Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Entschlüsseln Ukash Dateien

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 28.09.2012, 20:14   #1
tesla2012
 
Entschlüsseln Ukash Dateien - Reden

Entschlüsseln Ukash Dateien



Hallo,

nun hat es auch mich erwischt und leider hat der Ukash Trojaner nicht nur meine Dateien auf der Hauptfestplatte geschrottet sondern auch noch die bei der angesteckten USB Backup Festplatte.

Der verschlüsselungstrojaner hat am Anfang der Datei gewütet. Mit den Entschlüsselungsprogrammen kann ich leider nichts reparieren.

Vielleicht habt ihr ja eine Idee

Dort eine Original und eine Verschlüsselte
hxxp://www.file-upload.net/download-6637796/ukash.zip.html


Der Trojaner war zudem so gemein, dass er die berühmten Windows Bilder Ordner nicht angerührt hat so war es super schwer eine unberührte zu finden die einen verschlüsselten Bruder hat.



Den verseuchten Computer hab ich nicht mehr aktiv. Festplatte ausgebaut und darüber über einen zweitPC den Schaden kurz begutachtet. Computer hat XP Pro installiert.

Geändert von tesla2012 (28.09.2012 um 20:28 Uhr)

Alt 28.09.2012, 21:34   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Entschlüsseln Ukash Dateien - Standard

Entschlüsseln Ukash Dateien



Wozu haben wir die Hinweise oben? Da steht doch oben alles!

Eine Entschlüsselung ist unwahrscheinlich bis unmöglich!

Zitat:
3. Bei Dateien wie locked-<DATEINAME>.<ENDUNG>.wxyz entschlüsseln:Übersicht der 8 Entschlüsselungs-Tools
ansonsten Daten retten / Daten wiederherstellen: Daten retten nach Verschlüsselungstrojaner
Wenn das keine einfache Verschlüsselung mit "locked-" im Dateinamen ist, sollte man sich um Datenrettung und nicht um Entschlüsselung kümmern!
Wenn Vista oder Win7 im Einsatz sind, den ShadowExplorer testen! Aber keine unnötige Zeit mit Entschlüsselungsversuchen verschwenden

Und in Zukunft willst du sicher mal an ein besseres Backupkonzept denken. Hier ein Denkanstoß => http://www.trojaner-board.de/115678-...r-backups.html
__________________

__________________

Alt 28.09.2012, 23:53   #3
tesla2012
 
Entschlüsseln Ukash Dateien - Standard

Entschlüsseln Ukash Dateien



Bei der Flut an Beiträgen war die Hoffnung da dass es vielleicht dafür eine Lösung gibt. Scheint aber leider nicht der Fall zu sein.

Über einen Emailanhang ist der Mist reingekommen.

Nebenschwachstelle war wohl Java... in dessen Cache Ordner hat Antivir viel gefunden und die EXE Datei wird bei Virustotal gerade mal von 5 Virenkiller erkannt... bzw. die identische Datei wurde heute früh um 9 von jemand anderem dort schon hochgeladen wo nur 3 Virenkiller diesen als gefährlich erkannten. Die wurde von Antivir nicht erkannt sondern bisher nur von Malewarebytes.

Ist wohl was super neues.
__________________

Alt 29.09.2012, 00:05   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Entschlüsseln Ukash Dateien - Standard

Entschlüsseln Ukash Dateien



Zitat:
Ist wohl was super neues.
Ja sieht man ja auch so dolle an den nicht geposteten Malwarebytes- und Virenscanner-Logs
__________________
"Ich habe viel Geld für Alkohol, Weiber und schnelle Autos ausgegeben. Den Rest hab’ ich einfach nur verprasst." - George Best

Warum Linux besser als Windows ist!


Das Trojaner-Board unterstützen

Alt 29.09.2012, 00:25   #5
tesla2012
 
Entschlüsseln Ukash Dateien - Standard

Entschlüsseln Ukash Dateien



Da hast mehr falls interesse.

hxxp://www.file-upload.net/download-6638439/ukashneu_verseucht.7z.html


Passwort lautet: virus

Enthält die bösen Dateien sowie zwei Screenshots von Virus Total und dem Antivir Logfile sowie dessen Quarantäne.


Groß das System säuern will ich nicht. Die Outlook Express Dateien soweit es geht noch retten und dann mach ich die Kiste komplett platt. Die vielen Doc, PDF und JPG... viele davon waren zu klein um daraus noch mit den Restdaten etwas extrahieren zu können.

Nun von der 80GB Platte hab ich noch ein Sektor by Sektor Image erstellt falls man später einmal irgend etwas noch retten können sollte. Hab aber nicht wirklich große Hoffnung mehr.


Alt 29.09.2012, 00:26   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Entschlüsseln Ukash Dateien - Standard

Entschlüsseln Ukash Dateien



Und watt soll ich da anklicken?

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
ATTFilter
 hier steht das Log
         
__________________
--> Entschlüsseln Ukash Dateien

Alt 29.09.2012, 00:38   #7
tesla2012
 
Entschlüsseln Ukash Dateien - Standard

Entschlüsseln Ukash Dateien



Den Downloadlink inzwischen repariert.

Hilfestellung beim säubern des Systems brauch ich nicht. Dafür um so mehr beim entschlüsseln der zerstörten Dateien... aber was ich so über den Abend gelesen habe kann man das entschlüsseln derzeit vergessen und nur mit Datenrettungsprogrammen herumwursteln mit eher schlechten Erfolg zumindest bei den kleinen Word Dateien.

Die nachträglichen Virenscanns sind allenfalls ein Gag zum schauen was die so finden. Für eine "garantierte" Rootkitfreiheit ist ohnehin die Low Level Formatierung und Neuinstallation des OS pflicht. Ein Sector Image hab ich zuvor noch erstellt falls man mittelfristig diese Dateien wieder entschlüsseln kann. Mehr kann ich nicht machen, außer noch paranoider mit dem Computer umgehen.

Ist schon interessant wenn man die Aktivität des Trojaners so halbwegs nachverfoglt.

16:16:26 der Anhang Mahnung.zip wird auf die Festplatte kopiert und geöffnet
16:16:56 Windows legt dazu eine PF Datei an.
16:17:06 Im Benutzerprofil unter Anwendungsdaten taucht eine 66kb große EXE Datei auf
16:17:50 Im Benutzerprofil wird ein Ordner mit Zufallszahlen erstellt und da eine EXE angelegt die 77kb groß ist.

Es erfolgen änderungen an der Windows Regestry und bei den Treibern. Windows erstellt scheinbar einen Systemwiederherstellungspunkt.

16:18:16 Im Benutzerprofil im Temp Ordner wird eine $$0 Datei mit 700kb Größe erstellt, die nur wirre Zeichen enthält

16:24:56 Im Benutzerprofil im Temp Ordner wird eine $02 Datei erstellt die runde 3,4MB groß ist. Enthält auch nur wirre Zeichen

zum selben Zeitpunkt wird eine Datei $03 von der Platte gelöscht die 2,7MB groß ist und auch nur wirre Zeichen enthält.

16:25 Trojaner beginnt bei den MS-Word Vorlagen die Dateien zu verändern und macht dann bei den Eigenen Bildern weiter.

Wann da genau der Bildschirm gesperrt wurde, keine Ahnung. Jedenfalls konnte er bis 16:43 weiter wüten bis der Computer einfach abgeschaltet wurde.

Ist schon interessant wenn man die Aktivität des Trojaners so halbwegs nachverfoglt.

16:16:26 der Anhang Mahnung.zip wird auf die Festplatte kopiert und geöffnet
16:16:56 Windows legt dazu eine PF Datei an.
16:17:06 Im Benutzerprofil unter Anwendungsdaten taucht eine 66kb große EXE Datei auf
16:17:50 Im Benutzerprofil wird ein Ordner mit Zufallszahlen erstellt und da eine EXE angelegt die 77kb groß ist.

Es erfolgen änderungen an der Windows Regestry und bei den Treibern. Windows erstellt scheinbar einen Systemwiederherstellungspunkt.

16:18:16 Im Benutzerprofil im Temp Ordner wird eine $$0 Datei mit 700kb Größe erstellt, die nur wirre Zeichen enthält

16:24:56 Im Benutzerprofil im Temp Ordner wird eine $02 Datei erstellt die runde 3,4MB groß ist. Enthält auch nur wirre Zeichen

zum selben Zeitpunkt wird eine Datei $03 von der Platte gelöscht die 2,7MB groß ist und auch nur wirre Zeichen enthält.

16:25 Trojaner beginnt bei den MS-Word Vorlagen die Dateien zu verändern und macht dann bei den Eigenen Bildern weiter.

Wann da genau der Bildschirm gesperrt wurde, keine Ahnung. Jedenfalls konnte er bis 16:43 weiter wüten bis der Computer einfach abgeschaltet wurde.

Alt 01.10.2012, 08:27   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Entschlüsseln Ukash Dateien - Standard

Entschlüsseln Ukash Dateien



Zitat:
Für eine "garantierte" Rootkitfreiheit ist ohnehin die Low Level Formatierung
Mal wieder das Märchen mit der LowLevelFormatierung, was auch immer darunter verstanden wird
Partitionen löschen und neu anlegen reicht, der MBR wird bei der Neuinstallation auch neu geschrieben
__________________
"Ich habe viel Geld für Alkohol, Weiber und schnelle Autos ausgegeben. Den Rest hab’ ich einfach nur verprasst." - George Best

Warum Linux besser als Windows ist!


Das Trojaner-Board unterstützen

Alt 01.10.2012, 08:38   #9
tesla2012
 
Entschlüsseln Ukash Dateien - Standard

Entschlüsseln Ukash Dateien



Märchen haben für Kinder erzieherische Funktionen. :-D

Als LowLevelFormatierung wird bei mir die ewig Zeitfressende Löschung der Festplatte mit den Diagnose Tools des Festplattenherstellers bezeichnet ;-)

Wer schon mal mehrere unterschiedliche Betriebsysteme installiert hat ( Microsoft und Linux ) weiß wie hartnäckig sich manch MBR halten kann.

================================

Noch was anderes... es ist zum teil witzig wie selektiv der Ukash Trojaner vorgeht. Er verschlüsselt alles mögliche z.B. im Firefox Profil aber die Bookmarks verschont er, die Backups der Bookmarks nicht.

Bei C:\Dokumente und Einstellungen\#BENUTZERNAME#\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch verschlüsselt er das "Desktop Anzeigen Symbol"

Alt 01.10.2012, 10:30   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Entschlüsseln Ukash Dateien - Standard

Entschlüsseln Ukash Dateien



Zitat:
Wer schon mal mehrere unterschiedliche Betriebsysteme installiert hat ( Microsoft und Linux ) weiß wie hartnäckig sich manch MBR halten kann.
Sry das hört sich aber ziemlich nach Halbwissen an. Wenn du wüsstest welche "Dimensionen" der MBR hat und wo er auf der Platte liegt, dann wüsstest du auch wie überflüssig ein LLF mit dem Ziel ist den MBR zu killen
__________________
"Ich habe viel Geld für Alkohol, Weiber und schnelle Autos ausgegeben. Den Rest hab’ ich einfach nur verprasst." - George Best

Warum Linux besser als Windows ist!


Das Trojaner-Board unterstützen

Alt 01.10.2012, 10:38   #11
tesla2012
 
Entschlüsseln Ukash Dateien - Standard

Entschlüsseln Ukash Dateien



Zitat:
Zitat von cosinus Beitrag anzeigen
Sry das hört sich aber ziemlich nach Halbwissen an. Wenn du wüsstest welche "Dimensionen" der MBR hat und wo er auf der Platte liegt, dann wüsstest du auch wie überflüssig ein LLF mit dem Ziel ist den MBR zu killen

Ist ja egal nach was es sich anhört, solange es zum Ziel geführt hat und nebenbei die Festplatte auf defekte Sektoren noch getestet wurde.

Der MBR ist zu DOS Zeiten glaub ich nur 512bytes groß gewesen :-))

Alt 01.10.2012, 11:18   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Entschlüsseln Ukash Dateien - Standard

Entschlüsseln Ukash Dateien



Zitat:
Der MBR ist zu DOS Zeiten glaub ich nur 512bytes groß gewesen :-))
Nicht nur zu DOS-Zeiten
MBR überschreiben hätte es auch getan

Zitat:
geführt hat und nebenbei die Festplatte auf defekte Sektoren noch getestet wurde.
Die Firmware moderner Platten blendet defekte Sektoren automatisch aus
KEINE Platte (auch neue nicht!) haben zu 100% intakte Sektoren. Es sind immer fehlerhafte da, deswegen hat auch jede Platte einen Reservebereich
Findet die Firmware einen fehlhaften Sektor, wo wird dieser ausgeblendet und als Ersatz einer aus dem Reservebereich genommen
__________________
"Ich habe viel Geld für Alkohol, Weiber und schnelle Autos ausgegeben. Den Rest hab’ ich einfach nur verprasst." - George Best

Warum Linux besser als Windows ist!


Das Trojaner-Board unterstützen

Alt 01.10.2012, 17:26   #13
tesla2012
 
Entschlüsseln Ukash Dateien - Standard

Entschlüsseln Ukash Dateien



Zitat:
Findet die Firmware einen fehlhaften Sektor, wo wird dieser ausgeblendet und als Ersatz einer aus dem Reservebereich genommen
und wenn die Firmware gut ist, meldet sie das brav dem SMART und der Zähler bei Wiederzugewiesene Sektoren steigt um +X ;-)


---------------------------------------------

Mit der Ontrack EasyRecovery kommt man bei den zerstörten Dateien größer als 12kb auch nicht weiter. Die einzigen Bilder die prima wieder zum Vorschein gebracht werden können, sind gelöschte Bilder vom Browser-Cache.

Antwort

Themen zu Entschlüsseln Ukash Dateien
backup, berühmte, bilder, bruder, computer, dateien, entschlüsseln, erwischt, festplatte, gemein, geschrottet, nicht mehr, nichts, ordner, original, platte, schlüssel, schlüsseln, schwer, troja, trojaner, ukash verschlüsselungs trojaner eingefangen, usb, verschlüsselungs, verseuchte, windows



Ähnliche Themen: Entschlüsseln Ukash Dateien


  1. Windows 7: Mit CTB-Locker verschlüsselte Dateien entschlüsseln
    Plagegeister aller Art und deren Bekämpfung - 23.06.2015 (3)
  2. Verschlüsselungstrojaner- Dateien entschlüsseln
    Plagegeister aller Art und deren Bekämpfung - 09.03.2015 (4)
  3. DirtyDecrypt.exe - Verschlüsselte Dateien entschlüsseln
    Plagegeister aller Art und deren Bekämpfung - 02.06.2013 (7)
  4. Dateien nach Verschlüsselungstrojaner entschlüsseln
    Überwachung, Datenschutz und Spam - 06.02.2013 (2)
  5. BKA Trojaner-Neue Version? Entschlüsseln der Dateien?
    Plagegeister aller Art und deren Bekämpfung - 31.01.2013 (7)
  6. UKASH - Word Dateien mit keinem Programm zu entschlüsseln
    Plagegeister aller Art und deren Bekämpfung - 02.08.2012 (1)
  7. Verschlüsselte Dateien entschlüsseln
    Plagegeister aller Art und deren Bekämpfung - 30.07.2012 (1)
  8. Windows-Verschlüsselungs-Trojaner: wie Dateien wieder entschlüsseln?
    Plagegeister aller Art und deren Bekämpfung - 19.07.2012 (3)
  9. Win32/Matsnu: Dateien entschlüsseln funktioniert nicht
    Plagegeister aller Art und deren Bekämpfung - 04.07.2012 (2)
  10. Dateien entschlüsseln nach Verschlüsselungstrojaner funktioniert nicht
    Log-Analyse und Auswertung - 13.06.2012 (3)
  11. Verschlüsselungstrojaner - Dateien lassen sich nicht entschlüsseln
    Log-Analyse und Auswertung - 07.06.2012 (5)
  12. Windows Verschlüsselungs Trojaner --> Dateien Entschlüsseln
    Log-Analyse und Auswertung - 05.06.2012 (1)
  13. Verschlüsselte Dateien entschlüsseln
    Plagegeister aller Art und deren Bekämpfung - 03.06.2012 (1)
  14. Daten entschlüsseln nach Neuem UKash Trojaner
    Plagegeister aller Art und deren Bekämpfung - 23.05.2012 (4)
  15. Trojan.Ransom.HM - Dateien Entschlüsseln
    Diskussionsforum - 22.05.2012 (4)
  16. Verschlüsselte Dateien entschlüsseln
    Plagegeister aller Art und deren Bekämpfung - 05.05.2012 (3)
  17. Tipp für alle, die Dateien entschlüsseln müssen...
    Plagegeister aller Art und deren Bekämpfung - 05.05.2012 (1)

Zum Thema Entschlüsseln Ukash Dateien - Hallo, nun hat es auch mich erwischt und leider hat der Ukash Trojaner nicht nur meine Dateien auf der Hauptfestplatte geschrottet sondern auch noch die bei der angesteckten USB Backup - Entschlüsseln Ukash Dateien...
Archiv
Du betrachtest: Entschlüsseln Ukash Dateien auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.