ScareUncrypt - Tool für verschlüsselte Dateien

maas1337 · 05.05.2012, 11:57

Danke, Bitfox wäre echt toll wenn man bei den älteren Viren die komplette Platte reinigen(entschlüsseln) lassen könnte

Nusshund · 05.05.2012, 13:30

Zitat:

Zitat von BITFOX

Apropos neue Seuche: Geht es da um den neuen Typen den ich hier neulich schon beschrieben hatte? 3x2 Blöcke a 2K bzw 3x4K? Wenn nicht: Wenn mir mal jemand das noch neuere Biest schicken kann, wäre nett.

Hallo Bitfox,

wohin möchtest Du denn die eml haben dann schick ich sie Dir gerne ¿

BITFOX · 05.05.2012, 14:09

Maas: Erledigt... nun für alle Verzeichnisse, Anzeige des Dateifortschritts, Ignorieren von bösen Verzeichnissen, etc. pp.
Wenn das nicht reicht, dann weiss ich auch nicht ;-)
Version 2012-05-05 14:57 Uhr

Nasshund: Du hast Post :-)

Betonung bitte ausserdem noch einmal:
Spenden für mein Tool bitte nicht an mich, oder auf unser Geschäftskonto -
Bitte wirklich an den gemeinnützigen Verein "AK Jugendhilfe Ahlen e.V." (Siehe Liessmich-Datei.)
Die stellen auch gern eine Spendenquittung für das Finanzamt aus.

Ich selbst könnte sicherlich das Geld auch gebrauchen, aber freue mich schon über eine simples "Danke" auf einer Postkarte....!

Wer ausserdem Viren, Spam, Trojaner hat, kann das ganze ungefragt an spamdb@bitfox24.de schicken;
In den nächsten Tagen werde ich mir da auch mal was einfallen lassen, wie man die "gesammelten Werke" (inkl. Mailheader inkl. Binaries) online stellen kann; so dass sich jeder daran bedienen kann.

maas1337 · 05.05.2012, 14:50

Danke dir Bitfox werde es beim nächsten Virenkunden mal austesten :-*

Bist echt ein Schatz :P

Gruß Maas1337

Halbschnabel · 05.05.2012, 15:37

Hab gerade die neue Version probiert. Ich kann einen Schlüssel generieren und auch die Dateien entschlüsseln, sie lassen sich jedoch nicht öffnen. IrfanView bringt "Kann Dateiheader nicht lesen"
In .doc und .xls Dateien stehen nur kryptische Zeichen.

markusg · 05.05.2012, 15:45

@Halbschnabel
bitte zitat lesen.
wird uns evtl. helfen die fehlerquelle zu finden.
entschlüsselt hast du ja hoffendlich an nem backup

Zitat:

Zitat von markusg

kannst du mir mal das sample schicken, mit dem du dich infiziert hast, es gibt welche, wo das mit den paaren nicht mehr funktioniert
schau mir das dann mal an, nenne in der mail, deinen nutzernamen
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann mail an:
http://markusg.trojaner-board.de
dort die soeben erstellte datei anhängen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.

auch in zukunft, unbekannte mails mit anhang weiterleiten.

Halbschnabel · 05.05.2012, 16:16

Hab nochmal mit anderen Dateien einen neuen Schlüssel generiert, jetzt funktioniert es problemlos, vielen Dank.

BITFOX · 05.05.2012, 16:33

Habe jetzt auch noch mal eine Anleitung als DOC und PDF dabei gepackt, wie das Tool zu benutzen ist -
vielleicht ist damit die Fragerei im Forum etwas entschärft.

Ich freue mich ausserdem auch über _kleine_ verschlüsselte Dateien (nach Möglichkeit bitte je Datei bitte nicht mehr als 2MB) vom Dateitypen mp3, jpg, png, pif, exe, com, avi und den jeweis (falls vorhandenen) Gegenstücken an spamdb@bitfox24.de

Das hilft wirklich ungemein weiter!

Danke.

ScareUncrypt-Tool

AD65 · 05.05.2012, 19:17

Guten Abend,

danke für das nette Prog.
Es ist bis jetzt das einzige was bei mir funktioniert, nur leider
kann ich die Dateien (alle) nach der Entschlüsselung nicht lesen.
Windows7 32

Habe mir den Virus gestern eingefangen.

MfG.
AD65

BITFOX · 05.05.2012, 19:46

Bitte beachten, dass es mehrere Trojaner-Versionen gibt und es Probleme gibt, wenn der Rechner zwischenzeitlich neu gestartet wurde.
(Das ist bekannt und kein Fehler.)

f-bird · 06.05.2012, 13:05

Ich habs mal mit diesem Tool probiert..."ScareUncrypt - Tool für verschlüsselte Dateien"..........................Entschlüsselung hat auch geklappt.
Allerdings erhalte ich beim starten der betroffenen Programme folgende Meldung:

Zitat:

Die Version dieser Datei ist nicht mit der ausgeführten Windows-Version kompatibel.Öffnen Sie die Systeminformationen des Computers, um zu überprüfen, ob eine x86-(32 Bit)- oder eine x64-(64 Bit)-Version des Programms erforderlich ist, und wenden Sie sich anschließend an den Herausgeber der Software.

hackbart2 · 07.05.2012, 09:02

danke schön für das tool. entschlüsseln ging aber die bilder lassen sich leider nicht öffenen trotz der guten beigelegten anleitung.

markusg · 07.05.2012, 10:04

warum das so sein könnte, steht ja n paar mal hier.
bestätigen können wir das halt auch nur, wenn ihr, wie beschrieben, die mails weiterleitet, mit eurem nutzernamen.
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann mail an:
http://markusg.trojaner-board.de
dort die soeben erstellte datei anhängen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

hucky1 · 08.05.2012, 07:32

Servus miteinander im Forum.
An mich ist ebenfalls in der Not herangegangen worden.
Der PC wurde von jemand bereits neu aufgesetzt und die kryptisierten Daten wieder installiert (was natürlich nichts bringt). Die Externe HD habe ich nun bei mir und versuche mit den bisher bekannten Tools zu decrypten, allerdings schlagen alle Tools bisher fehl.
Entweder sie entschlüsseln falsch, oder erstellen von vornherein keinen Schlüssel.
Nachdem ich feststelle, dass hier in diesem Forum Profis am Werk sind, lade ich mal die beiden Windows-XP-Dateien Wasserlilien. Einmal chiffriert und im Original hoch.

Die Dateien wurden auf einem XP SP3 PC infiziert, mein System ist ein W7 64, mit dem ich zu entschlüsseln probiere.
Die Virensvanner-Software Ikarus hat mehrere Trojaner und Würmer gefunden. Den Report habe ich hier eingefügt.

Zitat:

07:05:2012 22:25:56 SEARCHTASK "Scanprofile_2012_5_7" started...
File scanned: F:\Dokumente und Einstellungen\Renata\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\33\30feb821-1bdc106c - SIGNATURE FOUND "Exploit.Java.CVE"
File scanned: F:\Dokumente und Einstellungen\Renata\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\4\5541aec4-5f19e890 - SIGNATURE FOUND "Exploit.Java.CVE-2009-3867"
File scanned: F:\Dokumente und Einstellungen\Renata\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\52\31bba1f4-1cba4612 - SIGNATURE FOUND "Exploit.Java.CVE-2009-3867"
File scanned: F:\Dokumente und Einstellungen\Renata\Lokale Einstellungen\Temp\hccccccccc.pre - SIGNATURE FOUND "Worm.Win32.VBNA"
File scanned: F:\Dokumente und Einstellungen\Renata\Lokale Einstellungen\Temp\jgwwwwwwww.pre - SIGNATURE FOUND "Worm.Win32.VBNA"
File scanned: F:\Dokumente und Einstellungen\Renata\Lokale Einstellungen\Temporary Internet Files\Content.IE5\K3FP0FSR\youjizz[1].js - SIGNATURE FOUND "AdWare.JS.Pornpop"
File scanned: F:\System Volume Information\_restore{95CDA59D-E77D-4F95-9FE2-8F35673DF3B7}\RP14\A0004885.exe - SIGNATURE FOUND "Worm.Win32.VBNA"
File scanned: F:\System Volume Information\_restore{95CDA59D-E77D-4F95-9FE2-8F35673DF3B7}\RP14\A0004886.exe - SIGNATURE FOUND "Trojan-Proxy.Win32.Wopla.ac"
File scanned: F:\System Volume Information\_restore{95CDA59D-E77D-4F95-9FE2-8F35673DF3B7}\RP14\A0004887.sys - SIGNATURE FOUND "Rootkit.Win32.Agent.cf"
File scanned: F:\System Volume Information\_restore{95CDA59D-E77D-4F95-9FE2-8F35673DF3B7}\RP14\A0004888.exe - SIGNATURE FOUND "Worm.Win32.VBNA"
File scanned: F:\System Volume Information\_restore{E765B2C9-9478-40E6-812E-0078D397DEBA}\RP17\A0001278.exe - SIGNATURE FOUND "not-a-virus:AdWare.Win32.Virtumonde"
File scanned: F:\System Volume Information\_restore{E765B2C9-9478-40E6-812E-0078D397DEBA}\RP17\A0001279.exe - SIGNATURE FOUND "Virus.Win32.Virut.q"
07:05:2012 23:11:56 SEARCHTASK "Scanprofile_2012_5_7" FINISHED...
----------------------------------------------------
Directories scanned: 11096
Files scanned: 161785
Virus found: 12
----------------------------------------------------

Vielleicht kann ja jemand weiterhelfen - hoffentlich

Ach ja und noch was.
Die Dokumente wurden am, 4.5.2012 vom Trojaner verschlüsselt

kingboa · 08.05.2012, 08:18

Zitat:

Zitat von Nusshund

Hallo Bitfox,
auch bei mir nur Datenmüll bei "jpg" Dateien mit und ohne eigenen Dateien

Leider dito!

05.05.2012, 19:46	#25
BITFOX /// Helfer-Team	ScareUncrypt - Tool für verschlüsselte Dateien Bitte beachten, dass es mehrere Trojaner-Versionen gibt und es Probleme gibt, wenn der Rechner zwischenzeitlich neu gestartet wurde. (Das ist bekannt und kein Fehler.)

ScareUncrypt - Tool für verschlüsselte Dateien

Diskussionsforum: ScareUncrypt - Tool für verschlüsselte Dateien