Ich habe mir vor wenigen Tagen einen Erpresser-Trojaner eingefangen. Der Rechner wurde langsam. Nach einer gewissen Zeit kam eine Informationsseite, die freundlich darauf hinweist, dass meine Dateien, und zwar alle .txt .pdf und .docx - Dateien mit einem RSA-2048 key verschlüsselt wurden. JPGs sind interessanterweise nicht verschlüsselt.
Der Key wird nur freigegeben, wenn ich eine hohe Geldsumme zahlen würde, wenn ich zu lange warte, das doppelte. Nach 1 Monat soll angeblich keine Chance mehr bestehen.

Ich hatte leider nicht alle verschlüsselten Dateien auf meiner externen HD gesichert.

Ist da noch was zu machen ? In jedem Order, der verschlüsselte Dateien enthält, sind die oben genannten Erläuterungen zur Zahlung als .txt als auch als html Datei hinterlegt.

In einem einzigen Order mit verschlüsselten Dateien habe ich eine versteckte Datei gefunden, die vorher nicht dort war.
Sie trägt die Endung .c7r und hat die Größe 0x130, also 304 Byte.

Ist diese Datei ein Teil des Schlüssels ?

Hi,

txt und html bitte anhängen, von der Meldung einen Screenshot.

Zunächst mal vielen Dank für die Unterstützung !
Ich habe mir nochmal die infizierte HD angeschaut, in jedem Ordner, der verschlüsselte Dateien enthält, befinden sich 4 zusätzliche Dateien. Die habe ich, wie gewünscht, gezippt und als Anhang eingestellt.

hi,

nee, ist nicht zu entschlüsseln ohne den private key.

Welche Bedeutung hat denn dann die Datei mit der Endung .c7r ?
Sie ist zum Zeitpunkt des Befalls erstellt worden und ist doch 304 x 8 = 2432 Bit groß ?

Das könnte dein public key sein. Bringt aber trotzdem nix. Der private key liegt auf einem C&C Server. Ohne den dauert es ungefähr 123782194629468298 Jahre das zu entschlüsseln.