Zurück   Trojaner-Board > Malware entfernen > Diskussionsforum

Diskussionsforum: Entschlüsseln möglich? Trojan.Ransomlock.P

Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben.

Antwort
Alt 17.06.2012, 15:41   #1
loop11
 
Entschlüsseln möglich? Trojan.Ransomlock.P - Standard

Entschlüsseln möglich? Trojan.Ransomlock.P



Hallo,

eine Freundin hat vermutlich einen Verschlüsselungstrojaner über einen Mailanhang (Mahnung) auf Ihren Rechner bekommen.
Ein Scan mit Norton 360 wurde durchgeführt: Dieser hat keinen Virus, ... gefunden.
Keine Datei unter „Eigene Dateien“ kann mehr geöffnet werden, zum Unterschied zu den anderen Threads im Forum, heissen die Dateien noch gleich, zB Foto.jpg, also ohne locked, ohne Zufallsbuchstaben, udgl.
Einzig das Erstellungsdatum ist nun bei allen Files der 13.02.1601.

„Trojan.Ransomlock.P“ ist im Norton in Quarantäne (aber lt Internet verschlüsselt der ja nichts, oder?).

Was ich erstmal gemacht habe:

- Malwarebytes Anti-Malware (vollständiger Scan) findet nichts
- Kaspersky rescue disk 10 findet nichts

Test Entschlüsseln der Files:
- Versuch erfolglos mit: DecryptHelper, Avira Ransom File Unlocker, Tool von Dr. Web, ScareUncrypt, RannohDecryptor, Panda UnRansom
- Einzig mit Trustezeb.A funktioniert es, wenn man die Originaldatei hat (wird dann ohne Endung neu abgespeichert). Allerdings ist das Backup schon recht alt, und zweitens viel zu aufwendig, weil man nicht ein ganzes Verzeichnis auf einmal entschlüsseln kann. Denn ich muss zu jeden zB jpg immer genau das Original angeben, ansonsten kommt „fehlerhafte grösse“ odgl. Aber scheinbar schafft er es, den Schlüssel zu bekommen?!

Im Forum habe ich gelesen, dass es für Trojan.Ransomlock.P noch keine Entschlüsselung gibt. Oder kann es sein, dass noch ein unbekannter Trojaner auf dem Rechner ist?

Danke!

Alt 20.06.2012, 08:39   #2
loop11
 
Entschlüsseln möglich? Trojan.Ransomlock.P - Standard

Entschlüsseln möglich? Trojan.Ransomlock.P



Mittlerweilen hab ich es auch mit JPEGsnoop probiert, funktioniert auch nicht.

Wie soll ich weiter vorgehen?

Danke
loop11

EDIT: Hab wohl gerade bemerkt, dass ich im falschen Forum gepostet habe, Sorry - kann den Thread bitte jemand verschieben? Ich werde jetzt die Logfiles erstellen.
__________________


Geändert von loop11 (20.06.2012 um 08:52 Uhr)

Alt 20.06.2012, 11:10   #3
markusg
/// Malware-holic
 
Entschlüsseln möglich? Trojan.Ransomlock.P - Standard

Entschlüsseln möglich? Trojan.Ransomlock.P



hi
viele möglichkeiten gibts nicht, schau mal hier:
http://www.trojaner-board.de/115551-...e-version.html
__________________
__________________

Alt 20.06.2012, 19:46   #4
loop11
 
Entschlüsseln möglich? Trojan.Ransomlock.P - Standard

Entschlüsseln möglich? Trojan.Ransomlock.P



Hi,
danke für die Info.

Werde ich probieren.

Das Notebook wird auf alles Fälle neu aufgesetzt, wäre schön, wenn die Daten wieder hergestellt werden könnten.
Unter Umständen funktioniert das ja in ein paar Wochen (dank Spezialisten)?

Was meinst du (als Spezialist)?
(auf ein Netzlaufwerk möcht ich das nicht weg sichern, USB hab ich keine)

BTW: Werden auch Netzlaufwerke auf Servern angegriffen/verschlüsselt?

Thx

Alt 06.09.2012, 15:47   #5
isabella363
 
Entschlüsseln möglich? Trojan.Ransomlock.P - Standard

Entschlüsseln möglich? Trojan.Ransomlock.P



Zitat:
Zitat von loop11 Beitrag anzeigen
Hallo,

eine Freundin hat vermutlich einen Verschlüsselungstrojaner über einen Mailanhang (Mahnung) auf Ihren Rechner bekommen.
Ein Scan mit Norton 360 wurde durchgeführt: Dieser hat keinen Virus, ... gefunden.
Keine Datei unter „Eigene Dateien“ kann mehr geöffnet werden, zum Unterschied zu den anderen Threads im Forum, heissen die Dateien noch gleich, zB Foto.jpg, also ohne locked, ohne Zufallsbuchstaben, udgl.
Einzig das Erstellungsdatum ist nun bei allen Files der 13.02.1601.

„Trojan.Ransomlock.P“ ist im Norton in Quarantäne (aber lt Internet verschlüsselt der ja nichts, oder?).

Was ich erstmal gemacht habe:

- Malwarebytes Anti-Malware (vollständiger Scan) findet nichts
- Kaspersky rescue disk 10 findet nichts

Test Entschlüsseln der Files:
- Versuch erfolglos mit: DecryptHelper, Avira Ransom File Unlocker, Tool von Dr. Web, ScareUncrypt, RannohDecryptor, Panda UnRansom
- Einzig mit Trustezeb.A funktioniert es, wenn man die Originaldatei hat (wird dann ohne Endung neu abgespeichert). Allerdings ist das Backup schon recht alt, und zweitens viel zu aufwendig, weil man nicht ein ganzes Verzeichnis auf einmal entschlüsseln kann. Denn ich muss zu jeden zB jpg immer genau das Original angeben, ansonsten kommt „fehlerhafte grösse“ odgl. Aber scheinbar schafft er es, den Schlüssel zu bekommen?!

Im Forum habe ich gelesen, dass es für Trojan.Ransomlock.P noch keine Entschlüsselung gibt. Oder kann es sein, dass noch ein unbekannter Trojaner auf dem Rechner ist?

Danke!
Hallo Leute,

Ich habe letzte Woche (29.08.2012) eine erste Mahnung (keine Ahnung von wem die sein soll) samt Anhang bekommen. Der Anhang war die angebliche Rechnung vom 29.08.2012: in einer rar- Datei verpackt, beim Öffnen der rar- Datei habe ich gesehen, dass eine MS- Dos- Anwendung gestartet werden sollte, um an die ausstehende Rechnung zu kommen.
Ich habe zwar keine Ahnung von Technik, PC´s, usw., aber sogar mir war klar, dass es KEINE "normale Rechnung" sein kann.

Leider habe ich mich darüber so aufgeregt (bin in Betreuung der Schuldnerberatungsstelle), dass ich auf dieses Mail geantwortet habe und dem Absender mit der Polizei gedroht habe, falls die mich nicht in Ruhe lassen, usw. und auch FALLS es eine offene Rechnung zu bezahlen gibt, dann sollen sie mir sofort eine rechtlich korrekte Rechnung in der richtigen Form, also GESETZESKONFORM senden.

Als Antwort kam nur noch eine Mahnung, mit demselben Text: keine Anrede, nur eine Re- Nr und wieder diese verseuchte rar- Datei. Inzwischen weiß ich, dass e sich um eine Art des "Trojan.Ransomlock.P" handelt!!

Ich möchte betonen, dass ich NIE die ms- dos- Anwendung geöffnet habe- macht das irgendeinen Unterschied????
Denn (bis jetzt) ist auf meinem PC und in unserem Netzwerk nichts Besonderes geschehen??? Ich hoffe, dass dies so bleibt, denn dieser Trojaner (wenn er aktiv geworden ist) gerade auf meiner 2 TB- Platte ist- gerade dort, wo ich die meisten Daten gespeichert habe!!

Also, ist dieses "Ding" anscheinend noch immer unterwegs und gibt einfach das Datum des Mailabsenders an, keine zip, sondern rar- Datei, mit dieser "dubiosen" ms- dos- Anwendung, die als Rechnung "getarnt" ist- nur als Warnung an alle Anderen!!

Ich schreibe das alles, um 1. die Leute zu warnen und 2. zu fragen, ob jemand eventuell weiß, wie lange es dauert, bis dieser Schädling zu arbeiten beginnt?? Könnte ich das unglaubliche Glück gehabt haben, nicht infiziert worden zu sein, weil ich diese Anwendung eben NICHT richtig geöffnet habe??
Ich hoffe sehr, dass mir jemand eine Antwort auf diese Frage geben kann???

Liebe Grüße
isabella363


Alt 06.09.2012, 16:11   #6
Undertaker
/// Helfer-Team
 
Entschlüsseln möglich? Trojan.Ransomlock.P - Standard

Entschlüsseln möglich? Trojan.Ransomlock.P



Zitat:
Zitat von isabella363 Beitrag anzeigen
Ich schreibe das alles, um 1. die Leute zu warnen und 2. zu fragen, ob jemand eventuell weiß, wie lange es dauert, bis dieser Schädling zu arbeiten beginnt?? Könnte ich das unglaubliche Glück gehabt haben, nicht infiziert worden zu sein, weil ich diese Anwendung eben NICHT richtig geöffnet habe??
Ich hoffe sehr, dass mir jemand eine Antwort auf diese Frage geben kann???
Hallo Isabella,
genauso ist es, der Schädling tritt erst nach dem Start der ausführbaren Datei im Anhang der Mail in Aktion, zumindest bei den bisher bekannten Versionen.
Eine Weiterentwicklung und andere Infektionswege sind durchaus denkbar.
Nach der Infektion, sprich nach Aktivierung des Schadcodes, geht es aber recht schnell, da er lediglich 12k jeder Datendatei umschreiben muß.
In der Regel hat er sein Werk getan, ehe dem Benutzer klar wird, was der Klick ausgelöst hat, zumal er noch durch eine Fehlermeldung im Glauben gelassen wird, das Rechnungsdokument sei fehlerhaft.

Mit der abschließenden Übertragung der Schlüsseldaten an einen externen Server ist es dann endgültig zu spät.

Ich habe den Schädling in der Version 1.xx zu Testzwecken laufen lassen und die Zerstörung von ca. 20 000 Dateien hat keine 5 Minuten gedauert, wobei das die Zeit bis zum Neustart des Rechners war.
Die Dateizerstörung war schon eher fertig.

Ich hoffe, Du hast durch Dein Erlebnis die Wichtigkeit regelmäßiger Datensicherungen erkannt und führst diese auch aus.

Gruß Volker
__________________
--> Entschlüsseln möglich? Trojan.Ransomlock.P

Alt 23.09.2012, 16:57   #7
isabella363
 
Entschlüsseln möglich? Trojan.Ransomlock.P - Standard

Entschlüsseln möglich? Trojan.Ransomlock.P



Zitat:
Zitat von Undertaker Beitrag anzeigen
Hallo Isabella,
genauso ist es, der Schädling tritt erst nach dem Start der ausführbaren Datei im Anhang der Mail in Aktion, zumindest bei den bisher bekannten Versionen.
Eine Weiterentwicklung und andere Infektionswege sind durchaus denkbar.
Nach der Infektion, sprich nach Aktivierung des Schadcodes, geht es aber recht schnell, da er lediglich 12k jeder Datendatei umschreiben muß.
In der Regel hat er sein Werk getan, ehe dem Benutzer klar wird, was der Klick ausgelöst hat, zumal er noch durch eine Fehlermeldung im Glauben gelassen wird, das Rechnungsdokument sei fehlerhaft.

Mit der abschließenden Übertragung der Schlüsseldaten an einen externen Server ist es dann endgültig zu spät.

Ich habe den Schädling in der Version 1.xx zu Testzwecken laufen lassen und die Zerstörung von ca. 20 000 Dateien hat keine 5 Minuten gedauert, wobei das die Zeit bis zum Neustart des Rechners war.
Die Dateizerstörung war schon eher fertig.

Ich hoffe, Du hast durch Dein Erlebnis die Wichtigkeit regelmäßiger Datensicherungen erkannt und führst diese auch aus.

Gruß Volker
Hallo Undertaker,

erstmals vielen, vielen Dank für die Antwort!! Bis jetzt ist nichts geschehen- zumindest nichts, was mir aufgefallen wäre, aber es kommen immer mehr solcher Mails: einmal soll ich einen PC gekauft haben, dann wieder etwas Anderes,.. und immer ist entweder eine rar oder zip- Datei dabei (mit ms- dos Anwendung). Ich habe die alle sofort gelöscht und natürlich (das ist sogar mir klar) eine Datenrettung gemacht. Muss mir erst mal Deinen Link zur Datenrettung ansehen und werde das auch durch führen- ich habe nur einen Wiederherstellungspunkt gemacht, weil mir einfach der Platz für alle Daten fehlt. Natürlich ist mir klar, dass so ein W- Punkt gerade bei Windows nicht viel bringt, wenn der PC derartig verseucht ist!!

Es tut mir sehr leid für Dich und Deine Freundin- das muss ein Wahnsinn sein, wenn alles zerstört wird, ich verstehe nur nicht, was diese Typen damit erreichen wollen: sogar Fotos zerstören?? Das bringt doch keinem etwas, oder?? Sieht für mich wie "blinde Zerstörungswut" aus!!

Nochmals Danke und viel Glück, ich hoffe Ihr bekommt dieses "ekelhafte Ding" weg!!

Liebe Grüße
isabella363
__________________
"You cannot change the past, look forward, or risk,
beeing left behind"!!

Alt 27.09.2012, 13:07   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Entschlüsseln möglich? Trojan.Ransomlock.P - Standard

Entschlüsseln möglich? Trojan.Ransomlock.P



Zitat:
wenn alles zerstört wird, ich verstehe nur nicht, was diese Typen damit erreichen wollen: sogar Fotos zerstören??
Ist das nicht völlig klar, liegt das nicht auf der Hand?!

Die wollen Geld erpressen!!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 27.09.2012, 15:56   #9
Shadow
/// Mr. Schatten
 
Entschlüsseln möglich? Trojan.Ransomlock.P - Standard

Entschlüsseln möglich? Trojan.Ransomlock.P



Zitat:
Zitat von isabella363 Beitrag anzeigen
sogar Fotos zerstören?? Das bringt doch keinem etwas, oder?? Sieht für mich wie "blinde Zerstörungswut" aus!!
Warum Zerstörungswut? Die haben doch deine doppelten Satzzeichen gar nicht gesehen.
Ansonsten: Dies sind Kriminelle, deine Fotos interessieren die nicht, andere Kriminelle zerstören sogar reale Leben, du musst also keinen Anstand und keine Freundlichkeit erwarten.
__________________
alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung
keine Hilfe via PN
hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei
tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort
-


Alt 29.09.2012, 16:56   #10
tesla2012
 
Entschlüsseln möglich? Trojan.Ransomlock.P - Standard

Entschlüsseln möglich? Trojan.Ransomlock.P



Mann müüste mal paar Millionen Dollar Kopfgeldprämie ausloben für die Ergreifung der Ukash Trojaner Hintermänner.

Alt 30.09.2012, 09:41   #11
stefanbecker
 
Entschlüsseln möglich? Trojan.Ransomlock.P - Standard

Entschlüsseln möglich? Trojan.Ransomlock.P



Kannst ja nen Ukash Sperrbildschirm entwickeln, um das Geld zusammen zu bekommen.


Alt 28.04.2017, 18:33   #12
hero999
 
Entschlüsseln möglich? Trojan.Ransomlock.P - Standard

Entschlüsseln möglich? Trojan.Ransomlock.P



...hat es nach all den jahren jemand geschafft, diesen ransom zu entschlüsseln ?!?

Alt 28.04.2017, 19:53   #13
purzelbär
Gesperrt
 
Entschlüsseln möglich? Trojan.Ransomlock.P - Standard

Entschlüsseln möglich? Trojan.Ransomlock.P



Du greifst ein fast 5 Jahre altes Thema auf?

Alt 28.04.2017, 20:53   #14
hero999
 
Entschlüsseln möglich? Trojan.Ransomlock.P - Standard

Entschlüsseln möglich? Trojan.Ransomlock.P



jo,... weil ich noch wichtige, verschlüsselte fotos von diesem virus herumliegen hab !

Alt 28.04.2017, 20:58   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Entschlüsseln möglich? Trojan.Ransomlock.P - Standard

Entschlüsseln möglich? Trojan.Ransomlock.P



Und natürlich hatte man von den so wichtigen Daten ja niemals ein richtiges Backup gemacht....das ist dann fahrlässig.

Datei auswerten => https://id-ransomware.malwarehunterteam.com/index.php

und lesen was als Ergebnis rauskommt. Wenn es nix gibt hast du Pech gehabt bzw selber Schuld weil kein Backup.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu Entschlüsseln möglich? Trojan.Ransomlock.P
anderen, anti-malware, avira, datei, entschlüsseln, freundin, funktioniert, internet, locker, mahnung, mailanhang, norton, norton 360, panda, quarantäne, rechner, tool, trojan.ransomlock.p, unbekannter, unlocker, virus



Ähnliche Themen: Entschlüsseln möglich? Trojan.Ransomlock.P


  1. Windows 7: Trojan.Ransomlock.G
    Log-Analyse und Auswertung - 01.02.2015 (27)
  2. Norton 360 "System Infected: Trojan.Ransomlock.G" blockiert - Virus in Quarantäne - Onlinebanking sFirm nicht mehr ausführbar
    Plagegeister aller Art und deren Bekämpfung - 31.01.2015 (15)
  3. Windwos 7: Norton meldet sich ca. jede Minute mit "system infected: trojan.ransomlock.g"
    Plagegeister aller Art und deren Bekämpfung - 30.01.2015 (15)
  4. Norton meldet ständig "System Infected: Trojan.Ransomlock.G" blockiert
    Plagegeister aller Art und deren Bekämpfung - 20.01.2015 (17)
  5. Trojaner durch Mahnung ( Trojan.Ransomlock.AJ) Norton Anzeige
    Log-Analyse und Auswertung - 25.07.2014 (10)
  6. Desinfizierung durch Kaspersky nicht möglich: Trojan.Win32.Bromngr.k, HEUR:Trojan.Win32.Generic, Trojan-Downloader.Win32.MultiDL.I
    Plagegeister aller Art und deren Bekämpfung - 28.11.2013 (1)
  7. Trojan.bebloh und Angriff durch Trojan.Ransomlock.P Activity 2
    Log-Analyse und Auswertung - 09.07.2013 (8)
  8. Norton hat drei Trojaner entdeckt - u.a. Trojan.Ransomlock.P
    Log-Analyse und Auswertung - 19.05.2013 (16)
  9. 2x Norton hat drei Trojaner entdeckt - u.a. Trojan.Ransomlock.P
    Mülltonne - 14.05.2013 (1)
  10. PUP.Funmoods und Trojan.Spyeyes und evtl Trojan.Ransomlock.P
    Log-Analyse und Auswertung - 26.03.2013 (11)
  11. Trojan.Ransomlock.P Bestellung vom 06-2012.zip E-Mail Anahng
    Plagegeister aller Art und deren Bekämpfung - 30.07.2012 (1)
  12. Trojaner "Trojan.Ransomlock.P" in Archiv.zip (Abrechnung Archiv.scr)
    Plagegeister aller Art und deren Bekämpfung - 16.06.2012 (20)
  13. Verschlüsselungs-Trojaner Trojan.Ransomlock.P durch Anhang einer Email-Mahnung
    Log-Analyse und Auswertung - 14.06.2012 (4)
  14. (2x)Trojaner "Trojan.Ransomlock.P" in Archiv.zip (Abrechnung Archiv.scr)
    Mülltonne - 10.06.2012 (1)
  15. Trojan.Ransom.HM - Dateien Entschlüsseln
    Diskussionsforum - 22.05.2012 (4)
  16. Entschlüsseln/Dekrypt von Dateien ohne Sicherungskopie möglich ?
    Log-Analyse und Auswertung - 07.05.2012 (7)
  17. Trojan.Matsnu.1 Keine Entschlüsselung möglich
    Log-Analyse und Auswertung - 05.05.2012 (3)

Zum Thema Entschlüsseln möglich? Trojan.Ransomlock.P - Hallo, eine Freundin hat vermutlich einen Verschlüsselungstrojaner über einen Mailanhang (Mahnung) auf Ihren Rechner bekommen. Ein Scan mit Norton 360 wurde durchgeführt: Dieser hat keinen Virus, ... gefunden. Keine Datei - Entschlüsseln möglich? Trojan.Ransomlock.P...
Archiv
Du betrachtest: Entschlüsseln möglich? Trojan.Ransomlock.P auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.