Reparaturfortschritt:
Die Sicherungsdatei wird erstellt
Die Rettungsdatei wird erstellt
Rettungsschritt 1 wird ausgeführt
Daten außerhalb des Dateibereichs festgestellt
Rettungsschritt 2 wird ausgeführt
Rettungsschritt 3 wird ausgeführt
Die Dateistrukturen werden repariert
Ungültiger Datei-Header gefunden
Reparatur abgeschlossen




lasse jetzt die datei mal checken vom Büro

moin moin,
am 2.5. brachte mir ein Kunde seinen Sony VAIO, nachdem er eine Lieferschein .zip öffnete und die exe ausführte. Das Ergebnis kennt ihe ja.
Nach der "Säuberung", bzw. nachdem das System wieder bootfähig war, waren auf den beiden Partitionen C und D etwa 20 000 Dateien locked-.
Obwohl vom Schädling selbst nichts mehr zu scannen war, war der Rechner noch kompromitiert.
Beim Booten, zwischen dem Bootscreen "Windows wird gestartet und dem Bootscreen "Willkommen" hat sich noch folgendes Bild eingenistet:





Die kryptischen Zeichen waren bei jedem Bootvorgang andere.
Nach klick auf OK, wurde der Bootvorgang dann abgeschlossen.

Das System war zumindest etwas strukturiert.
So war die Partition D die Datenpartition, auf die auch die "Eigenen Dateien" des Benutzers gelinkt war.
Auf Partition C waren einige Anwendungen in den Root, also direkt auf C und nicht in \Programme\ installiert.
Die Daten auf Partition D waren neben einigen Word- und Excel-Dateien hauptsächlich Bilder im JPG-Format.
Wärend auf D Dateien in allen Ordnern locked- waren, waren auf C ausschließlich Dateien betroffen, deren Folder im Root lagen.
Im Ordner \Windows und \Programme gab es keine locked- Dateien.
Erwähnenswert ist vielleicht noch, dass AVAST den Datenstand Oktober 2008 hatte !!!!
Ein Zeichen, welchen Stellenwert Virenschutz und Firewall bei vielen Anwendern genießt.

Nach Rücksprache mit dem Kunden, auch wegen des o. g. Screens, wurde entschieden, das System letztendlich zu recovern (F10).
Damit musste ich mich nur noch mit der Wiederherstellung von ca. 12000 Dateien auf Partition D befassen, haupsächlich JPGs.

Nachdem ich mir die Bilderverzeichnisse nochmals genauer angesehen habe stellte ich fest, dass beginnend mit \Axxxxx bid \Oxxxxx alle Dateien locked- waren.
Im Verzeichnis \Pxxxxx waren nur ein Teil locked- und ab \Rxxxxx waren alle Dateien im Originalzustand.
Warum auch immer, aber ca. 8000 Dateien ließ der Trojaner unbehelligt.

Nun zur Wiederherstellung:
Da der Kunde einige DVDs mit Bildern hatte, die auch auf dem Rechner waren, gab es genügend Dateien zur Paarbildung.
Angefangen habe ich mit dem Avira-RansomFileUnlocker und einem Schlüsselpaar, angewendet auf D:\ mit Unterverzeichnissen.
Im Ergebnis wurden alle 12000 Dateien bearbeitet und als "Entschlüsselt" zurück geschrieben.
Tatsächlich waren aber nur ca. 3000 Dateien brauchbar.
Ein Versuch mit zwei weiteren Schlüsselpaaren blieb erfolglos.
Dabei fiel mir auf, dass der Avira-RansomFileUnlocker bei den weiteren Bearbeitungsgängen recht schnell fertig war.
Warum?
Am Ende musste ich feststellen, dass der Avira-RansomFileUnlocker mit dem neuen Schlüsselpaar bestehende, angeblich entschlüsselte Dateien nicht überschreibt, sondern überspringt.
Meines Erachtens ein gravierender Fehler.
Wer will schon tausende Dateien löschen, bevor mit einem neuen Durchlauf begonnen werden kann.
Dann habe ich mir den RannohDecryptor von Kaspersky angesehen und schnell wieder verworfen.
Da ich beim Kaspersky lediglich HDDs, ohne die Selektion einzelner Verzeichnisse auswählen konnte, war das Tool für mich uninteressant.

Kurze Rede langer Sinn, mit dem scareuncrypt-Tool habe ich bis auf einen Rest von 5 Dateien, 8000 weitere wiederherstellen können.
Dazu benötigte ich vier Schlüsselpaare.
Diese Schlüsselpaare bestanden aus Bilddateien verschiedener Jahre (2008 bis 2012).
Schlüsselpaare aus Dateien des gleichen Verzeichnisses lieferten auch dsas gleiche Ergebnis.
Das heißt, mit diesen Schlüsselpaaren konnten nicht mehr Dateien entschlüsselt werden.

Ich hoffe, mein kleiner Bericht findet Euer Interesse.
Mein Kunde hat jetzt wieder ein sauberes Systen, fast alle Daten zurück und den festen Willen den Virenschutz aktuell zu halten ab und zu ein Image des Systems zu ziehen.
Das Neuaufsetzen und aktualisieren des Systems mit der Neuinstallation der Anwendungen und Treiber dauert allemal länger als das Rückspielen eines Images.

Gruß und gutesw Gelingen, Volker

wenn du mal wieder an solche mails kommst, weiterleiten wie beschrieben.
wieso man sienen malware schutz nicht aktuell hält, verstehe ich sowieso nicht, zumal das automatisch geht....

Hallo liebes Trojaner-Board Team,

nach 5 Stunden zähne zusammenbeißen konnte ich mit Hilfe eures DecrypHelper 0.5.3 nun auch bei mir einen Erfolg erzielen und große Mengen von Daten meines Kunden retten.

Da ich schon früher sehr oft hier Hilfe oder Denkanstöße erhalten konnte, würde ich gerne ebenfalls wie auch schon einige andere Benutzer des Forums eine Spende an euch senden.

Gute Arbeit soll belohnt werden
Gerade wenn sie so kompetent, ohne Gegenleistung zu fordern, angeboten wird.

Mittels einer von meinem Kunden versendete E-Mail konnte ich mit meinem Kunden zusammen Kontakt zu dem Empfänger dieser E-Mail mit Anhang aufbauen, der mir folglich diese Original-Datei zur Verfügung stellen konnte.

Dies war in meinem Fall die einzige Möglichkeit , da die Beispielbilder von Windows XP bereits gelöscht waren und die Beispielmusikdateien sich um 4KB unterschieden.

Meine Arbeitsschritte sahen wie folgt aus:

1. Sicherung des Datenträgers auf ein Externes Medium
2. Entfernung des Trojaners mittels der Kaspersky Rescue Disc und dem Registry Editor, der Ihnen erlaubt die Registrierung von außerhalb zu bearbeiten (sehr zu empfehlen)
3. Original Datei des Kunden wiederbeschafft und mit DecryptHelper wichtige Dateien entschlüsselt (bisher habe ich dies jedoch erst mit Textdokumenten und Bildern versucht)

Danke für die Hilfe aller Benutzer in diesem Thread.
MfG
blackcore

Hallo ich bin etwas am verzweifeln mit dem DecryptHelper, habe von meiner Mutter den Pc hier , möchte ein Bild jpg. entschlüsseln ich scheiter schon beim Schlüssel erstellen . Bei mir sagt die Datei muss 4 kb sein habe verschlüsseltes Beispielbild Autumn genommen und ein orginal . Was mache ich den falsch ?Grüße Sabine

@blackcore
schön das es geklappt hatt
bitte für die zukunft:
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann mail an:
http://markusg.trojaner-board.de
dort die soeben erstellte datei anhängen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.
wegen spenden, klicke in meine signatur :-)

@Enibas
wie groß sind die dateien, klicke dazu auf eigenschaften.
sind sie über 4 kb groß?
haben sie beide die selbe größe bis aufs byte genau?

Hallo Markus danke für deine schnelle Antwort. Die Orginale hat Größe 276,216-Größe auf Datenträger 294,912.Die verschlüsselte 276,212 Größe auf Datenträger 278,528 hoffe es reicht dir so wie ich es geschrieben habe .Grüße Sabine

dann kanns nicht gehen, such ein paar das gleich groß ist bitte

Hallo Markus nun habe ich den Wasserfall alles identisch nun sagt er Schlüssel konnte nicht bestimmt werden ......

Zitat:

Zitat von Enibas

Hallo Markus nun habe ich den Wasserfall alles identisch nun sagt er Schlüssel konnte nicht bestimmt werden ......

Hab ich auch so

Markus habe es nun auch mit ner identischen mp3 versucht sagt er das selbe ...

mal hiermit probieren:
http://www.trojaner-board.de/114548-...e-dateien.html

Moin liebe Leute,

ich habe bei einem PC hier alles was es momentan gibt, und hier ausführlich beschrieben wurde, ausprobiert. Leider ohne Erfolg.

es ist jedenfalls mit keinem Tool aus einem Paar des vorhandenen Backups mit einer verschlüsselten ein Schlüssel zu generieren.

Tools die ich getestet habe:
DecryptHelper von Matthias
Avira Ransom File Unlocker
Tool von Dr. Web
ScareUncrypt von BitFox
Trojan.Ransom.HM-Decrypt_v1 (BitDefender)
RannohDecryptor von Kaspersky

nun bin ich mit meinem Latein am Ende und hoffe das jemand eine Lösung findet.

Achso, bevor ichs vergesse zu sagen. Ich habe den Rechner bereits bereinigt und es ist keine Schadsoftware mehr drauf und die Datei hieß Abrechnung.exe

was ist mit der infektions quelle?
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann mail an:
http://markusg.trojaner-board.de
dort die soeben erstellte datei anhängen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.