ScareUncrypt - Tool für verschlüsselte Dateien

AD65 · 05.05.2012, 19:17

Guten Abend,

danke für das nette Prog.
Es ist bis jetzt das einzige was bei mir funktioniert, nur leider
kann ich die Dateien (alle) nach der Entschlüsselung nicht lesen.
Windows7 32

Habe mir den Virus gestern eingefangen.

MfG.
AD65

BITFOX · 05.05.2012, 19:46

Bitte beachten, dass es mehrere Trojaner-Versionen gibt und es Probleme gibt, wenn der Rechner zwischenzeitlich neu gestartet wurde.
(Das ist bekannt und kein Fehler.)

Computerede · 03.05.2012, 14:50

Zitat:

Zitat von matkuni

Wie heißt eine der verschlüsselten Dateien beispielsweise?
Wie lautet die genaue Fehlermeldung?
Mit welchen zwei Dateien (Pärchen) versuchst du den Schlüssel zu generieren? (am besten als Zip-Archiv an die Antwort anhängen)

Hi

Mir hat dann das Tool ScareUncrypt geholfen (http://www.trojaner-board.de/114548-...e-dateien.html).
Als Datei habe ich zwei verschiede Windows Wallpaper benutzt, einem dritten wollte ich dann keine Chance geben. Beim ScareUncrypt konnte gleich von Anfang an ein Schlüssel erstellt werden und alle Dateien konnten wieder entschlüsselt werden.
Danke eurem Forum

Gruß Ede

f-bird · 06.05.2012, 13:05

Ich habs mal mit diesem Tool probiert..."ScareUncrypt - Tool für verschlüsselte Dateien"..........................Entschlüsselung hat auch geklappt.
Allerdings erhalte ich beim starten der betroffenen Programme folgende Meldung:

Zitat:

Die Version dieser Datei ist nicht mit der ausgeführten Windows-Version kompatibel.Öffnen Sie die Systeminformationen des Computers, um zu überprüfen, ob eine x86-(32 Bit)- oder eine x64-(64 Bit)-Version des Programms erforderlich ist, und wenden Sie sich anschließend an den Herausgeber der Software.

hackbart2 · 07.05.2012, 09:02

danke schön für das tool. entschlüsseln ging aber die bilder lassen sich leider nicht öffenen trotz der guten beigelegten anleitung.

markusg · 07.05.2012, 10:04

warum das so sein könnte, steht ja n paar mal hier.
bestätigen können wir das halt auch nur, wenn ihr, wie beschrieben, die mails weiterleitet, mit eurem nutzernamen.
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann mail an:
http://markusg.trojaner-board.de
dort die soeben erstellte datei anhängen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

hucky1 · 08.05.2012, 07:32

Servus miteinander im Forum.
An mich ist ebenfalls in der Not herangegangen worden.
Der PC wurde von jemand bereits neu aufgesetzt und die kryptisierten Daten wieder installiert (was natürlich nichts bringt). Die Externe HD habe ich nun bei mir und versuche mit den bisher bekannten Tools zu decrypten, allerdings schlagen alle Tools bisher fehl.
Entweder sie entschlüsseln falsch, oder erstellen von vornherein keinen Schlüssel.
Nachdem ich feststelle, dass hier in diesem Forum Profis am Werk sind, lade ich mal die beiden Windows-XP-Dateien Wasserlilien. Einmal chiffriert und im Original hoch.

Die Dateien wurden auf einem XP SP3 PC infiziert, mein System ist ein W7 64, mit dem ich zu entschlüsseln probiere.
Die Virensvanner-Software Ikarus hat mehrere Trojaner und Würmer gefunden. Den Report habe ich hier eingefügt.

Zitat:

07:05:2012 22:25:56 SEARCHTASK "Scanprofile_2012_5_7" started...
File scanned: F:\Dokumente und Einstellungen\Renata\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\33\30feb821-1bdc106c - SIGNATURE FOUND "Exploit.Java.CVE"
File scanned: F:\Dokumente und Einstellungen\Renata\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\4\5541aec4-5f19e890 - SIGNATURE FOUND "Exploit.Java.CVE-2009-3867"
File scanned: F:\Dokumente und Einstellungen\Renata\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\52\31bba1f4-1cba4612 - SIGNATURE FOUND "Exploit.Java.CVE-2009-3867"
File scanned: F:\Dokumente und Einstellungen\Renata\Lokale Einstellungen\Temp\hccccccccc.pre - SIGNATURE FOUND "Worm.Win32.VBNA"
File scanned: F:\Dokumente und Einstellungen\Renata\Lokale Einstellungen\Temp\jgwwwwwwww.pre - SIGNATURE FOUND "Worm.Win32.VBNA"
File scanned: F:\Dokumente und Einstellungen\Renata\Lokale Einstellungen\Temporary Internet Files\Content.IE5\K3FP0FSR\youjizz[1].js - SIGNATURE FOUND "AdWare.JS.Pornpop"
File scanned: F:\System Volume Information\_restore{95CDA59D-E77D-4F95-9FE2-8F35673DF3B7}\RP14\A0004885.exe - SIGNATURE FOUND "Worm.Win32.VBNA"
File scanned: F:\System Volume Information\_restore{95CDA59D-E77D-4F95-9FE2-8F35673DF3B7}\RP14\A0004886.exe - SIGNATURE FOUND "Trojan-Proxy.Win32.Wopla.ac"
File scanned: F:\System Volume Information\_restore{95CDA59D-E77D-4F95-9FE2-8F35673DF3B7}\RP14\A0004887.sys - SIGNATURE FOUND "Rootkit.Win32.Agent.cf"
File scanned: F:\System Volume Information\_restore{95CDA59D-E77D-4F95-9FE2-8F35673DF3B7}\RP14\A0004888.exe - SIGNATURE FOUND "Worm.Win32.VBNA"
File scanned: F:\System Volume Information\_restore{E765B2C9-9478-40E6-812E-0078D397DEBA}\RP17\A0001278.exe - SIGNATURE FOUND "not-a-virus:AdWare.Win32.Virtumonde"
File scanned: F:\System Volume Information\_restore{E765B2C9-9478-40E6-812E-0078D397DEBA}\RP17\A0001279.exe - SIGNATURE FOUND "Virus.Win32.Virut.q"
07:05:2012 23:11:56 SEARCHTASK "Scanprofile_2012_5_7" FINISHED...
----------------------------------------------------
Directories scanned: 11096
Files scanned: 161785
Virus found: 12
----------------------------------------------------

Vielleicht kann ja jemand weiterhelfen - hoffentlich

Ach ja und noch was.
Die Dokumente wurden am, 4.5.2012 vom Trojaner verschlüsselt

markusg · 08.05.2012, 15:18

na vllt hatts ja mehr sinn, wenn du das sagst, ich hab ja schon häufiger angemerkt, dass wir nur dann aussagen treffen können, wenn man uns die samples zukommen lässt :d

TheDarkside · 08.05.2012, 16:48

Leider hat bei mir das Tool (und auch andere) nicht gewirkt. Ich konnte zwar ein Schlüssel generieren und dann auch diese verschlüsselte Datei(also mit der ich den Schlüssel generiert habe) entschlüsseln, jedoch andere Dateien nicht.
Die Datei die ich entschlüsseln konnte hatte jedoch auch noch Fehler ( die Bildvorschau war z.B. nicht richtig).
Die Dateien heißen wie üblich locked-DateiName.Endung.wxyz (wxyz = Zufallsbuchstaben)

Kann es daran liegen, dass ich die "neuere" Variante mir eingefangen habe?
Bei Interesse kann ich den Trojaner (zumindest den Teil aus den Appdata) euch zusenden (Mail hab ich leider nicht mehr).
Es hat komischer Weise nur die Einstellungen von Programmen (u.A. Thunderbird / MSN ) und ein paar Daten der externen Festplatte verschlüsselt ( Eset hatte die Datei zu schnell gelöscht? Meldung kam trotzdem, dass ich nen Verschlüsselungstrojaner hab und Geld zahlen soll).

//Edit: Sorry hätte wohl eher bei "Wiederherstellung der verschlüsselten Dateien" reingesollt, verklickt

hucky1 · 09.05.2012, 09:20

Es handelt sich um eine Variante des Trojan-Dropper.Win32.Dapato
Mail mit dem Biest gesendet

hucky1 · 10.05.2012, 09:52

Zitat:

Mail mit dem Biest gesendet

Zitat:

Liebes GMX Mitglied,

in einer von Ihnen verschickten E-Mail wurde ein Virus gefunden.

Datei: "Vertrag.exe"
Virus: "Trojan.FakeAV"

Die E-Mail wurde nicht an den Empfänger weitergeleitet. Verwenden Sie bitte
einen lokalen Virenscanner, um Ihren PC zu überprüfen.

Jede Software erkennt ihn anders.
btw. wie sendet man nun den Virus an spamdb@bitfox24.de

cimbo · 11.05.2012, 04:52

e-mail in eine zip-datei packen und ein passwort versehen. natürlich teile ihm das pw mit

DerJazzer · 11.05.2012, 10:33

Zitat:

Zitat von blackfrucht

Mit ScareUncrypt konnte ich einen Schlüssel generieren, welcher aber nur für dieses spezielle File funktionierte, bei allen anderen Files hat das Entschlüsseln nicht funktioniert bzw. die Datei war beschädigt.

(Zitat aus dem decrypthelper-Thread)

Wäre das nicht eine Möglichkeit dass man für jede Datei einen neuen Schlüssel generiert? Würde zwar wahrscheinlich länger dauern (kann's zum Glück grad nicht testen), wäre aber bei Erfolg ein Schritt in die richtige Richtung, oder?

Korrigiert mich bitte wenn ich etwas falsch verstanden habe.

markusg · 11.05.2012, 10:55

hi
naja, wenn er für jede verschlüsselte datei die entschlüsselte vor liegen hätte um sie zu entschlüsseln, dann bräuchte er doch kein entschlüsselungsprogramm mehr.

DerJazzer · 11.05.2012, 11:34

Ok, Denkfehler, hatte das so verstanden, dass der User nen automatisch generierten Schlüssel genommen hat.
Mit Vergleichsdateien wärs tatsächlich sinnlos

05.05.2012, 19:46	#2
BITFOX /// Helfer-Team	ScareUncrypt - Tool für verschlüsselte Dateien Bitte beachten, dass es mehrere Trojaner-Versionen gibt und es Probleme gibt, wenn der Rechner zwischenzeitlich neu gestartet wurde. (Das ist bekannt und kein Fehler.) __________________

11.05.2012, 11:34	#15
DerJazzer /// Malwareteam	ScareUncrypt - Tool für verschlüsselte Dateien Ok, Denkfehler, hatte das so verstanden, dass der User nen automatisch generierten Schlüssel genommen hat. Mit Vergleichsdateien wärs tatsächlich sinnlos __________________ Keep Jazzing! DerJazzer Imperare sibi maximum imperium est. ©Seneca Wenn du uns unterstützen möchtest \| http://www.anaesthesist-werden.de/

ScareUncrypt - Tool für verschlüsselte Dateien

Diskussionsforum: ScareUncrypt - Tool für verschlüsselte Dateien