also das mit der outlook.pst hab ich hinbekommen!

die verschlüsselte datei umbenennen in verschlüsselungsname".pst"
anschließend mit scanpst.exe reparieren lassen (office07/2010 benötigt)
und beim gesäuberten oder neu installierten rechner importieren.

Hallo nochmal,

hab meinen Bruder mal beauftragt & er hat mir ein Programm geschrieben, was mir sämtliche verschlüsselte Musikdateien zurückgeholt hat.
Natürlich befinden sich in den einzelnen Musikordnern noch verschlüsselte Dateien, da ein Musikordner nicht nur Mp3 Dateien enthält.
Aber wenigstens die Musik ist gerettet.

Falls jemand Interesse an dem Programm hat, lade ich es hoch.


Mfg !

Hallo geos,

wir haben uns Referenz-Dateien mit Verschiedenen PDF-Writer´n (Acrobat, PDF-Creator, Nitro-PDF usw.) erstellt...... dabei ist mir nicht aufgefallen, dass die beschädigten Dateien spiegelverkehrt sind...... muss ich mir morgen mal genau anschauen........
wenn dem aber so sein sollte, wird es ja noch schwieriger das wieder auf die Reihe zu bekommen......

aber ein Kollege/Mitarbeiter meinte heute Nachmittag zu uns, dass wir die ganze Sache evtl. von der falschen Seite angehen...alle reden immer nur von Verschlüsselung (im Internet spricht man sogar von einer 1024bit Verschlüsselung)....... aber irgendetwas macht mich verrückt...was ist wenn "Er" keinerlei Verschlüsselung benutzt hat, sondern einfach nur wahlos die Dateinamen bzw. die Dateiinformationen ändert..ohne so wie wir fast alle denken mit einem Sinn dahinter.....

ich weiss nicht aber ich kann mir nicht recht vorstellen, das dieser Freak (oder wer auch immer) es schafft, dass nur beim Booten alle Dateien so derart verändert werden können...... zumal es ja auch nur bestimmte Dateien betrifft (mp3, VOB, PSD, AVI usw. sind nicht betroffen) und ich bezweifele das ein Script in der Lage ist auf einmal diese Menge an Daten in so kurzer Zeit zu ändern
(es muss geöffnet werden, es muss verändert werden und auch wieder geschlossen werden).....



was den Descryptor angeht, könnte ich dir vielleicht helfen........


Grüße
Didek

Zitat:

Zitat von didek

aber ein Kollege/Mitarbeiter meinte heute Nachmittag zu uns, dass wir die ganze Sache evtl. von der falschen Seite angehen...alle reden immer nur von Verschlüsselung (im Internet spricht man sogar von einer 1024bit Verschlüsselung)....... aber irgendetwas macht mich verrückt...was ist wenn "Er" keinerlei Verschlüsselung benutzt hat, sondern einfach nur wahlos die Dateinamen bzw. die Dateiinformationen ändert..ohne so wie wir fast alle denken mit einem Sinn dahinter.....

Grüße
Didek

Wenn dem so wäre, dann hieße das dass das Versprechen, die Daten nach Bezahlung wieder zu entschlüsseln, gar nicht einlösbar wäre. Denn Zufallsdaten, die einfach nur in eine Datei reingeschrieben werden, überschreiben den alten Inhalt unwiderruflich, da sie damit ja überhaupt nichts zu tun haben.
Bei einer Verschlüsselung ergibt sich im Gegensatz dazu das Ergebnis der Verschlüsselung aus den Ursprungsdaten & dem Schlüssel.

Hat irgendwer schon was gehört ob jemand das Geld bezahlt und dadurch seine verschlüsselten Daten wiedergekriegt hat?

@ pcab50,

du hast vollkommen recht mit deinem Argumenten......

es war ja auch nur eine Vermutung.........
aber wir sind zu dieser Auffassung gekommen, da wir weder in der Bildschimmeldung (kannst du die auf der ersten Seite dieser Beiträge anschauen) noch in der Mail eine Adresse bzw. ein Bankkonto finden konnten....... was heissen würde das du keine Bankverbindung hast um den geforderten Betrag zu zahlen...es sei denn wir haben diesen Hinweis übersehen..................
denn wenn er eine Bankverbindung angegeben hätte.... wäre er greifbar.....
auch bei den von Ihm angegebenen Zahlungsmethoden, müsste ja irgendwo seine Bank hinterlegt sein...auch damit wäre er greifbar

wenn du die Bankverbindung haben solltest, wäre es super wenn du uns die geben würdest, denn unsere Kunden werden dann Anzeige stellen....denn die Daten die Verloren sind....... sind diesen Aufwand wert..........


was würdest du machen, wenn du gezahlt hast, deine Daten wieder frei sind...und nach 2 Wochen kommt wieder so eine Meldung......dann zahlst du immer wieder...das ist dann schwere Erpressung.......

Grüße
Didek

Moin,

Einer meiner Kunden ist auch infiziert. Die Schattenkopien davor sind leider nicht lesbar obwohl diese vorhanden waren....
Ich warte auf ne Lösung...

Bei mir wurden unter system32 zwei Dateien angelegt.
Die haben als Namen eine guid. Inhalt 13kb

Liegt hier der Schlüssel begraben?

Wenn auch nur irgendwas an der freikaufen Geschichte dran ist muss der Schlüssel ja auf dem System sein. Die Jungs werden wohl kaum ne DB aufmachen und abgleichen welches Opfer welchen Schlüssel hat.


Gruß

Tim

Zitat:

Zitat von didek

@ pcab50,

du hast vollkommen recht mit deinem Argumenten......

es war ja auch nur eine Vermutung.........
aber wir sind zu dieser Auffassung gekommen, da wir weder in der Bildschimmeldung (kannst du die auf der ersten Seite dieser Beiträge anschauen) noch in der Mail eine Adresse bzw. ein Bankkonto finden konnten....... was heissen würde das du keine Bankverbindung hast um den geforderten Betrag zu zahlen...es sei denn wir haben diesen Hinweis übersehen..................
denn wenn er eine Bankverbindung angegeben hätte.... wäre er greifbar.....
auch bei den von Ihm angegebenen Zahlungsmethoden, müsste ja irgendwo seine Bank hinterlegt sein...auch damit wäre er greifbar

wenn du die Bankverbindung haben solltest, wäre es super wenn du uns die geben würdest, denn unsere Kunden werden dann Anzeige stellen....denn die Daten die Verloren sind....... sind diesen Aufwand wert..........

Natürlich geben die keine Bankverbindung an, sondern nutzen ganz gezielt Ukash & Paysafecard, weil das da anonym geht. Wobei der Empfänger des Geldes ja schon irgendwie zugeordnet werden muss, sonst kommt er ja gar nicht an das Geld. Ich kenn mich mit diesen Systemen allerdings nicht aus, vielleicht kann da jemand anderes Genaueres zu sagen.

Zitat:

Zitat von didek

was würdest du machen, wenn du gezahlt hast, deine Daten wieder frei sind...und nach 2 Wochen kommt wieder so eine Meldung......dann zahlst du immer wieder...das ist dann schwere Erpressung.......

Grüße
Didek

Die Frage zielte darauf ab, ob denn die Urheber des Trojaners überhaupt selbst in der Lage sind, die Daten wieder zu entschlüsseln.

Zitat:

Zitat von pcab50

Natürlich geben die keine Bankverbindung an, sondern nutzen ganz gezielt Ukash & Paysafecard, weil das da anonym geht. Wobei der Empfänger des Geldes ja schon irgendwie zugeordnet werden muss, sonst kommt er ja gar nicht an das Geld. Ich kenn mich mit diesen Systemen allerdings nicht aus, vielleicht kann da jemand anderes Genaueres zu sagen.



Die Frage zielte darauf ab, ob denn die Urheber des Trojaners überhaupt selbst in der Lage sind, die Daten wieder zu entschlüsseln.

Da müßte im Rahmen unserer Gesetzgebung möglich sein diese Bankverbindung heraus zubekommen oder diese Gelder so um zu transferieren das diese Dr.. schw.. die Lust verlieren. Langsam müßte man sich da auch mal in dieser tollen globalen Welt zusammen schließen und denen den Kampf ansagen oder wie seht Ihr das

Zitat:

Zitat von didek

...

ich weiss nicht aber ich kann mir nicht recht vorstellen, das dieser Freak (oder wer auch immer) es schafft, dass nur beim Booten alle Dateien so derart verändert werden können...... zumal es ja auch nur bestimmte Dateien betrifft (mp3, VOB, PSD, AVI usw. sind nicht betroffen) und ich bezweifele das ein Script in der Lage ist auf einmal diese Menge an Daten in so kurzer Zeit zu ändern
(es muss geöffnet werden, es muss verändert werden und auch wieder geschlossen werden).....

Hallo Didek, ich muss dir widersprechen... alle Dateitypen in den Ordnern unterhalb von \Users\speziellerUser\ sind betroffen egal ob exe, jpg, mp3 oder .doc.... zumindest bei dem Rechner den ich retten konnte.
Gruß DevilTH

@ DevilTH,

stimmt vollkommen,

bei den Rechnern die wie hier vor uns haben, sind die Dateien (VOB,PSD,AVI usw.) nicht betroffen, die MP3`s brauchten nur wieder mit *.mp3 versehen zu werden, dann waren die wieder in Ordnung....

Dieser "Virus" hat es bei einem unserer Kunden geschaft eine mit fast 500GB Daten beschriebene USB-Festplatte (alles pdf,doc usw) zu killen, ohne das der Rechner auch nur zuckte, so die Aussage des Betroffenen und das alles innerhalb des Bootvorganges, denn das sagen alle, sie hätten den Pc warum auch immer neu starten müssen......

was bringt ein ext. Platte wenn diese auch nicht mehr sicher ist........... nun erkläre ich demjenigen, das er diese Platte nie als Datenlaufwerk hätte laufen lassen dürfen, sondern nur zum reinen Sichern der Daten einschalten sollen und danach wie abschalten müssen....

also mit diesem "Ding" werden sich die Geister noch lange beschäftigen müssen


Grüße
Didek

habe übers internet jetzt eine alternative gfunden zum beheben, es nennt sich de-cleaner rettungssystem, ahbe es runtergeladen als iso gebrannt und damit den rechner gestartet, nun ja jett läuft noch das programm seit über ne halbe stunde, wenn das programm (scanner) abgeschlossen ist sollte es behoben sein allerdings raten die nochmal einen anderen scanner wie z.b. eset durchlaufen zu lassen, damit sollte es behoben sein bin mal gespannt übrigens das programm bzw. rettungssystem ist von eco, Avira und computerbild zusammen gestellt worden und wird von der Bundestanstalt für sicherheit der interne... gefördert. den link für das system findet ihr unter www.botfrei.de
hoffe euch auch damit zu helfen