Moin zusammen!

Ich reihe mich ein in die Liste der Betroffenen:

Naja, eher passiv, da ich die Daten von Jemandem retten möchte; selbst blieb ich bisher verschont.

Ich arbeite an einem der mit

Version 1.150.1
Dateien werden verschlüsselt
keine Umbenennung mehr


betroffen ist. Naja, zum Glück keine Namensverschlüsselung, was?

Jedoch kann bis dato keines der Tools erfolgreich entschlüsseln, ich werde heute zumindest für die Bilder die JPEG Recovery Tools testen.

Bis dahin und überhaupt:

Toi toi toi bei der Entwicklung einer Decrypter-Lösung!

Grüße aus MD

Jens

@alle:

So wie es aussieht gibt es was den Verschlüsselungs-Trojaner angeht keine Hoffnung mehr:

Delphi-PRAXiS - Einzelnen Beitrag anzeigen - Verschlüsselungs-Trojaner, Hilfe benötigt

Ich möchte hiermit die Administratoren bitten, das ab jetzt auch offen so zu kommunizieren, da es keinen Sinn macht, hier weiter Hoffnung zu Schüren, ohne dass es Aussicht auf ein Entschlüsselungs-Tool gibt.

Die Analyse von Marcu stimmt mit meinen Annahmen überein und ich denke, eine Zusammenfassung mit Hinweisen zu ShadowCopy und sonstigen Reparaturmaßnahmen sollte als sticky gesetzt werden.

Zitat:

Zitat von DelphiDepp

Hallo,


Das Dateidatum und die Uhrzeit bekommst Du auf der Kommandozeile mit folgendem Befehl geändert:

copy *.* +

Hierzu mußt Du in der Kommandozeile in das Verzeichnis wechseln, in dem sich die entsprechenden Dateien befinden. Mit dem Befehl werden "ALLE" Dateien in dem Verzeichnis mit dem aktuellen Datum und der aktuellen Uhrzeit versehen.

S-1-5-21 ist der eindeutige windowsinterne Schlüssel/Bezeichner... für deinen Benutzer.
Genaueres dazu siehe hier: hxxp://de.wikipedia.org/wiki/Security_Identifier

Stephan

Ich meine nicht das Dateidatum sondern das Erstellungsdatum,das vom Trojaner verändert wurde,und diese S-1-5-21 Zahlenfolge tritt nur bei den Dateien auf,die eben von diesem Trojaner verändert worden sind. Sie haben zwar alle die Originalnamen,sind aber nicht ausführbar.Im Vergleich zu den verschonten Dateien wurde weder das Datum verändert,noch gibt es diese Zahlenfolge.Mir ist noch aufgefallen,das bei den Zahlenfolge noch ein Fragezeichen im dem Bildchen ist,also unbekannter Benutzer.
Ergo,hat der Trojaner auf zwei Arten verschlüsselt.

Hallo an alle, vorallem an die Experten,

habe mir am 31.05. die 2. Generation in folgender Variante eingehandelt:
- Dateinamen alle in Buchstabensalat ohne Endung umbenannt
- Bilder kann ich durch Anfügen des entsprechenden Anhangs teilweise,
zumindest als Vorschau, sehen aber nicht öffnen, da "fehlerhaft oder zu groß"
- Word, Exel usw. geht auf diese Weise nicht
- die Outlook Datei habe ich durch Umbennen in die Originalbezeichnung auch wieder hinbekommen, alles noch unverändert da


MSE hat folgende Schädlinge erkannt und entfernt:
- Trojan:Win32/Matsnu -schwerwiegend
- Exploit:Java/Blacole.AK -schwerwiegend
- Exploit:Java/Block -schwerwiegend
- Exploit:Java/CVE-2010-0840.NE -schwerwiegend

Die Verursacher-Mail ist leider nicht mehr da. Dafür 2 neue, die ich an Markus schon weitergeleitet habe.

Ich möchte gerne mit nützlichen und sinnvollen Informationen weiterhelfen. Deshalb will ich nicht mit Allem posten, was ich habe. Sagt, was ihr wissen müsst.

Und noch eine Frage: Macht es momentan Sinn ein eigenes Thema zu eröffnen?

Ingo

@forest74

Erst einmal vielen Dank für Deine Antwort. Kannst Du mir Deine mail- Adresse zukommen lassen, dann kann ich Dir gerne ein paar verschlüsselte Dateien senden. Das wäre natürlich die absolute Rettung, wenn das klappen würde..

Viele Grüße,
Georg

Zitat:

Zitat von george1701

@forest74

Erst einmal vielen Dank für Deine Antwort. Kannst Du mir Deine mail- Adresse zukommen lassen, dann kann ich Dir gerne ein paar verschlüsselte Dateien senden. Das wäre natürlich die absolute Rettung, wenn das klappen würde..

Viele Grüße,
Georg

Georg,
lade Dir doch die Demoversion hier runter.
Du kannst dann testen nach Herzenslust und wenn's klappt, dann kaufe es.

Volker

Zitat:

Zitat von george1701

@forest74

Erst einmal vielen Dank für Deine Antwort. Kannst Du mir Deine mail- Adresse zukommen lassen, dann kann ich Dir gerne ein paar verschlüsselte Dateien senden. Das wäre natürlich die absolute Rettung, wenn das klappen würde..

Viele Grüße,
Georg

Hallo Georg,

habe ich dir per PN geschickt.

Grüße

Zitat:

Zitat von george1701

Ich habe mir gerade mal Deine entschlüsselten Bilder angeschaut. Für mich sieht es total zufriedenstellend aus. Ich habe Dir gerade auch 3 Dateien geschickt. Falls das gleiche Ergebnis erzielt werden kann, werde ich auf jeden Fall den "Unkostenfaktor" in Kauf nehmen!!

#

viel glück dabei, je mehr anzeigen eingehen desto besser, da höhere priorität etc.

@Undertaker: Die verschlüsselten Bilder sind im Urzustand zwischen 800 und 1200 KB groß.
Vielleicht magst mir "deinen" walk through mal posten. Kann ja sein, dass ich irgendwo nen Fehler gemacht habe, wobei es da nicht soviele Möglichkeiten gibt /

Hallo,

habe mir ebenfalls den o.g. Trojaner eingefangen. War mir nicht bewusst, dass meine Dateien durch den Trojaner verschlüsselt sind und habe einfach alle wichtigen Dateien (Dokumente und Bilder) im abgesicherten Modus auf einen USB-Stick gezogen und anschließend die Festplatte formatiert.
Nachdem ich die Neuinstallation von Windows 7 abgeschlossen hatte, habe ich den Stick angeschlossen um die Daten wieder auf meinen PC zu ziehen. Erst jetzt bemerkte ich, dass die Dateien (Dokumente) nicht mehr zu öffnen sind. Bilder jedoch schon. Da ich die wichtigsten Dokumente schon vor der Infizierung auf einem anderen Stick gesichert hatte und im wesentlichen nur die Fotos retten möchte ist nun meine Frage: Sind die Daten, die ich auf den Stick gezogen habe alle ,,verseucht'' oder einfach nur nicht mehr zu öffnen? Kann ich mir die Bilder einfach vom Stick ziehen ohne mir weitere Sorgen machen zu müssen? O.g. Programme zeigen mir auch keine schädliche Software an.

Vorab vielen Dank für eure Hilfe!

Hallo,
habe mir leider auch diesen Müll auf dem Laptop eingefangen......... Habe das auch schon mit der CD probiert von meinem Zweit Rechner aus. Allerdings ohne Erfolg. Der Monitor bleibt schwarz........ Ohne CD fährt er hoch und das Bild kommt wieder........

Wer kann mir da weiter helfen????

Ich hab dann mal den vermutlich neuesten auf eine abgeschottete virtuelle Maschine losgelassen. Internet Verbindung hat sie, andere Rechner im Netz kann sie nicht erreichen, es wurden sicherheitshalber alle Freigaben auf meinem aktuellen Arbeits-PC (auch die Administrativen) abgeschaltet.

Nach dem Start hat sich die Datei selber gelöscht, aktiv sollte sie also sein.

Allerdings hat bisher keine Verschlüsselung eingesetzt. Weder im Benutzerordner, noch auf einer zusätzlichen Partition, die ich dafür extra eingebunden habe (natürlich auch virtuell). Vorher wurde ein Haufen Bilder in die entsprechenden Orte kopiert, damit er auch "was zu tun hat".

Selbst nach einem Neustart tut sich bisher noch nichts, auch keine Zahlungsaufforderung, o.ä. erscheint.

Der angemeldete Benutzer hat (eingeschränkte) Adminrechte und das Ganze läuft auf einer Win 7 Pro Version mit integriertem SP1 Update. Allerdings ist (absichtlich) kein einziges zusätzliches Windowsupdate eingespielt worden.

Fragt sich nur, worauf er wartet...

Jedes Mal wenn ich die Antimalware durchlaufen lasse, funzt es nicht mehr ... "Keine Rückmeldung" was kann ich jetzt machen?

@LMH,

das Eingabefeld wurde bereits mit Originaldaten gefüttert, eine Entschlüsselung erfolgte nicht.

Dem Trojaner wurde auch schon soweit in den Rectus geschaut, dass man den Kehlkopf sehen konnte.
Die Funktionsweise und die Routinen sind auch bekannt und nachvollzogen.

Aber was rede ich hier, 5 Posts weiter zurück , #576, hat @pncberlin drei Links eingestellt, die tiefgreifende Informationen über die Arbeitsweise des Trojaners geben.

Volker

Zitat:

Zitat von highend

...

Fragt sich nur, worauf er wartet...

Vielleicht sind die CC Server down?
Zuerst werden drei Verbindungen zum Server aufgebaut und Daten bezogen, dann geht's erst rund.

Volker

Zitat:

Zitat von TypischFrau

Jedes Mal wenn ich die Antimalware durchlaufen lasse, funzt es nicht mehr ... "Keine Rückmeldung" was kann ich jetzt machen?

ganz oben steht unter Hinweise: Thema starten


Folge dem Link und erstelle Dein individuelles Hilfethema.
Dann wird sich jemand um Dich kümmern und an die Hand nehmen.

Hier im Diskussionsforum gehen Deine Hilferufe unter, und eine individuelle Hilfestellung ist unmöglich.

Volker

Zitat:

Vielleicht sind die CC Server down?
Zuerst werden drei Verbindungen zum Server aufgebaut und Daten bezogen, dann geht's erst rund.

Nope, die CC Server sind noch aktiv. 20 Minuten hat es ungefähr gedauert, dann hat er zugeschlagen. Das Bild setz ich mir jetzt als neuen Desktophintergrund