâßX[jo¾ÈÀOv€õg Ì•i‡;é¿…q4qxéæ!`l
†�

Es war vorher eine doc Datei.

@scos,
hier ist das Diskussionsforum.
Ganz oben steht Hinweis: Vorgehen beim Verschlüsselungs-Trojaner
Wenn Du Hilfe brauchst, dann mache einen eigenen Hilfethred auf und beginne mit o.g. Punkt 1-
Du rufst hier nach Hilfe, ohne jegliche Angaben zum System, zur Variante das Trojaners, wie sich die verschlüsselten Dateien darstellen.
Mir scheint, Du hast hier in den betreffenden Foren nicht weiter gelesen.
Wenn dem so wäre, dann wäre Dir auch klar, dass eine Rekonstruktion nur bei verschlüsselten Dateien der Form locked-xxxxxx.xyyy.zzzz bedingt Erfolg hat.
Weiterhin wüsstest Du, dass bei Dateien der Form DJGHKrhjTUZUIg eventuell auf einen Windows-Widerherstellungspunkt vor der Vireninfektion zurück gegriffen werden kann.
Ansonsten hilft nur Daten verschlüsselt sichern und Abwarten.

Gruß Volker

Hallo.
Bin neu hier.

Mal ne ganz fiese Frage:

Was passiert, wenn man zahlt?
Sind die Dateien dann wieder lesbar?
Gibt es da Erfahrungswerte?

Oder passiert einfach nichts UND das Geld ist weg?



Ich weiss, ich weiss, in mir sträubt sich alles dagegen, die Verursacher auch noch zu belohnen, aber in der Not frisst der Teufel Fliegen.

Bitte antwortet mal sachlich.

Ich habe hier nämlich echt ein fieses Problem, wenn ich nicht wieder an die Dateien komme.

Gruss

McNugget

Hi,

Ich habe hier einen am freitag infizierten Rechner, die Dateien sehen alle ungefähr so aus JguGdsfxDTspDyn, weder ein wiederherstellungspunkt noch die tools avira unlocker, scareuncrypt, decrypter helper oder te94decrypt haben geholfen. Da noch ein altes Backup existiert, habe ich eine große Anzahl unbeschädigter Dateien zum Vergleich. Bin für jeden weiteren Lösungsansatz dankbar,

Beste Grüße
Nor

Zitat:

Zitat von McNugget

Hallo.
Bin neu hier.

Mal ne ganz fiese Frage:

Was passiert, wenn man zahlt?
Sind die Dateien dann wieder lesbar?
Gibt es da Erfahrungswerte?

Oder passiert einfach nichts UND das Geld ist weg?



Ich weiss, ich weiss, in mir sträubt sich alles dagegen, die Verursacher auch noch zu belohnen, aber in der Not frisst der Teufel Fliegen.

Bitte antwortet mal sachlich.

Ich habe hier nämlich echt ein fieses Problem, wenn ich nicht wieder an die Dateien komme.

Gruss

McNugget

Diese Frage tauchte schon öfter auf, aber keiner konnte oder wollte sie bis jetzt beantworten. Klar ist, dass man Erpressern kein Geld in den Hals werfen sollte, aber interessant zu wissen was passiert wäre es schon. Ich habe ja auch schon gepostet, dass im sys32 Ordner sogar eine Bitmap liegt, welche suggeriert eine Entschlüsselung sei im Gang. http://www.trojaner-board.de/114115-...tml#post827498 Falls Du als Versuchskaninchen fungieren möchtest bitte ich mal gleich um Rückmeldung aber eigentlich wäre es der falsche Weg.

moin moin McNugget,
irgendwo, ziemlich am Anfang der mittlerweile fast 1000 Postings zum Thema, hat einer gepostet, ein Bekannter habe gezahlt und die Daten wieder erhalten.
Das war noch die Trojanervariante vom April.
Das war aber Hörensagen.
Selbst hat das hier wahrscheinlich noch keiner getan.
Möglich ist zwar alles, ich würde aber von Deiner letzten Vermutung ausgehen, Geld und Daten weg.
Wie sollte man auch zu dem Schlüssel kommen, wenn der Rechner lahm gelegt ist, per Post mit BootCD oder der Geldempfänger kommt persönlich vorbei und hackt sich wieder in den Rechner ein?
Du übermittels nur den Ucash-Code nix weiter.
Die Rekonstruktion müsste dann simultan online erfolgen oder die Routine müsste im Trojaner selbst existieren.
Aber auch da müsstest Du online bleiben, bis der Request der Ucashprüfung erfolgt ist.
Stell Dir mal vor, 1000, 2000 oder 3000 Betroffene zahlen.
Die Hacker brauchten dazu eine kleine GEZ um das zu händeln.

Ich bin mir sicher, beim Zahlen ist die Kohle weg und Du stehst immer noch im regen.

Gruß Volker

Moin zusammen,

das ist eine sehr fiese (aber vielleicht schnelle) Art, mit unschuldigen Usern Geld zu machen. Wenn man zahlt ist das Geld weg.............darin dürfte ja wohl kein zweifel bestehen......
egal was man macht ob zahlen oder nicht, man steht mit einem riesigen Problem da, zumal zur zeit keine vernünftige Lösung in sicht ist.

Es gibt so viele versch. Varationen dieses Viruses das für jede Art eine eigene Lösung geschaffen werden müsste......
- der eine Verschlüsset den ganzen Dateinamen
- der ander nennt um und verschlüsselt dann
- wieder ein anderer belässt den Dateinamen und ändert die Dateiinformationen
usw. usw.

für alle die betroffen sind ist das mehr als dumm gelaufen...... so hart das auch sein mag
sorry wenn ich das so sage......
aber ich muss auch sagen das sehr viele User nicht richtig lesen, wenn sie eine Mail usw. erhalten (einige unserer Kunden eingeschlossen)...der Inhalt dieser Mail (ohne das ZIP zu aktivieren) hätte eigentlich schon alle Alarmglocken
schlagen lassen müssen, jeder weiss doch ob er im Internet oder wo auch immer etwas gekauft hat was eine solche Re-Summe rechtfertigt......

sorry nachmals an alle die es gemacht haben........möchte nicht noch Öl auf die Wunden schütten...aber es ist so


Didek