Hallo,

ja, ich wurde erwischt und ja, ich habe Backups.
Win 7, Netzwerk, viele Laufwerke, noch viel mehr Dateien.
Trotzdem, weil es viel einfacher ist, da inzwischen weiter gearbeitet wurde, habe ich das Lösegeld bezahlt. Es ist ein ganz aktueller Ransomware-Fall, denn ich habe auser einem Eintrag hier im Board nix googlen können. Die Dateien wurden alle mit .xrtn umbenannt.

Ich habe inzwischen den decrypter erhalten, aber der entschlüsselt die Dateien nicht bzw. nur einige. Daher gehe ich mal davon aus, dass die Batch-Datei fehlerhaft ist. Zuerst hat er die inconv.dll vermisst. Die habe ich dann erhalten, in dem ich gpg4win installiert habe.

Nun habe ich die Hoffnung, dass mir hier jemand weiterhelfen kann.

Ich habe den betroffenen PC noch nicht bereinigt, d.h. ich habe noch kein einziges Tool laufen lassen, um das Verschlüsselsungstool zu entfernen.

Hier ist nun das decrypt-script:
@ECHO OFF
attrib -s -h -r UNCRYPT.KEY
if not exist UNCRYPT.KEY (echo UNCRYPT.KEY NOT EXIST - press any key&pause&goto eof)
gpg.exe --import UNCRYPT.KEY

FOR %%f IN ( C D E F G H I J K L M N O P Q R S T U V W X Y Z ) DO call :decode %%f
goto eof
:decode
dir /B "%1:\"&& for /r "%1:\" %%i in (*.vault) do (
RENAME "%%~fi" "%%~ni.gpg" & gpg.exe --batch --no-verbose -q --decrypt-files "%%~pi%%~ni.gpg" & del /f /q "%%~pi%%~ni.gpg"
)

dir /B "%1:\"&& for /r "%1:\" %%i in (*.gpg) do (
gpg.exe --batch --no-verbose -q --decrypt-files "%%~fi" & del /f /q "%%~fi"
)

:eof
ECHO.
ECHO FINISHED!

Wenn noch Infos fehlen, liefere ich gerne.
Da ich schon den Erpresser bezahlt habe, würde ich auch demjenigen etwas zahlen, der mir hilft, die Dateien zu entschlüsseln.

Danke und Gruß - riesel

So, ich habe selbst die Lösung gefunden.
Das Skript findet die .xrtn-Dateien nicht.
Wenn ich den Dateien die Endung .gpg verpasse, dann werden sie entschlüsselt.
Und wenn ich .vault im Skript in .xrtn umbenenne, dann brauche ich noch nicht mal das Umbenennen.
Für mich ist das Thema gelöst.

Könntest du uns vl den Key zukommen lassen. Von mir aus auch per PM.
Vl hilft er auch anderen

Habe alles in die Zip gepackt - die decrypt.bat ist schon die korrigierte Version.
Wem's geholfen hat, kann sich ja gerne mal melden. Geteilte Freude ist doppelte Freude.

Gruß - riesel

Das Java-Script, das den Verschlüsselungstrojaner downloaded und installiert, wird bei Virustotal Stand heute Vormittag, 10h, nur von 8 Virenscannern erkannt.

Ich habe jetzt alle Dateien entschlüsselt, bzw. ein paar Dateien, die beim entschlüsseln hops gegangen sind, wieder aus meinen Backups hergestellt.

Nun habe ich aber das Problem, dass ich den Crypto-Trojaner nicht vom Rechner runterbekomme. Ich habe desinfec't 2015 laufen lassen - dort wurde nur das Java-script gefunden. Ich habe die Kaspersky Rescue-Disk laufen lassen - dort wurde gar nichts gefunden. Ich habe Malwarebytes laufen lassen - hat auch nichts gefunden (die js-Datei war schon gelöscht).

Hat jemand noch eine gute Idee, wie ich die Kiste sauber bekommen kann? Oder hilft nur die komplette Neuinstallation?
Spyhunter habe ich versucht zu installieren und laufen zu lassen. Aber schon die Installation klappt nicht. Das Script bricht immer ab ;-(

Bitte beachten:

das Skript ist derzeit nur auf Laufwerk L eingestellt. Wer andere Laufwerke scannen und decrypten will, muss andere Laufwerksbuchstaben eintragen.
So wie hier z.B.:
FOR %%f IN ( C D E F G H I J K L M N O P Q R S T U V W X Y Z ) DO call :decode %%f

ABER ACHTUNG: selbst wenn die Entschlüsselung nicht klappt, LÖSCHT das Script alle verschlüsselten Dateien im Anschluss.

Hallo,

vorhin habe ich die Info bekommen, dass es jemandem mit den oben angehängten Dateien gelungen ist, die Dateien zu entschlüsseln.

Bitte darauf achten, dass die verschlüsselten Dateien auch dann gelöscht werden, wenn das Skript die Daten nicht entschlüsseln kann. Daher vielleicht ein Testlaufwerk anlegen, dort ein paar Dateien hinkopieren und nur dieses Laufwerk im Skript angeben (oder den Löschteil aus dem Skript rausnehmen). Wenn der test schief geht, sind nicht gleich auch noch die verschlüsselten Daten gelöscht. OK, falls es mit dem Entschlüsseln eh nicht klappt, ist es nicht ganz sooo schlimm - verschlüsselt ist dann quasi wie schon gelöscht.

Ahoi - riesel

Wegen der vielen Anfragen:

Bitte einen USB-Stick zum Testen einrichten. Dort ein paar verschlüsselte Datein hin kopieren und nur den Laufwerksbuchstaben in das decrypt.bat-Skript eintragen.
Damit kann man dann mal üben.
Bitte im Uncrypt.key die entsprechenden Daten anpassen - Computername, Benutzername, Datum.
Was ich noch nicht getestet habe und daher nicht weiß, ob gpg4win installiert sein muss. das war es zumindest auf dem Rechner, von dem aus ich die decrypt.bat habe laufen lassen.

Es gibt etwas Hoffnung, denn ich habe heute von einem netten Menschen die Info bekommen, dass er mit "meinem" Key seine Dateien entschlüsseln konnte.

Gruß - riesel
bitte das Skri

hallo,

ich habe eben von einem weiteren Betroffen, der mich um Hilfe gebeten hat, einen Key erhalten.
In der angehängten Zip-Datei fehlt noch die iconv.dll - diese bitte über die erste Zip-Datei ergänzen oder selber runterladen bzw. gpg4win installieren.

Vielleicht hat ja jemand Glück und der Key passt?

ahoi - riesel

Achtung - auch dieses Skript löscht die Dateien nach dem erfolgreichen oder auch nicht erfolgreichen Entschlüsseln. Daher bitte mit Kopien auf einem USB-Laufwerk testen.