@asoka

das liegt daran, dass es für XP bisher noch nichts gibt, was soll dann gepostet werden?...

Bei Vista und Win7 hast du die Shadow Volumes als Möglichkeit, mit der du evtl. deine Daten wiederbekommst.

Dies wurde in XP von Microsoft eher rudimentär behandelt und ist somit unter XP nahe zu unbrauchbar

Ich will mal die vielen Meldungen vom Virenbefall unterbrechen und nachfragen, ob schon ein Verdacht besteht, ob der neue Crypt-Trojaner die Dateien nach Zufallsprinzip verschlüsselt, oder ob wirklich irgendwo ein Keyfile in den Code geschrieben wird/wurde.
Ich würde nämlich zu gern die befallene Festplatte killen und neu auflegen. Vorher will ich aber sicherstellen, das nicht dadurch die benötigten Files zum Entschlüsseln mit verschwinden. Es geht bei mir um ein Datenvolumen von 4TB. Den Datenmüll möchte ich ungern längere Zeit aufbewahren!!

2. Frage. Könnte der erstellte Dateiname mit dem Key was zu tun haben? Hat das von euch schon jemand getestet?


BTW: Nur wenn man diskutiert kommt man der Lösung näher. Selbst der blödeste Gedanke kann helfen.
Deshalb auch mein Beitrag

Gruß
Stefan

Shadow hab ich dann doch noch verstanden. Damit ließ sich C: komplett restaurieren. Leider wird meine weitere Festplatte mit jeder Menge Daten/Bilder nicht geback uped. Hier sind alle Dateien kodiert. Syntax des Filenamen: filename.ext. Nichts verändert. Das wird dann die neue Variante sein?

Als ich seisnerzeit den zip-Anhang angeklict habe (um den 21.09.), ist eigentlich gar nichts passiert. Jedenfalls nicht bemerkbar. Aber einige Zeit danach ca. 30 min ist der Rechner eigenständig runtergefahren (schwarzer Bildschirm) und von selbst wieder hoch. Das ganze hat vielleicht 10 - 30 Sekunden gedauert. Alle Programme, die ich zu derzeit benutzt habe, liefen einwandfrei, so dass ich den Schaden erst 1-2 Tage später bemerk habe.

Vielleicht hilft die Beschreibung, da ich so etwas hier noch nicht gelesen hatte.
Gruß Jörg

Zitat:

Zitat von asoka

Was mich hier unheimlich stört...es gibt 75 Prozent der Leute hier die wie ich kein Vista haben sondern nur XP...und es dreht sich zu 90 Prozent immer nur um Hilfe für Vista benutzer.
Ich finde hier sollte auch ein bischen mehr wert auf die Xp Kunden gelegt werden...den bischer kam noch nicht ein einziger Hilfe vorschlag für den Trojaner ohne locked für XP nutzer

moin moin asoka,

estmal gilt es festzustelle, dass das hier ein Board ist, das von Kunden für Kunden betrieben wird.
Desweiteren ist festzustellen, dass es weder für XP, Vista noch Win7 eine Lösung für die Nach-locked-Varianten gibt.
Wenn hier Nutzer betriebssystemabhängige Möglichkeiten, Tools und Hintertüren posten, die es ermöglichen, zumindest Datenfragmente zu retten, dann gilt das auch für XP.
Entweder nutzen XP nicht soviele Leute wie Du vermutest, oder es fällt keinem eine Möglichkeit für XP ein.

Gruß Volker

Hallo zusammen,

jetzt muss ich mich auch mal melden, nach dem ich schon einiges von den zuvor genannten tools, etc. versucht habe und nichts geklappt hat.
Ich habe eine Variante, die die Filenamen komplett gleich lässt, nur wenn man sie öffnen möchte, kann das Programm sie nicht öffnen. Das ist bei doc, xls, ppt jeg, etc. der Fall.

Mit den verschiedenen Filepaaren ließ sich kein Schlüssel generieren, weder der von MarkusG noch anitvir.

Ich habe Vista. Habe mir auch den shadow runtergeladen, weiß aber nicht, wie ich den nutzen soll??? Ich sehe die alte Dateien vor der Infizierung, aber was mach ich damit??? Ich krieg die nicht bewegt oder sonst was. Wie nutzt shadow?

Glücklicherweise macht der Computer wöchentlich ein Backup. Daraus ließ sich einiges retten. Leider nicht alles, da ich nicht alle Platten habe screen lassen. Zu dumm.

Noch mal für mich zum Verständnis: Für die neue Variante (Infizierungsdatum bei mir um den 21.05.) gibt es noch keine Hilfe? Dann die Frage woran erkenn ich, ob 4kb oder 12kb der Datei verschlüsselt sind?

Habe mir auch einige Dateieigenschaften angeschaut: Es ist sowohl der 1601 dabei aber auch Dateien ohne jede Änderung, die sich nicht öffnen lassen.

Werde euren Trött weiter verfolgen. Bedanke mich schon jetzt für den einen oder anderen Hinweis und gehe jetzt erstmal ins Bett ;-))
Beste Grüße
seismo

PS: Ach so das beste nach dem ich habe malware drüber fahren lassen, war die einizige auffällige Datei die mit Markus Programm???

Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.29.07

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Jörg :: HOME-PC [Administrator]

Schutz: Aktiviert

29.05.2012 23:38:35
mbam-log-2012-05-30 (00-03-46).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 285010
Laufzeit: 17 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\Jörg\Downloads\DecryptHelper-0.5.3.exe (Trojan.FakeAlert) -> Keine Aktion durchgeführt.

(Ende)

Wie shadow funktioniert, habe ich rausgefunden.
Klappt bei allen Dateien. Gott sei Dank.

Nur leider habe ich G: nicht dabei...

Also bin weiter auf der Suche nach einer Lösung.

@timeagent:

Es hat den Anschein, der Trojaner schreibt einge Tempfiles und legt auch nochmal eine Sicherheitskopie von sich selbst ab. Vondaher wäre es nicht gut, wenn du deine C: jetzt ohne Backup schredderst, wenn wenn, dann liegt der schlüssel ev tatsächlich in den Zusatzfiels. Alles nur Vermutungen;-)

Dann kann ich nur hoffen, das der Kaspersky nicht diese Files selbstständig gelöscht hat, anstatt in Quarantäne zu schicken. Ich hab gerade die beiden Platten auf die Netzwerkfestplatten gespiegelt, bzw. rüberkopiert. Vieleicht ist der "Müll" noch zu retten. Die Zeit wird es zeigen.

Und wenn Sie nicht gestorben sind....

Gruß
Stefan

ich bin zwar kein Mod oder Helfer hier ,aber das ewige Gefage, obwohl auf der selben seite die Antwort erwähnt wird, dass es zu dieser Verschlüsserlung noch nix gibt, nervt langsam, nichts für ungut. Auf der anderen Seite beweist es, dass es nachwie vor geschädigte gibt und die trojaner nach wie vor aktiv sind.

Laut WDr siind rund 40000 strafanzeigen geszellt worden...ich werde meine jetzt online machen...sind die daten weg hab ich nen mega schaden

Hoi miteinander,

klar, dass immer mehr frustriert, geschädigte User das Forum überrollen und das die Beiträge oft von unvollständigen und nicht gerade von orthografie geschönigten Beiträge überfüllt sind. Ich wäre auch froh eine Rechtschreibprüfung zu haben.

Von daher sollte man sich vielleicht auch mal überlegen, ob ein Forum wirklich die richtige und geeignete Massnahme ist?

Eine andere Möglichkeit wäre, wenn man etwas mehr über die Arbeit an diesen Trojaner berichtet - vielleicht ist es aber auch kontroproduktive?

Ich habe auch eine Beitrag gelesen, dass man Anzeige erstatten kann, aber wie und wo - es war ein Abkürzung drin, so was ist nicht hilfreich?

Diese Typen sollen man mal einen Besuch mit eine Baumschere absolvieren? Auch wenn dies jetzt nur ein Frustaussage ist - ich bin viel zu schwächlich, behindert für solche Dinge?

Aber es ist wichtig, dass sich so viel wie möglich Geschädigte zusammenschließen und niemals aufgeben. Es gibt immer Möglichkeiten, dass sich sogar Militärrechner/-angehörige zusammentun um eine Verschlüsselung zu knacken und solchen Leuten die Finger zu brechen/beschneiden.

Grüessli
Wolfgang

Habe auch diese Probleme mit verschlüsselten DAteien. Mein Rechner war heute beim Techniker-ohne Erfolg.
Ein Kollege der Programmierer ist, sagt, das das ein sehr hohe Verschlüsslung sei, knapp unter einer Militärischen VAriante-Hmm. Sieht schecht auch für meine Bilder der Kids.:-(

aber ich zähle auf euch, dass ihr was findet und bleibe auch selbst am BAll....

Ich bin ziemlich sichr, dass es nur eine Frage der Zeit ist, bis die Daten entschlüsselt werden können. Behaltet die verschlüsselten Daten alle auf, am Besten auf eine externe USB Plattet damit, mitsamt der trojaner mail die ihr bekommen habt.

Wenn wir die Hochzeitsbilder oder die der Kiddies in einem Jahr wiederbekommen, ist doch auch noch recht.

Am besten noch den gesamten Inhalt des Windows-Verzeichnisses 1:1 auf die USB dazugeben, dort befinden sich laut unbestätigten Meldungen Files, die der Trojaner abgelegt hat (schlüssel, bzw wichtige teile davon) Mehr könnt ihr im Moment nicht machen, leider.

Genau so siehts aus, abwarten, alles sichern, extern.
Dann hier immer wieder nachlesen wie der Stand ist.
PC neu installieren, Geduld haben.

Habe heute einer Bekannten ihren gesamten Datenbestand wieder einspielen können, nach Bereinigung, das konnten die anfänglichen diversen Decrypter bisher nicht sauber. ....die locked-Variante...
Somit hat sie sich das nachtragen von Kundendatensätzen durch Datenrücksicherung für ein halbes Jahr erledigt, hat doch was ....

Danke ans Team der vielen die hier mitarbeiten

die Anke

moin moin,
was man aufheben und/oder sichern sollte, ist schwer zu sagen, solange nicht exakt bekannt ist, welche Informationen letztendlich den Schlüssel bilden.
Die Leute hier, wie beispielsweise @markusg oder @pcberlin und die Leute von Delphi-Praxis sind ja dem "Schlüsselmacher" schon auf der Spur.

Wir dürfen nicht vergessen, dass die Wühlerei in den Eingeweiden des Übeltäters zeitintensiv ist und neben der regulären Arbeitszeit durchgeführt wird.
So müssen Ergebnisse oder Vermutungen verifiziert und ausgetauscht werden und einen Debugger hat auch nicht jeder immer am Laufen.

Desweiteren hat sich der Trojaner seit Mitte April in unterschiedlichen Varianten gezeigt, sodass es garnicht mal sicher ist, dass eine Schlüsselroutine, wenn sie denn mal exakt gefunden wird, für die Version 1.150.1 auch auf Version 1.140.1 angewendet werden kann, obwohl das Schadensbild identisch scheint.

Wenn ich die Ausführungen bei Delphi-Praxis richtig interpretiere, dann besteht sogar der Verdacht, dass die Seriennummer der HDD einen Teil des Schlüssels liefert.
Wenn dem so sein sollte, dann ist eine Sicherung der Daten auf ein anderes Laufwerk, ohne Sicherung der HDD-Serial des Sorcelaufwerkes auch nicht ausreichend.

Ein Optimum wäre der Ausbau der HDD, aber wer macht das schon.
Höchstens diejenigen, für die der Datenbestand existenziell wichtig ist, aber die haben sicherlich ohnehin recht aktuelle Backups.

Ich möchte in diesem Zusammenhang nochmal darauf hinweisen, dass relativ sichere Backups für jedermann möglich sind, ohne dass man sich finanziell ruiniert.
Siehe http://www.trojaner-board.de/115678-...r-backups.html

Gruß Volker

Das Problem mit den Backups ist ja nicht das Programm mit dem es erstellt wird, sonder vielmehr die Tatsache, das die wenigsten eine Spiegelplatte mit der gleichen Größe auf dem System haben. Somit hat man immer die Wahl zwischen Pest und Cholera. Außerdem sind es meist die Benutzer welche die Mühen der Admins wieder zunichte machen indem Sie die Sicherungen geschickt umgehen ohne zu wissen was Sie das anrichten. So war es bei uns auch. Mein Chefe hatte den aktuellen Kaspersky auf dem Rechner und wäre geschützt gewesen, wenn er nicht mit einem Klick die Sicherung deaktiviert hätte. Und das nur weil ich nicht dran gedacht habe, das man so blöd sein könnte. Mitlerweile hab ich überall den Kennwortschutz eingeschaltet. Dazu kam noch, das er extrem viele Daten auf dem Desktop abgelegt hat anstatt auf dem Netzwerkserver, der regelmäßig gesichert wird. Den hat der Virus nicht angegriffen zum Glück. Wie gesagt Glück, das sich das Teil nur mit lokalen Datenträgern begnügt.
Was mich aber wieder zum Schluss führt, das ganz gezielt kleine User und keine Firmen abgezockt werden sollen.