@undertaker

Entschuldige bitte - ich habe nun sehr viel gelesen und habe auch einen extra Post aufgemacht, wie Du ja gesehen hast. Ich habe wirklich versucht alle Punkte abzuarbeiten.

Geschockt bin ich das ich den Trojaner seit März drauf haben soll.
Gemerkt hat es meine Tochter am Dienstag Abend, da erschien nämlich das Bild von der GEMA mit der Zahlungsaufforderung.
Ich habe dann am Mittwoch morgen den PC im abgesicherten Modus gestartet und das System wiederhergestellt. Damit kam ich erst mal an die Oberfläche. Seitdem lese ich mich im Thema ein.

Mittels Decrypthelper habe ich nun auch schon viele verschlüsselte Dateien weiderhergestellt - allerdings meckert Malwarebytes das dieses Programm gefährlich ist: Trojanfakealert.

Was soll ich denn nun tun? Ich fühle mich total überrollt.
Bilder, die sind mir sehr wichtig, sind fast alle zusätzlich in Webalben gesichert, Musik ist auf einer seperaten Platte, Starmoney kann ich auch neu einrichten, es nervt nur so unglaublich....

Mittels Shadowexplorer habe ich die Starmoneydaten wiedergefunden. Jepeeh! Nun also das Programm deinstallieren, neu installieren und dann die Daten wieder einfügen, wie bei SM beschrieben. Fleißarbeit aber es wird sich lohnen!

Liebe Grüße

Marion

Vielen vielen dank für dieses program.

es hat mir schon fast verlorene bilder und videos der letzten 10 jahre wiedergebracht.

echt gute arbeit.

Zitat:

Zitat von Blume-REMC

Hallo zusammen und vielen Dank für das Super Tool Matthias!
Es hat mir sehr geholfen, allerdings hat jetzt eine Bekannte ein ähnliches Problem, den Virus habe ich wie oben beschrieben gekillt, allerdings lässt sich keines der Bilder öffnen. Keines weist auch die bekannten kryptischen Dateiendungen auf sondern heist einfach: Bild.jpg
Keines der Bilder lässt sich mit egal welchem Programm öffnen, Malwarebytes ist erfolgreich drüber gelaufen und hat nichts mehr gefunden, was kann ich noch tun um wieder Zugang zu den Bildern zu bekommen?

Grüße und vielen Dank Blume

Lade Dir mal JPEG Recovery runter.

JPEG-Recovery/

Versuche es mal mit der Professional DEMO.

Wenn es erfogreich ist, kannst Du es immer noch kaufen.

Volker

Zitat:

Zitat von Nero81

Hallo,

leider klappt das programm bei mp3 ´s und bei avis nicht..

hast Du die MP3s einfach mal wieder umbenannt,
also weiß-der-geier.mp3 oder wie auch immer?

Wenn nicht tu das mal und versuche es dann abzuspielen.

Volker

@DevilTH: Und wie sieht es mit anderen Dateien aus? Gibt es da eine Möglichkeit?

Noch viel schlechter
Wenn du genau weißt welcher Dateityp die ursprüngliche Datei war, kannst du bei mp3-Dateien mal die entsprechende Endung ranhängen. Es gab aber nur wenige Leute wo dass richtig funzte.

Also .jpg kann man aufjedenfall wiederherstellen? Auf dem System sind sehr viele Rechnungen etc. und andere Dokumente drauf.

Zitat:

Zitat von Dynamic2223

Also .jpg kann man aufjedenfall wiederherstellen? Auf dem System sind sehr viele Rechnungen etc. und andere Dokumente drauf.

Ja JPG werden gerade sehr erfolgreich wieder hergestellt. Schau mal ab da http://www.trojaner-board.de/115183-...tml#post841998
Bei den anderen Dateitypen wird noch nach Lösungen gesucht, da immer die Header und Marker des Dateikopfes verschlüsselt werden.

Zitat:

Zitat von Mastercontro

Moin,

habe einen Kunden der hat sich den Verschlüsselungstrojaner eingefangen und keine Datensicherung. Habe es dann mit den Beispielbildern versucht und einen schlüssel generiert aber funktioniert nicht. Scheint aber auch unterschiedlich verschlüsselt zu sein. Mal sind die Dateinamen nur zahlen 27367409827 mal Buchstaben und Zahlenkobis D3Fds§f2 mal sind es die normalen Dateinamen aber die gehen nicht auf kommt immer nur Datei ist beschädigt. Habe dem Kunden auch schon gesagt die alle weg sind. Aber eigentlich interessiert mich ob ich es evtl hinbekommen die wiederherzustellen.

MFG

Simon

Hallo Simon,

bei Vista und Win7 bekommst du mit ShadowExplorer meist die Dateien wieder hergestellt. Bei XP leider nicht.
Die Trojaner- Schreiber sind sehr fleißig: zuerst hatten sie nur ein locked im Dateinamen und eine relativ simple verschlüsselung. Jetzt ändert sich alle paar Tage das Muster. Zahlen sind vollkommen neu für mich
Gruß DevilTH

danke. und komisch. in dem pfad finde ich im explorer nur eine *.txt vom 12.01.2011 1kb
über die systemherstelung von win finde ich wenigstens die aktuellen von gestern heute.
hatte versucht das system mit ERNT 1.1j was ja bei jeden Start ne sicherung anlegt zurück zu holen, finzt aber wohl nur bedingt, sodass win halbwegs läuft.

sollte der eigentliche ordner für die wiederherstellung nicht system volumen information sein?

Ich glaube fast, das der Dateianfang bei der neuen Variante des Trojaners mit "Zufallszeichen" überschrieben wird, welche aus Hardwareeigenschaften oder bestimmten Vorgängen gewonnen wird. Ein wirkliches entschlüsseln ist ja für den Programmierer der Schadsoftware nicht erforderlich (oder wer glaubt daran, das sich das Problem nach Zahlung löst? ;-)).

Somit wird es für diese neue Version wohl gar keine Möglichkeit der Entschlüsselung geben.

Oder gibts es doch noch einen Ansatz den Algorithmus zu erkennen?

Zitat:

Zitat von Sven S.

Somit wird es für diese neue Version wohl gar keine Möglichkeit der Entschlüsselung geben.

Oder gibts es doch noch einen Ansatz den Algorithmus zu erkennen?

Zu Satz1) warum dann die Datei .$02 im Temp?

Zu Satz2) der Inhalt der Datei .$02

Es gibt nur noch keinen Ansatz die $02 zu entschlüsseln.
Der Schlüssel ist nicht mehr auf dem Rechner,
er wurde vom Virus an den C&C Server der Gangster übermittelt.

Zitat:

Zitat von Undertaker

er wurde vom Virus an den C&C Server der Gangster übermittelt.

Wie erfolgt denn die Übermittlung? Ggf. Schlüssel abfangen (sofern ungesichert übertragen)?

Ich habe bisher nur das Schadprogramm und verschlüsselte Dateien. Praxistest mit Monitoring hab ich noch nicht gemacht, aber ihr doch sicherlich schon ;-)....

@SvenS,

Zitat:

Zitat von Sven S.

Wie erfolgt denn die Übermittlung? Ggf. Schlüssel abfangen (sofern ungesichert übertragen)?

Ich habe bisher nur das Schadprogramm und verschlüsselte Dateien. Praxistest mit Monitoring hab ich noch nicht gemacht, aber ihr doch sicherlich schon ;-)....

Ja, dem Virus wurde tief in den Rectus gesehen.
Das Ergebnis steht beispielsweise hier:

http://www.trojaner-board.de/115183-...tml#post842502

oder hier ein Zitat eines Antimalwaregurus:

Zitat:

Xylitol May 31, 2012 9:04AM

It’s impossible to decrypt files without criminal’s server.
Report to the Police if you are infected.

Gruß Volker

Danke Volker

Hallo,

hab meinen Trojaner dank Eurer Hilfe runter, aber mein Excel, Word und Bilddateien sind immer noch verschlüsselt. Habe es mit Euren Programmen gemacht, aber ich bekomm es nicht hin.

Hab im Netz das Programm Recovery Toolbox for Excel gefunden, als Shareware. Wer hat das Original um mir weiterzuhelfen? DANKE

Zitat:

Zitat von Morky

Hallo,

hab meinen Trojaner dank Eurer Hilfe runter, aber mein Excel, Word und Bilddateien sind immer noch verschlüsselt. Habe es mit Euren Programmen gemacht, aber ich bekomm es nicht hin.

Hab im Netz das Programm Recovery Toolbox for Excel gefunden, als Shareware. Wer hat das Original um mir weiterzuhelfen? DANKE

@Morky

Wie schaut die Verschlüsselung aus? Buchstaben ohne Dateiformat ?