Hallo alle zusammen!

Ich hatte jetzt am Samstag auch so einen befall von dem Trojaner und ich denke mal das es die Version 1.140.1 wo der Dateiname und der Inhalt verschlüsselt sind.Den Trojaner habe ich mit Avira AntiVir Rescue System entfernt weil ich nicht mehr auf die Windowsoberfläche zugreifen konnte!Nun sind eben meine ganzen Dateien verschlüsselt.Habe bei einer Excel-Datei namens rQoAqEAnEjpelXs hinten noch ein .xls rangehangen und geöffnet.dann merkte ich das die Daten drin auch alle verschlüsselt sind.wie kann ich meine Daten alle wiederherstellen?Hab da eins probiert von Dr. Web aber das Programm will ja immer die Originaldatei dazu haben aber da gibts es ja keine.Die Email besitze ich auch noch wie die angebliche "Rechnung" mit dem Virus drin ist.kleiner Auszug davon:

Von:alana@baggettheatingandcooling.com
Betreff:Ihr Kauf 3762446482

Sehr geehrte Damen und Herren,

Danke für Ihren Einkauf bei TheCerealClub, nachfolgend finden Sie Ihre Kaufbestätigung.

Deine Vertragsnummer: 296176122140
Artikel: Dell 2840050143 5311,24 Euro
Rechnungsname: Wie in Rechnung mitgeteilt


Zahlungsmethode: Bankeinzug

Versandadresse und detaillierte Vertragsdetails finden Sie wegen Vorsichtsgründen im Anhang.

Die Buchung wurde autorisiert und wird innerhalb 3 Tage abgetragen.
Rechnungseinzelheiten und Widerruf Hinweise finden Sie in Beilage.


Ihr Kundensupport

Fanu GmbH
Dannerallee 48
58543 Essen

Telefon: (+49) 038 6358104
(Mo-Fr 8.00 bis 19.00 Uhr, Sa 9.00 bis 19.00 Uhr)
Gesellschaftssitz ist Attendorn
Umsatzsteuer-ID: DE634538534
Geschäftsfuehrer: Anne Braun

und im Anhang eben die Datei Lieferung.zip

wie kann ich jetzt weiter vorgehen?

Hallo

Ich habe mir gestern per Mail (GMX) ein Trojaner runtergeladen. Es war ein Mail wo drin stand das ich was erworben hätte und die einzelheiten zum kauf finden sie im Anhang. Der Anhang war ein Rar datei wo sich eine Mircosoft office 98 textdatei dein sollte. Also habe ich die Rar entpakt und die "Textdatei" probiert zu öffnen. Das ging nicht. Mein Rechner wurde darauf hin runter gefahrn und neu gestartet wo er gespeert war. Das hab ich hinbekommen. Indem ich über den abgesicherten Modus gegangen bin und eine Wiederherstellung durchgeführt habe. Ging der rechner auch da ist mir erst aufgefahln das alle TXT.JPG.RAR usw verschlüsselt worden sind. Hab mit ein programm den Dateicode der verschlüsselt Datei (ein Bild) und den Code einer originalen Datei vergleichen lassen. Da fiel mir auf das etwar 2% der verschlüselt datei immer der anfang anderes war. Das heisst 98 % sind gleich . So ich habe alle entschlüsselungsprogramme genutz aber keins ging. Kann mir da jemand helfen....

Meine Mail Masterbob11@gmx.de

Hallo Wolf,

bei funktionierte keines der Entschlüsselungsprogramme.
Ich hatte mir nach der Malware-Säuberung durch Anti-Malware den ShadowExplorer 0.8 (Edit: http://www.trojaner-board.de/115496-...erstellen.html) runtergeladen.
Unter File die befallene Festplatte (z.B. C: ) auswählen. Daneben kann man aus mehreren Daten, das gewünschte Datum (habe den Tag vor dem Befall ausgewählt) aussuchen. Klickt man mit rechter Maustaste auf einen Ordner, öffnet sich das Fenster "Export". Da drauf klicken, dann neuen Ordner erstellen, am besten auf einen externen Speicher (z.B. Festplatte) und das Programm arbeiten lassen. Wenn man den neuen Ordner öffnet, findet man seine Daten wieder.
Jetzt bin ich hingegangen und habe einen meiner befallenen z.B. Ordner ABC auf dem Desktop in einer neuen Ordner (benannt als Ordner ABC-gelocked, einfach nur zur Sicherheit) verschoben. Von der Festplatte habe ich dann den gesicherten, wiederhergestellten Ordner ABC auf den Desktop kopiert.
Ich bin mit den Ordnern von Firefox und von Thunderbird genauso verfahren und habe somit alle Einstellungen, Lesezeichen und Emails wieder erhalten, wie vor dem Befall.
Ich hoffe, dass hilft.

Hallo zusammen,

ich habe mir die verseuchten Dokumente mal mit einem Hex-Editor angesehen,

in diesem Fall sind es alles PDF-Dateien......

habe hier mal ein Bild der Testdatei:

in der linken Bildhälfte ist ein sauber erstelltes PDF-Dokument....auf der rechten Seite ein von uns verändertes PDF zu sehen......
wie man sehen kann reicht es aus wenn man in der ersten Zeile (siehe rechtes doc) die zuordnung ändert........
das so vermute ich mal hat dieser Virus auch gemacht......
ich bekomme heute einige org. verseuchte Dockumente....um zu sehen ob das in realen Fall auch genau so ist.

wenn ja.....gibt es eine Möglichkeit, die zwar sehr auswendig und auch nicht gerade jedem zu Empfehlen ist, zumindest die wichtigsten Documente zu retten.......

ob es jemals ein tool für sowas geben wird...steht zur Zeit noch in den Sternen.......so sehen wir das auf jeden Fall

Grüße
Didek

guten morgen,
ich habe meinen pc auf werkseinstellungen gesetzt und fange neu an.

EVTL. VON INTERESSE:
ich habe alle defekten dateien auf einen stick gezogen (falls mal was geht....)

EIN FOTO-ORDNER
ANNA >> 000000.jpg, al-001jpg - al-118jpg ist darauf.
eine kopie dieses ordners ist sauber und enthält die original fotos

sollte interesse bestehen, bitte melden.

einen schönen tag und liebe grüsse
monika

Falls jemand Interesse an Verschlüsselter und Unverschlüsselter Datei hat, könnte ich auch noch zwei Pärchen zur Verfügung stellen
Gruß DevilTH

ein bekannter hat sich anscheinend auch die neue version eingefangen
anbei ein pärchen.
kein windows-bild
ist ein eigenes
sollte aber zusammenpassen. datum und größe stimmen

;(
Verschlüsselter und Unverschlüsselter Datei

Hallo Wildfang

hab mitlaweile mein rechner neu gemacht und die verschlüsselten datei auf ne platte gezogen. so einfach das bei dir ist ist es bei mir leider nicht etwar 2000 zeichen wurden komplett ersetzt ... wenn jemand ein programm für mein problem hat bitte melden

also das mit der outlook.pst hab ich hinbekommen!

die verschlüsselte datei umbenennen in verschlüsselungsname".pst"
anschließend mit scanpst.exe reparieren lassen (office07/2010 benötigt)
und beim gesäuberten oder neu installierten rechner importieren.

Hallo nochmal,

hab meinen Bruder mal beauftragt & er hat mir ein Programm geschrieben, was mir sämtliche verschlüsselte Musikdateien zurückgeholt hat.
Natürlich befinden sich in den einzelnen Musikordnern noch verschlüsselte Dateien, da ein Musikordner nicht nur Mp3 Dateien enthält.
Aber wenigstens die Musik ist gerettet.

Falls jemand Interesse an dem Programm hat, lade ich es hoch.


Mfg !

Hallo geos,

wir haben uns Referenz-Dateien mit Verschiedenen PDF-Writer´n (Acrobat, PDF-Creator, Nitro-PDF usw.) erstellt...... dabei ist mir nicht aufgefallen, dass die beschädigten Dateien spiegelverkehrt sind...... muss ich mir morgen mal genau anschauen........
wenn dem aber so sein sollte, wird es ja noch schwieriger das wieder auf die Reihe zu bekommen......

aber ein Kollege/Mitarbeiter meinte heute Nachmittag zu uns, dass wir die ganze Sache evtl. von der falschen Seite angehen...alle reden immer nur von Verschlüsselung (im Internet spricht man sogar von einer 1024bit Verschlüsselung)....... aber irgendetwas macht mich verrückt...was ist wenn "Er" keinerlei Verschlüsselung benutzt hat, sondern einfach nur wahlos die Dateinamen bzw. die Dateiinformationen ändert..ohne so wie wir fast alle denken mit einem Sinn dahinter.....

ich weiss nicht aber ich kann mir nicht recht vorstellen, das dieser Freak (oder wer auch immer) es schafft, dass nur beim Booten alle Dateien so derart verändert werden können...... zumal es ja auch nur bestimmte Dateien betrifft (mp3, VOB, PSD, AVI usw. sind nicht betroffen) und ich bezweifele das ein Script in der Lage ist auf einmal diese Menge an Daten in so kurzer Zeit zu ändern
(es muss geöffnet werden, es muss verändert werden und auch wieder geschlossen werden).....



was den Descryptor angeht, könnte ich dir vielleicht helfen........


Grüße
Didek

Zitat:

Zitat von didek

aber ein Kollege/Mitarbeiter meinte heute Nachmittag zu uns, dass wir die ganze Sache evtl. von der falschen Seite angehen...alle reden immer nur von Verschlüsselung (im Internet spricht man sogar von einer 1024bit Verschlüsselung)....... aber irgendetwas macht mich verrückt...was ist wenn "Er" keinerlei Verschlüsselung benutzt hat, sondern einfach nur wahlos die Dateinamen bzw. die Dateiinformationen ändert..ohne so wie wir fast alle denken mit einem Sinn dahinter.....

Grüße
Didek

Wenn dem so wäre, dann hieße das dass das Versprechen, die Daten nach Bezahlung wieder zu entschlüsseln, gar nicht einlösbar wäre. Denn Zufallsdaten, die einfach nur in eine Datei reingeschrieben werden, überschreiben den alten Inhalt unwiderruflich, da sie damit ja überhaupt nichts zu tun haben.
Bei einer Verschlüsselung ergibt sich im Gegensatz dazu das Ergebnis der Verschlüsselung aus den Ursprungsdaten & dem Schlüssel.

Hat irgendwer schon was gehört ob jemand das Geld bezahlt und dadurch seine verschlüsselten Daten wiedergekriegt hat?

@ pcab50,

du hast vollkommen recht mit deinem Argumenten......

es war ja auch nur eine Vermutung.........
aber wir sind zu dieser Auffassung gekommen, da wir weder in der Bildschimmeldung (kannst du die auf der ersten Seite dieser Beiträge anschauen) noch in der Mail eine Adresse bzw. ein Bankkonto finden konnten....... was heissen würde das du keine Bankverbindung hast um den geforderten Betrag zu zahlen...es sei denn wir haben diesen Hinweis übersehen..................
denn wenn er eine Bankverbindung angegeben hätte.... wäre er greifbar.....
auch bei den von Ihm angegebenen Zahlungsmethoden, müsste ja irgendwo seine Bank hinterlegt sein...auch damit wäre er greifbar

wenn du die Bankverbindung haben solltest, wäre es super wenn du uns die geben würdest, denn unsere Kunden werden dann Anzeige stellen....denn die Daten die Verloren sind....... sind diesen Aufwand wert..........


was würdest du machen, wenn du gezahlt hast, deine Daten wieder frei sind...und nach 2 Wochen kommt wieder so eine Meldung......dann zahlst du immer wieder...das ist dann schwere Erpressung.......

Grüße
Didek

Moin,

Einer meiner Kunden ist auch infiziert. Die Schattenkopien davor sind leider nicht lesbar obwohl diese vorhanden waren....
Ich warte auf ne Lösung...

Bei mir wurden unter system32 zwei Dateien angelegt.
Die haben als Namen eine guid. Inhalt 13kb

Liegt hier der Schlüssel begraben?

Wenn auch nur irgendwas an der freikaufen Geschichte dran ist muss der Schlüssel ja auf dem System sein. Die Jungs werden wohl kaum ne DB aufmachen und abgleichen welches Opfer welchen Schlüssel hat.


Gruß

Tim