Zitat:

Zitat von wolniy

Hacker schickte einen Brief auf Deutsch geschrieben und hat einen Header, der den Namen des Empfängers enthält. Die Nachricht enthält eine angehängte zip-Datei mit einem Namen oder Abrechnung Rechnung. Versuchen zu laufen eingebettet in diesen Dateien das Programm führt zu der Tatsache, dass alle Dateien auf dem Computer des Opfers Festplatte verschlüsselt wird.

Das Risiko für die Benutzer, in diesem Fall ist ein bösartiges Programm, das den Namen erhielt Trojan.Matsnu.1 . Im Laufe des letzten Tages im technischen Support von "Doctor Web," gab es mehr als 50 Beschwerden von Personen durch die Wirkung des Trojanischen betroffen - im Grunde, die Menschen in Deutschland.

Experten der Firma "Doctor Web" in kürzester Zeit analysiert Malware Trojan.Matsnu.1 und entwickelte ein spezielles Tool, das Benutzer-Daten zu dekodieren können. Dieses Programm kann kostenlos heruntergeladen werden bei ftp.drweb.com/pub/drweb/tools/matsnu1decrypt.exe . Wenn Sie Entschlüsseln von Dateien mit dem Dienstprogramm weder dem Prozess vollständig ausgeführt wurde, können Sie sucht Hilfe aus dem Virenlabor von "Doctor Web", indem Sie eine Fahrkarte in die Kategorie der " Antrag auf Behandlung . " Dieser Service ist kostenlos.

inzwischen gibt es die version 56? , intern 2.000.11 , die AES256 verschlüsselt. Da hilft kein Tool mehr, sorry...
Aber danke für Deine nett gemeinte Information.

Zitat:

Zitat von deraddi

inzwischen gibt es die version 56? , intern 2.000.11 , die AES256 verschlüsselt. Da hilft kein Tool mehr, sorry...

Ist das amtlich mit der Änderung des ALG?
Woher hast Du diese Info?

Gruß Volker

Wollte ich auch grad schreiben..
Wäre zu schön gewesen um wahr zu sein..
Aber bei der alten Version helfen, wenn ich micht irre, auch schon die Programme ie unter 8 Tools verlinkt sind...
Und bei den neueren Version gibts noch keine "decrypter"...
Ausser halt bei Win7 und Vista noch die geringe Chance mit shadowExplorer...

Zitat:

Zitat von wolniy

Dieses Programm kann kostenlos heruntergeladen werden bei ftp.drweb.com/pub/drweb/tools/matsnu1decrypt.exe .

Ist hier bereits seit dem 28.04.2012 verlinkt:
http://www.trojaner-board.de/114345-...rojaner-5.html

und natürlich auch hier in der Übersicht aufgeführt

http://www.trojaner-board.de/114783-...tml#post825222

nur leider hilft bei den späteren variannten keines.

Schau mal oben über dem Thread unter Punkt 3...
Oder, sofern du WIn7 / Vista hast, kannst du es auch mal noch mit ShadowExplorer probieren...

Habe selbstverständlich schon einen ausführlichen Bericht gepostet, inkl. Logs. PC läuft unter XP.

http://www.trojaner-board.de/117534-...tml#post848202


Aber danke für den Hinweis auf Punkt 3.

Zitat:

Zitat von Stormnight

Aber danke für den Hinweis auf Punkt 3.

In meiner Signatur wird bei jedem Beitrag auf die Datenrettungsmöglichkeiten hingewiesen.
Fetter geht das HIER! schon nimmer.

Zitat:

Zitat von Undertaker

In meiner Signatur wird bei jedem Beitrag auf die Datenrettungsmöglichkeiten hingewiesen.
Fetter geht das HIER! schon nimmer.

Zusatz für HIER!:

Bei Openoffice-Dateien kann eine manuelle Datenrettung wie folgt funktionieren:
i) Umbenennen der Datei nach .zip
ii) Kopieren der Datei content.xml aus dem Hauptverzeichnis
iii) öffnen einer ähnlichen (funktionierenden) OO-Datei als .zip
iv) Einfügen der content.xml

Hinweis:
- hier funktioniert es vor allem deshalb, weil mein Kunde je Dokument Bilder eingefügt hat. Diese werden am Anfang der Datei gespeichert, so das der eigentliche Inhalt (content.xml) unverschlüsselt bleibt

Hallo JohX,
das klingt sehr Interessant und ist ein wichtiger Hinweis für OO Nutzer.

Fragen:
Klappt das nur mit Bildern oder auch mit anderen eingebetteten Objekten?
Was versteht man unter einer ähnlichen OO-Datei, Anzahl der Bilder, Größe oder was?
Geht das auch, wenn ich eine "ähnliche Datei" im Nachhinein erstelle, also nach dem Befall?
Wie erkenne ich aus der Verschlüsselungsform RTfghzUJDFGUItz welches Original ähnlich ist?
Was ist, wenn kein Bild eingefügt ist?

Gruß Volker

Zitat:

Zitat von Undertaker

Hallo JohX,
das klingt sehr Interessant und ist ein wichtiger Hinweis für OO Nutzer.

Fragen:
Klappt das nur mit Bildern oder auch mit anderen eingebetteten Objekten?

ich habe hier nur eine größere Anzahl Rechnungen; vor dem ok des Kunden will ich auch nicht zu viel Arbeit reinstecken...

Zitat:

Zitat von Undertaker

Was versteht man unter einer ähnlichen OO-Datei, Anzahl der Bilder, Größe oder was?

habe gerade mal mit einer leeren sxc (OO 1.x)-Datei versucht. Die Daten in den Feldern werden sauber angezeigt.
Logos fehlen (klar) aber Formatierungen, Formeln sehen gut aus.

Zitat:

Zitat von Undertaker

Geht das auch, wenn ich eine "ähnliche Datei" im Nachhinein erstelle, also nach dem Befall?

s.o. statt der Grafik wird nur ein Platzhalter angezeigt, aber ansonsten scheints zu passen.

Zitat:

Zitat von Undertaker

Wie erkenne ich aus der Verschlüsselungsform RTfghzUJDFGUItz welches Original ähnlich ist?

Ich hoffe ja immer noch, das wir aus der $02 die Dateinamen restaurieren können^^

Zitat:

Zitat von Undertaker

Was ist, wenn kein Bild eingefügt ist?

Ich befürchte, das in dem Fall die Content.xml überschrieben wird, müsste man mal testen, einfach die ersten 3k einer Datei mit Nullen überschreiben.

PS: bisher nur mit OpenOffice 1.x-Calc-Dateien (scx) getestet; andere hab' ich nicht hier^^


Gruß
Joh

Zitat:

Zitat von Undertaker

Was ist, wenn kein Bild eingefügt ist?

Gruß Volker

hmmm, wollte gerade mal testen <grrbmlgh>

die Rechnungsdatei ist ohne Bild gerade mal 10996 Bytes groß; da bleibt leider nix übrig, was nicht verschlüsselt ist.

Jochen

Zitat:

Zitat von JohX

Ich hoffe ja immer noch, das wir aus der $02 die Dateinamen restaurieren können^^

Klar, wer hofft das nicht.
Für die Klarnamen reicht doch aber die *.$03 und wenn ich marcu richtig vertehe, dann kann man die entschlüsseln.
Die Frage ist nur, ob sich der Aufwand lohnt.

Zitat:

Zitat von JohX

Ich befürchte, das in dem Fall die Content.xml überschrieben wird, müsste man mal testen, einfach die ersten 3k einer Datei mit Nullen überschreiben.

Du meinst sicher die ersten 3k hex.

Volker

Zitat:

Zitat von Undertaker

Klar, wer hofft das nicht.
Für die Klarnamen reicht doch aber die *.$03 und wenn ich marcu richtig vertehe, dann kann man die entschlüsseln.
Die Frage ist nur, ob sich der Aufwand lohnt.

hatte nicht nachgeguckt und latürnich $02 und $03 verwexelt.
hmmm, ich denke für meinen Kunden lohnt sich der Aufwand schon^^

Zitat:

Zitat von Undertaker

Du meinst sicher die ersten 3k hex.

jepp, sonst wären mir 10k (dez) nicht zu wenig.

Jochen

Zitat:

Zitat von JohX

hatte nicht nachgeguckt und latürnich $02 und $03 verwexelt.
hmmm, ich denke für meinen Kunden lohnt sich der Aufwand schon^^

Dann kontaktiere mal Marcu im Delphiboard und frage nach der Routine.
Du bist doch dort registriert.

Volker

Hallo Leute,

erst einmal ein großes Lob, super wie das hier alles erklärt wird! Danke!

Mein PC war auch vom Ransom Trojaner befallen habe den Trojaner entfernt und die Lock Dateien mitlerweile wieder entschlüßelt, hat alles super geklappt, leider habe ich den Dateinamen einer Datei vor dem Entschlüßeln geändert und somit wurde diese vom Decrypter nicht beachtet, sie ist aber immernoch verschlüßelt.
Ich habe aber bereits alle locked Dateien auf meinem PC gelöscht, heißt ich kann den Trick mit den Windows Bsp. Bildern nicht anwenden, da ich ja keine verschlüßelten Bsp Bilder mehr habe.
Könnte mir bitte jemand die verschlüßelten Bsp Bilder von Windows XP hochladen? Original gibts ja bereits zum Download.

Vielen vielen Dank!


//EDIT: Habe locked und dazugehörige originale hier im Board gefunden!

ICh habe aber ein weiteres Problem, da ich die zu entschlüßelnde Datei umbenannt habe findet der Decryptor sie nicht mehr, muss die Dateiendung bei .doc Dateien erfahren!
Vielen Dank!