Weil der obere Teil wirklich anders ist klappt das nicht. Ich will auch nur diesen Teil mit mehreren anderen Dateien vergleichen. vieleicht hab ich ja Glück und finde übereinstimmungen in den verschiedenen Dateien. Wäre zumindest ein Anhaltspunkt für die Position des Schlüssels oder?

Hi,
auch ein geschädigter....
habe auf dem Notebook meiner Frau unter folgendem Pfad

C:\ProgramData\Microsoft\Crypto\Keys

2 Dateien entdeckt

84ab8a235f6ccbcac90b9c99ec9a1b5b_1a0007b4-e239-4b86-8870-b72086789fd4
ist ca. 1h älter seit dem öffnen des Anhangs und wird als Systemdatei mit 2kb deklariert
Datum 28.05.2012 19:11Uhr

vGjeTDpeaxftUGfgJ
ist schon 8 Monate alt wird als Datei mit 2kb deklariert
Datum 05.11.2011 08.04Uhr

zusätzlich gibt es in diesem Pfad
C:\ProgramData\Microsoft\Crypto\
die Ordner
DSS\MachineKeys\ --> leer
RSA\MachineKeys\ --> viele Systemdateien ohne Endung wie obriges Beispiel
RSA\S-1-5-18\ --> einige Systemdateien und Dateien ohne Endung

helfen evtl. diese weiter....

Gruß
Wastel

Hallo, gibt es denn schon eine Möglichkeit die Dateien zu entschlüsseln, die mit dem neuesten Trojaner verschlüsselt worden sind?

Ich hab mir den nämlich auch eingefangen.

Grüße

ich bin zwar kein Mod oder Helfer hier ,aber das ewige Gefage, obwohl auf der selben seite die Antwort erwähnt wird, dass es zu dieser Verschlüsserlung noch nix gibt, nervt langsam, nichts für ungut. Auf der anderen Seite beweist es, dass es nachwie vor geschädigte gibt und die trojaner nach wie vor aktiv sind.

Laut WDr siind rund 40000 strafanzeigen geszellt worden...ich werde meine jetzt online machen...sind die daten weg hab ich nen mega schaden

Habe auch diese Probleme mit verschlüsselten DAteien. Mein Rechner war heute beim Techniker-ohne Erfolg.
Ein Kollege der Programmierer ist, sagt, das das ein sehr hohe Verschlüsslung sei, knapp unter einer Militärischen VAriante-Hmm. Sieht schecht auch für meine Bilder der Kids.:-(

aber ich zähle auf euch, dass ihr was findet und bleibe auch selbst am BAll....

Hoi miteinander,

klar, dass immer mehr frustriert, geschädigte User das Forum überrollen und das die Beiträge oft von unvollständigen und nicht gerade von orthografie geschönigten Beiträge überfüllt sind. Ich wäre auch froh eine Rechtschreibprüfung zu haben.

Von daher sollte man sich vielleicht auch mal überlegen, ob ein Forum wirklich die richtige und geeignete Massnahme ist?

Eine andere Möglichkeit wäre, wenn man etwas mehr über die Arbeit an diesen Trojaner berichtet - vielleicht ist es aber auch kontroproduktive?

Ich habe auch eine Beitrag gelesen, dass man Anzeige erstatten kann, aber wie und wo - es war ein Abkürzung drin, so was ist nicht hilfreich?

Diese Typen sollen man mal einen Besuch mit eine Baumschere absolvieren? Auch wenn dies jetzt nur ein Frustaussage ist - ich bin viel zu schwächlich, behindert für solche Dinge?

Aber es ist wichtig, dass sich so viel wie möglich Geschädigte zusammenschließen und niemals aufgeben. Es gibt immer Möglichkeiten, dass sich sogar Militärrechner/-angehörige zusammentun um eine Verschlüsselung zu knacken und solchen Leuten die Finger zu brechen/beschneiden.

Grüessli
Wolfgang

Ich bin ziemlich sichr, dass es nur eine Frage der Zeit ist, bis die Daten entschlüsselt werden können. Behaltet die verschlüsselten Daten alle auf, am Besten auf eine externe USB Plattet damit, mitsamt der trojaner mail die ihr bekommen habt.

Wenn wir die Hochzeitsbilder oder die der Kiddies in einem Jahr wiederbekommen, ist doch auch noch recht.

Am besten noch den gesamten Inhalt des Windows-Verzeichnisses 1:1 auf die USB dazugeben, dort befinden sich laut unbestätigten Meldungen Files, die der Trojaner abgelegt hat (schlüssel, bzw wichtige teile davon) Mehr könnt ihr im Moment nicht machen, leider.

Genau so siehts aus, abwarten, alles sichern, extern.
Dann hier immer wieder nachlesen wie der Stand ist.
PC neu installieren, Geduld haben.

Habe heute einer Bekannten ihren gesamten Datenbestand wieder einspielen können, nach Bereinigung, das konnten die anfänglichen diversen Decrypter bisher nicht sauber. ....die locked-Variante...
Somit hat sie sich das nachtragen von Kundendatensätzen durch Datenrücksicherung für ein halbes Jahr erledigt, hat doch was ....

Danke ans Team der vielen die hier mitarbeiten

die Anke

moin moin,
was man aufheben und/oder sichern sollte, ist schwer zu sagen, solange nicht exakt bekannt ist, welche Informationen letztendlich den Schlüssel bilden.
Die Leute hier, wie beispielsweise @markusg oder @pcberlin und die Leute von Delphi-Praxis sind ja dem "Schlüsselmacher" schon auf der Spur.

Wir dürfen nicht vergessen, dass die Wühlerei in den Eingeweiden des Übeltäters zeitintensiv ist und neben der regulären Arbeitszeit durchgeführt wird.
So müssen Ergebnisse oder Vermutungen verifiziert und ausgetauscht werden und einen Debugger hat auch nicht jeder immer am Laufen.

Desweiteren hat sich der Trojaner seit Mitte April in unterschiedlichen Varianten gezeigt, sodass es garnicht mal sicher ist, dass eine Schlüsselroutine, wenn sie denn mal exakt gefunden wird, für die Version 1.150.1 auch auf Version 1.140.1 angewendet werden kann, obwohl das Schadensbild identisch scheint.

Wenn ich die Ausführungen bei Delphi-Praxis richtig interpretiere, dann besteht sogar der Verdacht, dass die Seriennummer der HDD einen Teil des Schlüssels liefert.
Wenn dem so sein sollte, dann ist eine Sicherung der Daten auf ein anderes Laufwerk, ohne Sicherung der HDD-Serial des Sorcelaufwerkes auch nicht ausreichend.

Ein Optimum wäre der Ausbau der HDD, aber wer macht das schon.
Höchstens diejenigen, für die der Datenbestand existenziell wichtig ist, aber die haben sicherlich ohnehin recht aktuelle Backups.

Ich möchte in diesem Zusammenhang nochmal darauf hinweisen, dass relativ sichere Backups für jedermann möglich sind, ohne dass man sich finanziell ruiniert.
Siehe http://www.trojaner-board.de/115678-...r-backups.html

Gruß Volker

Das Problem mit den Backups ist ja nicht das Programm mit dem es erstellt wird, sonder vielmehr die Tatsache, das die wenigsten eine Spiegelplatte mit der gleichen Größe auf dem System haben. Somit hat man immer die Wahl zwischen Pest und Cholera. Außerdem sind es meist die Benutzer welche die Mühen der Admins wieder zunichte machen indem Sie die Sicherungen geschickt umgehen ohne zu wissen was Sie das anrichten. So war es bei uns auch. Mein Chefe hatte den aktuellen Kaspersky auf dem Rechner und wäre geschützt gewesen, wenn er nicht mit einem Klick die Sicherung deaktiviert hätte. Und das nur weil ich nicht dran gedacht habe, das man so blöd sein könnte. Mitlerweile hab ich überall den Kennwortschutz eingeschaltet. Dazu kam noch, das er extrem viele Daten auf dem Desktop abgelegt hat anstatt auf dem Netzwerkserver, der regelmäßig gesichert wird. Den hat der Virus nicht angegriffen zum Glück. Wie gesagt Glück, das sich das Teil nur mit lokalen Datenträgern begnügt.
Was mich aber wieder zum Schluss führt, das ganz gezielt kleine User und keine Firmen abgezockt werden sollen.

Zitat:

Zitat von timeagent

Wie gesagt Glück, das sich das Teil nur mit lokalen Datenträgern begnügt.

naja das ist leider so nicht richtig. bei einigen wurden sämtliche Netzlaufwerke mit angegriffen, was natürlich dann auch die Backups betroffen hatte.

Wer schaltet schon das Backup NAS aus nachdem die Sicherung gemacht wurde. Also meine Automatik ist raus und das NAS wird immo nur noch manuell gestartet und nach der Sicherung wieder entfernt. Man weiß ja nie was noch so kommt leider.

Dann hattest du echt Pech. Bei mir hingen an dem befallenen Rechner 5 Clients, welche über den Server verbunden waren. Der befallene Rechner hat hat es aber nicht geschafft zum SBS Server zu gelangen, obwohl der im Intranet ziemlich offen da steht. KORREKTUR STAND.
Ich konnte aber noch nicht ausmachen, durch was der vor dem Server gestoppt wurde. Im Ereignisprotokoll ist auch nix zu finden.
Auch die USER Files sind alle unberührt geblieben. Es könnte vieleicht daran liegen, das alle direkten Zugang zum Netz haben und nicht der Internetverkehr erst über den Server umgeleitet wird, was ja vermeintlich sicherer wäre.

Ich hab zum Glück kein NAS was betroffen gewesen wäre. Der Server hat genügend Kap. um eigentlich alle Rechner zu sichern. 2 Tera reichen normalerweise dicke aus bei uns im Unternehmen

@timeagent,
das Backup was ich meine, zielt gerade auf die "kleinen Leute", Hobbyfotografen, Laienmusiker und weiß-der-Geier wer alles größere Datenbestände und individuell konfigurierte Software auf dem Rechner hält.
Ein Backup des eingerichteten Systems und ein turnusmäßiges Backup der Daten (manuell oder zeitgesteuert) hilft nicht nur bei Schadsoftware.
Auch eine HDD selbst hat nicht das ewige Leben.
Es ist dann beruhigend zu wissen, in relativ kurzer Zeit sein System wieder in den Zustand von vor dem GAU versetzen zu können.
Wenn die Backups dann noch auf einer für das System nicht sichtbaren Partition liegen, ist das schon einigermaßen beruhigend.
Übrigens, meine Versuche mit einer externen HDD, verbunden über einen USB-Port, ergaben bisher keinerlei Probleme, obwohl Acronis von einer Secure Zone auf USB-HDD abrät.

Bei manchen kann man aber reden wie mit einer Wand und Ratschläge sind sinnlos, selbst bei Chefs.

Wenn sich jemand, beispielsweise, im August 2011 durch öffnen eines Anhangs den gefakten Bundestrojaner an Land zieht und neun Monate später wieder über den Verschlüsselungstrojaner jammert, dann muß man sich schon fragen, ab wann Hopfen und Malz verloren ist.

Gruß Volker

Ich hab mir grade eben schnell noch ein neues NAS bestellt. Das kommt dann an die USV beim Server dran. Iss nur ein günstiges Seagate Black Armor. wird aber im Zusammenhang mit dem genannten Backup System seinen Zweck erfüllen. Das wären dann zwei gestaffelte Systeme. Am Server hab ich mir ein Raid 1 System eingestellt und das NAS wird dann sowas ähnliches

Was die Haltbarkeit von Festplatten angeht, so liegt es eher an dem ständigen ein und ausschalten der Teile, sei es durch Energiesparmaßnahmen oder das abendliche runterfahren.
Dauerhaft laufende Systeme halten eindeutig länger.

Aber frei nach Murphys Gesetzt würde eh die Sicherungplatte den Geist aufgeben, in dem Moment wenn Sie mal gebraucht würde.
Ist mir schon passiert!!! War ein super Gefühl nach 5 Stunden Arbeit.