hallo

Ich habe leider am 25.5 einen fehlklick gemacht und mir ebenfalls einen verschlüsselungstrojaner eingefangen

leider konnte ich die email nicht retten, da mein thunderbird account verändert wurde und ich nicht mehr auf die bereits angekommenen emails zugreifen kann.

derzeit sieht meine festplatte so aus
QrvvguNJOuNrvgurJOuQ
xtfxGUsVGUsVfxdtfxU
ect.

ordner sind jedoch nicht verändert worden nur dateien

Ich habe aber die Zip wieder finden können, wo die datei drin ist.

falls markusg die datei haben möchte schick ich ihm sie gerne - ich kann auch noch ein paar datein welche verschlüsselt wurden und die originale mitschicken.

vielleicht ist es dann leichter den logarithmus zu isolieren.

lg
daniel

Zitat:

Zitat von eauth

es stellt sich die grundlegende Frage, ob die Dateien überhaupt verschlüsselt sind, könnte es nicht sein dass die ersten 12KB einfach ein zufälliges Bitmuster sind?

Möglich ist es und wenn dem so wäre, dann sind die dateien nicht zu retten.
Das wäre aber nicht logisch.
Das spricht sich rum und es zahlen dann weniger, was nicht im Sinne des Geldempfängers wäre.
Im Trojaner gibt es Zeichenketten, die durchaus die Vermutung erwecken, Schlüssel bzw. Teil eines Schlüssels zu sein.

Vielleicht hast Du aber auch Recht und die ganzen Anstrengungen sind für die Katz.

Gruß Volker

Zitat:

Zitat von eauth

es stellt sich die grundlegende Frage, ob die Dateien überhaupt verschlüsselt sind, könnte es nicht sein dass die ersten 12KB einfach ein zufälliges Bitmuster sind?

Nun, ich habe mehrere Versionen der selben Datei im Download Ordner. Jede weist ein anderes Muster auf bis 2FFF, danach folgt der Originalinhalt. Könnte also sein. Kann aber auch ein guter/normaler Crypto-Algo sein, damit die Decrypt-Methode mit Hilfe der Originaldatei nicht mehr zieht.

Bei mir hat nämlich keiner der Decrypter geholfen, trotz Originaldatei und mehrerer "verschlüsselten" Versionen davon. Hoffnung habe ich dennoch...

surject

Antwort auf mein Posting vom 25.5.2012
@benton18
Verschlüsselte Dateien sind
- umbenannt ohne Endung und ohne erkennbare Struktur, keine doppelten Buchstaben und unterschiedlich lang, mindestens 14 Zeichen
- nicht umbenannt (nur 14 Dateien .jpg)

Ich habe noch die verseuchte Original-Festplatte und eine 1:1 Kopie davon. Ich weiß, dass da der Übeltäter noch drauf ist. Ein Test ergab, dass ESET diesen findet und "behandeln" kann.

Ich habe auf der Sicherung einen Ordner "Programme" und darin die Struktur der Fakturierung. Hier scheint alles ok zu sein.

Ich habe im Webmail noch so ein Biest (noch nicht abgerufen, kann es weiterleiten)
Absender: y_hayato555@yahoo.co.jp
Betreff: Dritte Zahlungsaufforderung 23.05.2012
Anhang: Mahnung.zip 62K

Guten Morgen,

in Bezug auf unsere Rechnung Nr.: 46472838 und unsere 1. sowie auch unsere 2. Mahnung mussten wir heute feststellen, dass Ihre Zahlung bei uns noch immer nicht eingegangen ist. Dies bedeutet einen einseitigen Vertragsbruch Ihrerseits. Nach geltendem Recht könnten wir die offene Forderung bereits jetzt bei Gericht anmelden. Wir geben Ihnen jedoch trotzdem noch eine letzte Möglichkeit, Ihre vertragliche Verpflichtung zu erfüllen, indem Sie unverzüglich die ausstehende Summe in Höhe von 627.00 EURO an uns zur Zahlung bringen.

Die Rechnung und die Bestelleinzelheiten finden Sie in beigefügter Datei

Nach geltendem Recht sind wir befugt, die anfallenden Kosten geltend zu machen. Alle bereits angefallenen und noch entstehenden Kosten (Mahnkosten, Rechtsanwalts- und Gerichtskosten) gehen zu Ihren Lasten.

Vermeiden Sie unnötigen Ärger und weitere Kosten und erfüllen Sie den mit uns abgeschlossenen Vertrag!



Maolo-Elektro Aktiengesellschaft mit Sitz in Hamburg

Vorstand: Heinz Müller, Josef Moser
Aufsichtsratsvorsitzender: Thomas Lehner
Gesellschaftssitz: Essen 16210

Wenn es Spezialisten gibt, die damit was anfangen können für die Allgemeinheit, bitte melden. Danke für euren Einsatz !!!

Hallo,

ich habe vor 15 Minuten ebenfalls die 3. Zahlungsaufforderung erhalten!

Ich habe das ganze an die Virenprofis hier gemailt in der Hoffnung das allen Betroffenen geholfen werden kann.

Danke schon mal für Erure ganze Arbeit!

Hallo zusammen,
da ich, wie auch viele Leute hier, eine Hilfe brauche, wollte ich die verschlüsselten und originellen Dateien zukommen lassen. In der Quarantäne vom Malwarebytes-Programm befindet sich der Trojan-Agent (stub.exe).
Meine Frage ist wie kann ich dann ihn von dort wieder rausholen um ihn auch zu zusenden. Die entsprechende Mail hatte ich leider entfernt.
Vielen Dank für den Tipp!
Juri

Hallo benton18,

meine musikdateien ahbe ich im Original vorliegen. Beim Vergleich der Originaldatei mit der verschlüsselten stelle ich fest, dass zur Originaldatei eine mit 3KB und eine mit 9KB hinzugefügt wurde. Alle 3 sind verschlüsselt.

Hallo benton18,

meine musikdateien ahbe ich im Original vorliegen. Beim Vergleich der Originaldatei mit der verschlüsselten stelle ich fest, dass zur Originaldatei eine mit 3KB und eine mit 9KB hinzugefügt wurde. Alle 3 sind verschlüsselt.
Plagi ist gerade online Beitrag melden Beitrag bearbeiten/löschen

So viel zum Mythos Ganovenehre!

hallo zusammen.
hatte auch diesen trojaner.da ich aber nicht mehr weiter wusste, habe ich windows neu aufgespielt.
aber jetzt habe ich ein großes problem.
und zwar sind alle bilder die ich auf einer anderen (intern) festplatte habe nicht mehr zu öffnen.unter dem bild steht dann sowas: DseafseGfgvLQgAEaoq

keine ahnung was da los ist.
wie bekomme ich die bilder wieder????

Zitat:

Zitat von beelzebub70

hallo zusammen.
......
und zwar sind alle bilder die ich auf einer anderen (intern) festplatte habe nicht mehr zu öffnen.unter dem bild steht dann sowas: DseafseGfgvLQgAEaoq

keine ahnung was da los ist.
wie bekomme ich die bilder wieder????

@belzebub70,
was da los ist?
Das ist das Werk des Trojaners.
Der wütet nicht nur auf C:\
Am Versuch der Wiederherstellung arbeiten einige Experten.

Gruß Volker

na dann hoffe ich mal, das ich die bilder wieder bekomme.
dann wünsche ich den spezialisten viel glück, das sie ein prog hin bekommen womit man bilder etc. wieder herstellen kann

Hallo,
ich habe mir diesen Virus auch eingefangen und kann auf meinem Laptop nicht mehr auf das Desktop zugreifen auch nicht ins Internet oder irgendwelche Programme und das schlimmste mein Virenprogramm hat nicht gewarnt.
Da ich keine Ahnung habe wie ich mein Laptop wieder hinbekomme da ich weder normal noch im abgesicherten Modus starten kann wollte ich mal fragen ob mir jemand eine verständliche Erklärung mitteilen kann.
Ich werde ehrlich gesagt aus den hier angebotenen Lösungen nicht so ganz schlau.
Vielen Dank

hallöchen an alle ich habe dieses problem seit gestern abend mein eigener pc ist damit befallen,ich bin online mit denn pc meines sohnes ich habe mein emali konto gecheckt und habe eine mahnung bekommen das ich die bezahlen soll (war im spamordner drin) ich habe diese mail geöffnet und habe denn zip war keine ahnung wie das jetzt heis versucht zu lesen habe es ging nicht habe denn dann zurück geschrieben das sie mir die per post zuschicken lassen sollen am abend hatte ich versönlich keine lust am pc und habe mein kleien sohn minecraft spielen lassen und aufeinmal kann diese warung

ich war entsetzt als ich lass das durchdangebliche ponografische und infiziert seiten mein windos gesperrrt worden ist dann tankstellen und kiosk kann mann diesen schlüssel kaufen ,also rief ich meinen netten bruder an ob er nicht mal schell mir 100 eruo von der bank abheben kann und die ukash card holt

er meinte bist du besche... sofort wlan steker ziehen und finger davon

ich komme nicht mal an windos rann sobalt ich die kiste starte komm diese warung sofort


her diese emali die ich geöffnet habe




Von:
vicky.hardwick@cocolime.co.uk
ins Adressbuch
An: sbelke@gmx.de
Betreff: Letzte Zahlungsaufforderung nach Vertragsbruch 24.05.2012
Datum: Sat, 26. May 2012 19:45:22

GMX Virenschutz: In dieser E-Mail wurden keine Viren gefunden.
GMX Spamschutz Briefkopf-Analyzer: Der Header dieser E-Mail weist für
Spam-Mails typische Merkmale auf.

Volldarstellung



Antworten


Allen antworten


Weiterleiten


Umleiten


Löschen


kein SPAM

Sehr geehrte Kundin sehr geehrter Kunde,

in Bezug auf unsere Rechnung Nr.: 51635522 und unsere 1. sowie auch unsere 2. Mahnung mussten wir heute feststellen, dass Ihre Zahlung bei uns noch immer nicht ausgeglichen ist. Dies bedeutet einen einseitigen Vertragsbruch Ihrerseits. Nach geltendem Recht könnten wir die offene Forderung bereits jetzt bei Gericht anmelden. Wir geben Ihnen jedoch trotzdem noch eine letzte Möglichkeit, Ihre vertragliche Verpflichtung zu erfüllen, indem Sie unverzüglich die ausstehende Summe in Höhe von 815.00 EURO an uns zur Zahlung bringen.

Die Rechnung und die Bestelleinzelheiten finden Sie im Zusatzordner

Nach geltendem Recht sind wir befugt, die anfallenden Kosten geltend zu machen. Alle bereits angefallenen und noch entstehenden Kosten (Mahnkosten, Rechtsanwalts- und Gerichtskosten) gehen zu Ihren Lasten.

Vermeiden Sie unnötigen Ärger und weitere Kosten und erfüllen Sie den mit uns abgeschlossenen Vertrag!



Noofi-Technik Aktiengesellschaft mit Sitz in Hannover

Vorstand: Karin Fuchs, Helga Maier
Aufsichtsratsvorsitzender: Jürgen Schneider
Amtsgericht: Essen 02776
Dateianhänge zur E-Mail
Öffnen Speichern MediaCenter
Mahnung.zip

@smhh und @igel: ihr seid hier im falschen Thread. Ihr solltet unter Beachtung von http://www.trojaner-board.de/69886-a...-beachten.html unter "Plagegeister aller Art und deren Bekämpfung" je einen Thread aufmachen und warten bis jemand vom Helfer Team sich direkt mit eurem Problem beschäftigt.

Hallo Luete!
Zeur Zeit gibt es noch keine Entschlüsselungslösung für die neue Variante (Buchstaben-Salat) Es arbeiten aberschon die besten Köpfe daran, was rauszufinden. Löscht eure Dateien noch nicht!! Behaltet auch die Mail, die euch das Desaster verursacht hat, ev ist darin die Lösung versteckt.