Oder du hast Glück und du hast mehrere Verzeichnisse mit nur einer Datei drin. Zum Glück hat das Mistding nicht auch die Verzeichnisse umbenannt!!! Das wäre der absolute Horror!!!

Komischerweise spart der Virus auch alle Programme aus. Bisher läuft alles auf dem Rechner, trotz Verschlüsselung. Ist doch seltsam oder!!!

Hallo,

bin mir nicht ganz sicher ob ich es mit der gleichen RansomWare zu tun habe wie der Rest hier, zumindest sieht der Screenshot sehr vertraut aus und ich habe es anscheinend auch mit verschlüsselten Office- und Medien-Dateien zu tun.

Allerdings hat mein betroffener Kollege keine E-Mail Anhänge geöffnet und die Dateien sind auch nicht nach dem hier mehrfach geschilderten Muster (locked.Dateiname.erweiterung.xyz o.ä.) umbenannt sondern die Dateinamen sind anscheinend zufällige alphanummerische Zeichenfolgen z.B. OAlxGVNUsslpVNl ohne Erweiterung.

Ausserdem hat mein Kollege konsequent alles was als Refernzdatei herhalten könnte (Beispielbilder usw.) von seinem Rechner gelöscht, ebenso alle Dateien die er mal per E-Mail verschickt hat und was er per E-Mail bekam (also alles was man noch aus Outlook holen könnte) gelöscht.
Eine einzige Excel-Datei mit der es evtl. gehen könnte habe ich von dem Rechner bekommen, allerdings ist die verschlüsselte Datei 3 Byte größer als die Originale.
Der gute Mann ist zu allem Überfluss auch noch in der Buchhaltung tätig, hat also auf seinem PC lokal (!!!)(nicht auf dem Server, der jeden Tag ein Backup macht) recht essentielle Dateien liegen.

Ich stehe hier also vor einem kleinen IT-Super-GAU und bräuchte mal dringend Hilfe.

@samarek
für die art der verschlüsselung gibt es immo leider keine hilfe außer vieleicht shadowexplorer ab win vista wenn aktiviert siehe:
http://www.trojaner-board.de/115496-...erstellen.html

Nachtrag: bei einigen hat das anhängen von der orig dateierweiterung funktioniert!

normale Erweiterung wieder anhängen funktioniert leider nicht, hab ich natürlich als aller erstes probiert, aber schon mit der Erwartung dass es nicht funktionieren wird.

Zitat:

ab win vista

war ja klar
der betroffene Rechner ist natürlich ein Windows XP Rechner

hi
schon mal die mails durchgegangen, evtl. im spam ordner oder papierkorb, falls ihr da die mail findet mal an mich senden.
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
makrusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.
ansonsten heißts abwarten :-(

es wäre mir eine persönliche Befriedigung dir die Mail zur Verfügung zu stellen, damit du das Ding auseinander pflücken kannst, aber wie gesagt mein Kollege hat keine E-Mail bekommen und ich hab auch schon seine Archiv-Ordner und Alles durchsucht, er muss sich das irgendwo im Netz eingefangen haben.

In the first please forgive me that I am writing in English.
I got similar problem like all of you with one exception.
When I use encoded and original file (using eset tool decrypter) I'm able to decode ONLY one encoded file (the one I was using in the first time). Other files are still unavailable to "open". Someone is familiar with this specific case?
Other programs do not work at all or the same as eset.

Ich habe mir auf mein Notebook auch einen verschlüsselungs trojaner eingefangen.... Alle Bilder MusiK und ich kriege die nicht mehr hin mit dem programm bekomm ich das auch nicht hin bitte um hilfe denn die Bilder sind sehr wichtig für mich...

Danke

Oh mann kenn mich hier nicht aus hoffe ich bin damit hier richtig...Hilfe Hilfe

Guten Morgen zusammen,

ich habe hier ein Laptop eines Bekannten, der leider einen E-Mail-Anhang mit diesem Verschlüsselungstrojaner geöffnet hat. Insgesamt 17.700 Dateien wurden verschlüsselt. Alle Dateien haben nur diese kryptischen Dateinamen, ohne Dateierweiterung. Mit SystemLook gescant sehen alle Dateien wie folgt aus:

Code: Alles auswählenAufklappen

ATTFilter

EDOuDuLGqVjdLjur	--a---- 3990 bytes	[08:28 13/02/1601]	[01:27 16/07/2010]
eDOXJotAdqfotvDNp	--a---- 2826 bytes	[08:28 13/02/1601]	[01:27 16/07/2010]
efGepjEurxUplEyrv	--a---- 4228 bytes	[08:28 13/02/1601]	[01:27 16/07/2010]
fQAUXlqfEslgyfytj	--a---- 4045 bytes	[08:28 13/02/1601]	[23:51 01/09/2010]
         

Der Bekannte hat auch noch die E-Mail, die das Ganze verursacht hat.

@markusg Soll/darf ich dir diese E-Mail zur Analyse übersenden?

Mfg
Daniel

hallo

Also bei meinem Vista Rechner hat der Avira Unlocker alle Dateien wieder hinbekommen.
locked-*.mp3 mp4 tmd pmd jpg mpg vob ...... u.s.w.

Man braucht unbedingt eine Originaldatei vom Handy oder Sicherung - dann gehts.
Arbeitet recht zügig ganze Partitionen durch, nur der Platz muß ausreichen, da jede Datei dann 2 mal da ist.

Gruß Michael

Hallo alle miteinander.

Vielleicht könnt Ihr mir / uns helfen.

Bei uns bei der Arbeit (Autohaus) hat sich der besagte Trojaner an einem Rechner verbreitet durch eine dubiose Email. Der Trojaner wurde entfernt und es funktioniert auch wieder alles.
Nur nun haben wir das riesen Problem das er ein kompletttes Programmverzeichnis verschlüsselt hat das für den Fahrzeugverkauf dient mit dem gesamten Kundenstamm des Verkäufers.
Das grösste Problem dabei ist das keine Sicherung des Programms oder Kundenstamm vorliegt


Wie soll ich weiter vorgehen? Habt ihr Tipps oder Lösungen?

Wäre dankbar für Antworten.



Sonnige Grüße

Double D

Welches Betriebssystem hast du?

Windows XP SP3

Wie sieht die Verschlüsselung vom Muster her aus?
Locked... + Endung oder
Zufällige Buchstaben ohne Endung?
Schreibe am Besten mal einen Dateinamen hier rein.

Hier ein paar Beispiele:

locked-bankWL21.wbd.tmlh
locked-Cmct10.dll.kpwt
locked-Cmll10ex.llx.oqnp
locked-cmll1000.lng.rlzx
locked-cull10o.ocx.cfyr
locked-CW_ImportRunner.exe.rlza
locked-CW_MitarbeiterBC.pdf.lzse
locked-Dummy.txt.yyfh
locked-MB_Card.jpg.nihu
locked-WL21_ZM_800.bmp.aepk
locked-wl21DbComp.exe.hino
locked-wl21faq.html.urvn

Jeder Datei hat eine andere Endung bzw Verschlüsselung :/