Hey, wie versprochen ein Update von mir:

Die grafische Oberfläche ist soweit zum Testen bereit und enthält auch direkt eine Funktion zum Auslesen des Schlüssels:

Die Anwendung sollte selbsterklärend sein (wenn man den Beitrag hier bisher verfolgt hat) und ich hoffe auf (positives) Feedback!
Habe bisher nur unter OS X eine mir zugeschickte Beispieldatei erfolgreich wiederhergestellt.
Die Funktion zum Wiederherstellen eines kompletten Verzeichnisses samt Unterordnern wird nachgeliefert!

Die neue Version 0.3 merkt sich das letzte Verzeichnis und kann jetzt auch erstmalig alle verschlüsselten Dateien in einem Ordner wiederherstellen!
Dazu darf keine Datei im Ordner existieren, die so wie die entschlüsselte Version heißen würde. Weiterhin werden bisher keine Unterordner bearbeitet. Eine Fortschrittsanzeige fehlt auch noch... einfach das Verzeichnis im Explorer beobachten

Wie bereits hier mehrfach erwähnt: Zum "Schlüssel erzeugen" muss eine von der Schadsoftware verschlüsselte Datei sowie das Original vorhanden sein!


Wichtiger Hinweis:


Es ist bereits eine neue Variante im Umlauf, die sich nicht mehr einfach entschlüsseln lässt. Daher folgende Hinweise:

• Arbeitet immer mit Backup-Dateien
• Meldet Euch, wenn es Probleme gibt, denn nur so können neue Lösungen erarbeitet werden.

http://matthi.org/DecryptHelper-0.5.3.jar
http://matthi.org/DecryptHelper-0.5.3.exe

weiteres: http://www.trojaner-board.de/114115-...tml#post823142

Auf eigene Gefahr! Vorher (auch die verschlüsselten) Dateien sichern!
Die verschlüsselten Dateien nicht löschen, auch wenn die Entschlüsselung auf den ersten Blick erfolgreich war!

@Matthias
Danke für Deine Arbeit!


Woher Original-Dateien bekommen?

Falls jemand keine Orginale und Verschlüsselte Datei zum erzeugen des Schlüssels hat, kann er dies anhand der Windows-Beispiel-Bildern (falls man sie nicht gelöscht hat und diese verschlüsselt wurden) versuchen.

Windows 7:
http://files.trojaner-board.de/Beispielbilder_Win7.zip

Windows Vista:
http://files.trojaner-board.de/Beispielbilder_Vista.zip

Windows XP:
http://files.trojaner-board.de/Beispielbilder_XP.zip

Andere Beispielbider können gerne gezippt und Angehängt werden.
Wichtig ist Zippen, da Bilder beim Hochladen optimiert/verändert werden.

Alternativ: WINDOWS-CD nach Beispiel-Bildern oder Beispiel Musik durchsuchen!

----

Bitte um Feedback! (mit Angabe der Versionsnummer)

Die neue Version 0.3 merkt sich das letzte Verzeichnis und kann jetzt auch erstmalig alle verschlüsselten Dateien in einem Ordner wiederherstellen!
Dazu darf keine Datei im Ordner existieren, die so wie die entschlüsselte Version heißen würde. Weiterhin werden bisher keine Unterordner bearbeitet. Eine Fortschrittsanzeige fehlt auch noch... einfach das Verzeichnis im Explorer beobachten

Viel Erfolg und gute Nacht!

Download: Decrypt.jar 0.3

Auf eigene Gefahr! Vorher (auch die verschlüsselten) Dateien sichern!
Die verschlüsselten Dateien nicht löschen, auch wenn die Entschlüsselung auf den ersten Blick erfolgreich war!

Hoi Mathias,
ich habe schon alle Entschlüsselungsvarianten, auch von Avira erfolglos durchprobiert, auch eine TrojanerBoard-Kollege Erhard Stasch/sylvester445 hat auch schon Versuche erfolglos angestellt. Er meint die Verschlüsselung wäre noch zu neu?
Dieser Trojaner hat Bild, Video, Musik, PDF, Zip, + Outlookdatein verschlüsselt.
Frage an Dich: Ich habe von meinem synchronisierten Pocket PC einige Datein verschlüsselt + unverschlüsselt könntest Du diese für eine neue decrypter Version gebrauchen?
Für mich ist dies alles sehr schlimm, da ich schwerbehinderter Frührentner mit Amnesie bin und die Dateien für mein Gedächtnis brauche - 25 Jahre haben brutale Folgen bei mir im Kopf hinterlassen.
Kannst Du mir mal ein kurzes Feedback geben?
Freue mich von Dir zu lesen.
Wolfgang

Hallo an alle Betroffenen und das Board-Team,
hab hier auch einen infizierten Rechner:
Win 7 32bit
Mail von: Kundeninfo Betreff: Einzug NUMMER....
Inhalt: Premium Mail angemeldet.....6000 SmS pro Monat.....Onlinespeichervolumen...8GB......86,89 EURO...Ihr Support
Anhang: Lieferung.zip
Zustand nach Infektion:
Nach Neustart, die bekannte Meldung: Verschlüsselungs-Trojaner...bitte zahlen...etc.
Alle pers. Dateien, jpg, mp3, doc und PST Datei sind verschlüsselt UND
umbenannt in kryptische Zeichenfolgen OHNE Erweiterung.
Alle Dateien habe veränderte Dateigrößenangaben, deshalb auch keine Hilfe per DecryptHelper. (Fehlermeldung bzgl. der Größe)
Vielleicht kams ja schonmal, ich musste jedenfalls selbst drauf kommen:
Bei genauerem Hinsehen fiei mir auf, das im Order <benutzer\eigene dokumente\outlook dateien> zwei Standard-Dateien immer noch die gleiche Größe aufwiesen (265kb) und die ehemalige PST größenmäßig auch stimmte, obwohl diese Dateien auch kryptisch aussahen.
Lager Rede kurzer Sinn, nach dem Kopieren und dem Umbenennen in eine .pst Datei konnte diese im outlook geöffnet werden. 1900 Mails, Kontakte etc wieder da, ich jedenfalls bin glücklich. :-)
Klappt bei diesem Rechner bislang nur bei der PST Datei.

Wie gesagt, vielleicht gab es die Info ja schon, ich hab sie aber nicht gefunden und gedacht ich mach mal meinen ersten Eintrag hier.

Großer Dank ans Board

Hallo bin steffen aus Maloorca, sag mir wie du mir helfen koenntest. Bin vielleicht zu dumm dafuer. Habe hier locked files ohne ende. Waere echt dankbar. die sehen so aus ob video oder jpg oder xls.locked-2012-04-04 13.37.23.jpg.zyfc

Zitat:

Zitat von calvia

Hallo bin steffen aus Maloorca, sag mir wie du mir helfen koenntest. Bin vielleicht zu dumm dafuer. Habe hier locked files ohne ende. Waere echt dankbar. die sehen so aus ob video oder jpg oder xls.locked-2012-04-04 13.37.23.jpg.zyfc

Da hast Du gute Chancen, sofern Du ein paar Origandateien, die auch als Locked-Dateien vorliegen, auftreiben kannst.

Nutze dann eines der o. g. acht Tools.

Volker

...Datensicherung ist ne feine Sache, klar! Nur wenn die dann auch so aussieht: LKJAslajLJAsjAO

Gruss Micha

nur mal so, tolle Arbeit die hier geleistet wird!
Ein Wunsch - bei den Tools wäre es schön wenn man erkennen könnte dass diese aktualisiert wurden(Version/Datum).

Gruss Micha

Zitat:

Zitat von mtaube

...Datensicherung ist ne feine Sache, klar! Nur wenn die dann auch so aussieht: LKJAslajLJAsjAO

moin moin Micha,
klar, darum habe ich auch das hier geschrieben.

Gruß Volker

wie bekomme ich decrypt auf - beim installieren zeigt es "wrong key" an
danke

@iwsmueller

Hast du schon einen Key nach Anleitung erstellt?

Erstmal Brauchst du die Verschlüsselte Datei als orginal (unverschlüsselt).
Die Software leitet dich eigentlich durch die Schritte.

nein - bin erst seit heute nacht da- und habe das lockedproblem mit dem trojaner- die software ist drauf und nach der exedatei kommt dieser wrongkey

@iwsmueller
Man nehme Folgende Zutaten:
1 - Decrypter.jar (Javadatei)
1 - Korumpierte Datei
1 - Original Datei
und erzeuge daraus einen köstlichen Schlüssel
Anschließend klicke man auf den Button "Schlüssel laden" und nehme den gerade erzeugten Schlüssel und lade ihn in das Programm. Daraufhin dann auf den letzten Button "Ordner wiederherstellen" und wähle den zu wiederherstellenden Ordner aus. Rappelzappel dauerts ne Weile und du hast deine Daten wieder.

8kannst du mir das einmalganz einfach beschrieben blick nicht mehr durch

Zitat:

Zitat von Veqeta

@iwsmueller
Man nehme Folgende Zutaten:
1 - Decrypter.jar (Javadatei)
1 - Korumpierte Datei
1 - Original Datei
und erzeuge daraus einen köstlichen Schlüssel
Anschließend klicke man auf den Button "Schlüssel laden" und nehme den gerade erzeugten Schlüssel und lade ihn in das Programm. Daraufhin dann auf den letzten Button "Ordner wiederherstellen" und wähle den zu wiederherstellenden Ordner aus. Rappelzappel dauerts ne Weile und du hast deine Daten wieder.

Zuersteinmal für das Tool, es funktioniert wunderbar.

Hatte was ähnliches versucht (defekte Files umbenennen, löschen, datei mit defekten Files mit Pfad ausgeben, dann Dateien der Liste vom Server in entsprechenden Pfad kopieren). Problem ist, dass es abstürzt, wenn ich mehr als ca. 30 Ordner rekursiv auslese

Ich glaub mein Code ist einfach Kot...

Um so mehr Danke für das Tool!