Falls jemand Interesse an Verschlüsselter und Unverschlüsselter Datei hat, könnte ich auch noch zwei Pärchen zur Verfügung stellen
Gruß DevilTH

ein bekannter hat sich anscheinend auch die neue version eingefangen
anbei ein pärchen.
kein windows-bild
ist ein eigenes
sollte aber zusammenpassen. datum und größe stimmen

;(
Verschlüsselter und Unverschlüsselter Datei

Hallo

Meine Freundin hat es heute leider auch erwischt,nichts ging mehr.Habe dann im abgesicherten Modus gestartet und hatte wohl Glück das keine einzige Datei verschlüsselt war. Vielleicht hat ja das Norton doch was gebracht. Gleich alles gesichert und jetzt mach ich mich mal ans Werk den Mist wieder runter zu bekommen !


Nur mal so zur Info für andere


Glück im Unglück

Hallo Leute,

meine Festplatte wurde ebenfalls komplett verschlüsselt. Musik, Bilder, Spiele - alles unbrauchbar.

Habe heute gemerkt, dass das Programm (Winamp), mit dem ich Musik wiedergebe, alles normal erkennt, wenn ich die Endung .mp3 anhänge.
Desweiteren habe ich gesehen, dass die Details der Datei (Eigenschaften -> Details) die normalen Informationen der Datei anzeigen, wenn man die Endung .mp3 anhängt.

Also könnte man anhand dieser Informationen ein Programm schreiben, was die kompletten Dateien, anhand dieser Informationen, herstellt.



Grüße!

Hallo didek,

gute Bemerkung. Vielleicht kann man damit was anfangen. Einige Dateien konnte ich auf diese Weise wiederherstellen. Aber einige sind spiegelverkehrt und oben ist unten. Vielleicht hängt das von einer Version der pdf-Datei. Der Asatz ist gut. Ich bin sogar der Meinung, dass der Name der Datei irgendwas mit der Verschlüsselung hat, z.B. die ersten Bytes wurden gegen den Datei-Namen ausgetauscht. Wenn ich nur einen Descryptor hätte, hätte ich einiges ausprobiert. Weiter so, zusammen schaffen wir es.

Gruß geos

Hallo Wildfang

hab mitlaweile mein rechner neu gemacht und die verschlüsselten datei auf ne platte gezogen. so einfach das bei dir ist ist es bei mir leider nicht etwar 2000 zeichen wurden komplett ersetzt ... wenn jemand ein programm für mein problem hat bitte melden

@Jenna25
Also mit dem Zugriff aus das BIOS wirst du wohl nicht sehr viel machen können, da es keine Auswrikungen aus das verseuchte Betriebssystem hat.

Und du hast in soweit recht damit das du dir richtig etwas eingefangen hast...


das einzige was dir helfen kann, ist in diesem Fall (ich hasse das was ich jetzt sage, denn es gibt/gab immer einen Weg etwas zu retten) deinen Pc von Grund auf "Neu" zu Installieren wenn du wirklich sicher gehen willst, dass du den Schädling beseitigt hast.
Was deine Daten (jpg,doc,pdf usw.) angeht, wirst du diese, wenn du keine weitere Datensicherung hast, wohl oder übel vergessen können, da es zur zeit (soviel ich weiss) keine brauchbare Lösung gibt und auch in absebarer zeit nicht geben wird.

ich sitzte gerade selbst vor einigen dieser Pc`s....

Also lieber jetzt in den sauer Apfel beissen und alles Neu machen (und vorallem daraus etwas lernen)...mehr kann ich dir im Moment nicht sagen....es sind mit Sicherheit mehr als nur eine Hand voll Leute daran am Arbeiten eine Lösung zu finden...aber das wird dauern, zumal immer wieder neue Varianten auftauchen......

Was du evtl.machen könntest ist Windows 7 im Abgesicherten Modus
(ohne Netzwerktreiber und/oder ohne Eingabeaufforderung) zu starten
(den Abgesicherten Modus erreichst du, in dem du auf die Taste F8 drückst, sobalt die Stausmeldungen vorüber sind)....
dann kannst du zumindest wieder an den Rechner (es sieht so aus, als würde das bei einigen Pc`s auch nicht gehen)....
von dort aus kannst du die Systemwiederherstellung aktivieren und einen Zeitpunkt wählen der einige Zeit vor dem Befall liegt......(wenn dein Freund diese nicht deaktiviert hat).......dann könntest du Glück haben was Windows angeht...es ändert aber nichts an den geschrotteten Dateien



Grüße
Didek
bei Fragen kannst du dich sehr gerne melden

also das mit der outlook.pst hab ich hinbekommen!

die verschlüsselte datei umbenennen in verschlüsselungsname".pst"
anschließend mit scanpst.exe reparieren lassen (office07/2010 benötigt)
und beim gesäuberten oder neu installierten rechner importieren.

Hallo nochmal,

hab meinen Bruder mal beauftragt & er hat mir ein Programm geschrieben, was mir sämtliche verschlüsselte Musikdateien zurückgeholt hat.
Natürlich befinden sich in den einzelnen Musikordnern noch verschlüsselte Dateien, da ein Musikordner nicht nur Mp3 Dateien enthält.
Aber wenigstens die Musik ist gerettet.

Falls jemand Interesse an dem Programm hat, lade ich es hoch.


Mfg !

Hallo geos,

wir haben uns Referenz-Dateien mit Verschiedenen PDF-Writer´n (Acrobat, PDF-Creator, Nitro-PDF usw.) erstellt...... dabei ist mir nicht aufgefallen, dass die beschädigten Dateien spiegelverkehrt sind...... muss ich mir morgen mal genau anschauen........
wenn dem aber so sein sollte, wird es ja noch schwieriger das wieder auf die Reihe zu bekommen......

aber ein Kollege/Mitarbeiter meinte heute Nachmittag zu uns, dass wir die ganze Sache evtl. von der falschen Seite angehen...alle reden immer nur von Verschlüsselung (im Internet spricht man sogar von einer 1024bit Verschlüsselung)....... aber irgendetwas macht mich verrückt...was ist wenn "Er" keinerlei Verschlüsselung benutzt hat, sondern einfach nur wahlos die Dateinamen bzw. die Dateiinformationen ändert..ohne so wie wir fast alle denken mit einem Sinn dahinter.....

ich weiss nicht aber ich kann mir nicht recht vorstellen, das dieser Freak (oder wer auch immer) es schafft, dass nur beim Booten alle Dateien so derart verändert werden können...... zumal es ja auch nur bestimmte Dateien betrifft (mp3, VOB, PSD, AVI usw. sind nicht betroffen) und ich bezweifele das ein Script in der Lage ist auf einmal diese Menge an Daten in so kurzer Zeit zu ändern
(es muss geöffnet werden, es muss verändert werden und auch wieder geschlossen werden).....



was den Descryptor angeht, könnte ich dir vielleicht helfen........


Grüße
Didek

Zitat:

Zitat von didek

aber ein Kollege/Mitarbeiter meinte heute Nachmittag zu uns, dass wir die ganze Sache evtl. von der falschen Seite angehen...alle reden immer nur von Verschlüsselung (im Internet spricht man sogar von einer 1024bit Verschlüsselung)....... aber irgendetwas macht mich verrückt...was ist wenn "Er" keinerlei Verschlüsselung benutzt hat, sondern einfach nur wahlos die Dateinamen bzw. die Dateiinformationen ändert..ohne so wie wir fast alle denken mit einem Sinn dahinter.....

Grüße
Didek

Wenn dem so wäre, dann hieße das dass das Versprechen, die Daten nach Bezahlung wieder zu entschlüsseln, gar nicht einlösbar wäre. Denn Zufallsdaten, die einfach nur in eine Datei reingeschrieben werden, überschreiben den alten Inhalt unwiderruflich, da sie damit ja überhaupt nichts zu tun haben.
Bei einer Verschlüsselung ergibt sich im Gegensatz dazu das Ergebnis der Verschlüsselung aus den Ursprungsdaten & dem Schlüssel.

Hat irgendwer schon was gehört ob jemand das Geld bezahlt und dadurch seine verschlüsselten Daten wiedergekriegt hat?

@ pcab50,

du hast vollkommen recht mit deinem Argumenten......

es war ja auch nur eine Vermutung.........
aber wir sind zu dieser Auffassung gekommen, da wir weder in der Bildschimmeldung (kannst du die auf der ersten Seite dieser Beiträge anschauen) noch in der Mail eine Adresse bzw. ein Bankkonto finden konnten....... was heissen würde das du keine Bankverbindung hast um den geforderten Betrag zu zahlen...es sei denn wir haben diesen Hinweis übersehen..................
denn wenn er eine Bankverbindung angegeben hätte.... wäre er greifbar.....
auch bei den von Ihm angegebenen Zahlungsmethoden, müsste ja irgendwo seine Bank hinterlegt sein...auch damit wäre er greifbar

wenn du die Bankverbindung haben solltest, wäre es super wenn du uns die geben würdest, denn unsere Kunden werden dann Anzeige stellen....denn die Daten die Verloren sind....... sind diesen Aufwand wert..........


was würdest du machen, wenn du gezahlt hast, deine Daten wieder frei sind...und nach 2 Wochen kommt wieder so eine Meldung......dann zahlst du immer wieder...das ist dann schwere Erpressung.......

Grüße
Didek

Moin,

Einer meiner Kunden ist auch infiziert. Die Schattenkopien davor sind leider nicht lesbar obwohl diese vorhanden waren....
Ich warte auf ne Lösung...

Bei mir wurden unter system32 zwei Dateien angelegt.
Die haben als Namen eine guid. Inhalt 13kb

Liegt hier der Schlüssel begraben?

Wenn auch nur irgendwas an der freikaufen Geschichte dran ist muss der Schlüssel ja auf dem System sein. Die Jungs werden wohl kaum ne DB aufmachen und abgleichen welches Opfer welchen Schlüssel hat.


Gruß

Tim

Zitat:

Zitat von didek

...

ich weiss nicht aber ich kann mir nicht recht vorstellen, das dieser Freak (oder wer auch immer) es schafft, dass nur beim Booten alle Dateien so derart verändert werden können...... zumal es ja auch nur bestimmte Dateien betrifft (mp3, VOB, PSD, AVI usw. sind nicht betroffen) und ich bezweifele das ein Script in der Lage ist auf einmal diese Menge an Daten in so kurzer Zeit zu ändern
(es muss geöffnet werden, es muss verändert werden und auch wieder geschlossen werden).....

Hallo Didek, ich muss dir widersprechen... alle Dateitypen in den Ordnern unterhalb von \Users\speziellerUser\ sind betroffen egal ob exe, jpg, mp3 oder .doc.... zumindest bei dem Rechner den ich retten konnte.
Gruß DevilTH