Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: ransomware .xrtn - decrypt klappt nicht

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 10.12.2015, 13:56   #1
riesel
 
ransomware .xrtn - decrypt klappt nicht - Standard

ransomware .xrtn - decrypt klappt nicht



Hallo,

ja, ich wurde erwischt und ja, ich habe Backups.
Win 7, Netzwerk, viele Laufwerke, noch viel mehr Dateien.
Trotzdem, weil es viel einfacher ist, da inzwischen weiter gearbeitet wurde, habe ich das Lösegeld bezahlt. Es ist ein ganz aktueller Ransomware-Fall, denn ich habe auser einem Eintrag hier im Board nix googlen können. Die Dateien wurden alle mit .xrtn umbenannt.

Ich habe inzwischen den decrypter erhalten, aber der entschlüsselt die Dateien nicht bzw. nur einige. Daher gehe ich mal davon aus, dass die Batch-Datei fehlerhaft ist. Zuerst hat er die inconv.dll vermisst. Die habe ich dann erhalten, in dem ich gpg4win installiert habe.

Nun habe ich die Hoffnung, dass mir hier jemand weiterhelfen kann.

Ich habe den betroffenen PC noch nicht bereinigt, d.h. ich habe noch kein einziges Tool laufen lassen, um das Verschlüsselsungstool zu entfernen.

Hier ist nun das decrypt-script:
@ECHO OFF
attrib -s -h -r UNCRYPT.KEY
if not exist UNCRYPT.KEY (echo UNCRYPT.KEY NOT EXIST - press any key&pause&goto eof)
gpg.exe --import UNCRYPT.KEY

FOR %%f IN ( C D E F G H I J K L M N O P Q R S T U V W X Y Z ) DO call :decode %%f
goto eof
:decode
dir /B "%1:\"&& for /r "%1:\" %%i in (*.vault) do (
RENAME "%%~fi" "%%~ni.gpg" & gpg.exe --batch --no-verbose -q --decrypt-files "%%~pi%%~ni.gpg" & del /f /q "%%~pi%%~ni.gpg"
)

dir /B "%1:\"&& for /r "%1:\" %%i in (*.gpg) do (
gpg.exe --batch --no-verbose -q --decrypt-files "%%~fi" & del /f /q "%%~fi"
)

:eof
ECHO.
ECHO FINISHED!

Wenn noch Infos fehlen, liefere ich gerne.
Da ich schon den Erpresser bezahlt habe, würde ich auch demjenigen etwas zahlen, der mir hilft, die Dateien zu entschlüsseln.

Danke und Gruß - riesel

So, ich habe selbst die Lösung gefunden.
Das Skript findet die .xrtn-Dateien nicht.
Wenn ich den Dateien die Endung .gpg verpasse, dann werden sie entschlüsselt.
Und wenn ich .vault im Skript in .xrtn umbenenne, dann brauche ich noch nicht mal das Umbenennen.
Für mich ist das Thema gelöst.

Geändert von riesel (10.12.2015 um 14:27 Uhr)

Alt 10.12.2015, 17:26   #2
Larusso
/// Selecta Jahrusso
 
ransomware .xrtn - decrypt klappt nicht - Standard

ransomware .xrtn - decrypt klappt nicht



Könntest du uns vl den Key zukommen lassen. Von mir aus auch per PM.
Vl hilft er auch anderen
__________________

__________________

Alt 14.12.2015, 08:31   #3
riesel
 
ransomware .xrtn - decrypt klappt nicht - Standard

alle Dateien



Habe alles in die Zip gepackt - die decrypt.bat ist schon die korrigierte Version.
Wem's geholfen hat, kann sich ja gerne mal melden. Geteilte Freude ist doppelte Freude.

Gruß - riesel
__________________

Alt 14.12.2015, 21:25   #4
riesel
 
ransomware .xrtn - decrypt klappt nicht - Standard

ransomware .xrtn - decrypt klappt nicht



Das Java-Script, das den Verschlüsselungstrojaner downloaded und installiert, wird bei Virustotal Stand heute Vormittag, 10h, nur von 8 Virenscannern erkannt.

Ich habe jetzt alle Dateien entschlüsselt, bzw. ein paar Dateien, die beim entschlüsseln hops gegangen sind, wieder aus meinen Backups hergestellt.

Nun habe ich aber das Problem, dass ich den Crypto-Trojaner nicht vom Rechner runterbekomme. Ich habe desinfec't 2015 laufen lassen - dort wurde nur das Java-script gefunden. Ich habe die Kaspersky Rescue-Disk laufen lassen - dort wurde gar nichts gefunden. Ich habe Malwarebytes laufen lassen - hat auch nichts gefunden (die js-Datei war schon gelöscht).

Hat jemand noch eine gute Idee, wie ich die Kiste sauber bekommen kann? Oder hilft nur die komplette Neuinstallation?
Spyhunter habe ich versucht zu installieren und laufen zu lassen. Aber schon die Installation klappt nicht. Das Script bricht immer ab ;-(

Bitte beachten:

das Skript ist derzeit nur auf Laufwerk L eingestellt. Wer andere Laufwerke scannen und decrypten will, muss andere Laufwerksbuchstaben eintragen.
So wie hier z.B.:
FOR %%f IN ( C D E F G H I J K L M N O P Q R S T U V W X Y Z ) DO call :decode %%f

ABER ACHTUNG: selbst wenn die Entschlüsselung nicht klappt, LÖSCHT das Script alle verschlüsselten Dateien im Anschluss.

Hallo,

vorhin habe ich die Info bekommen, dass es jemandem mit den oben angehängten Dateien gelungen ist, die Dateien zu entschlüsseln.

Bitte darauf achten, dass die verschlüsselten Dateien auch dann gelöscht werden, wenn das Skript die Daten nicht entschlüsseln kann. Daher vielleicht ein Testlaufwerk anlegen, dort ein paar Dateien hinkopieren und nur dieses Laufwerk im Skript angeben (oder den Löschteil aus dem Skript rausnehmen). Wenn der test schief geht, sind nicht gleich auch noch die verschlüsselten Daten gelöscht. OK, falls es mit dem Entschlüsseln eh nicht klappt, ist es nicht ganz sooo schlimm - verschlüsselt ist dann quasi wie schon gelöscht.

Ahoi - riesel

Wegen der vielen Anfragen:

Bitte einen USB-Stick zum Testen einrichten. Dort ein paar verschlüsselte Datein hin kopieren und nur den Laufwerksbuchstaben in das decrypt.bat-Skript eintragen.
Damit kann man dann mal üben.
Bitte im Uncrypt.key die entsprechenden Daten anpassen - Computername, Benutzername, Datum.
Was ich noch nicht getestet habe und daher nicht weiß, ob gpg4win installiert sein muss. das war es zumindest auf dem Rechner, von dem aus ich die decrypt.bat habe laufen lassen.

Es gibt etwas Hoffnung, denn ich habe heute von einem netten Menschen die Info bekommen, dass er mit "meinem" Key seine Dateien entschlüsseln konnte.

Gruß - riesel
bitte das Skri

Geändert von riesel (14.12.2015 um 12:31 Uhr) Grund: Tippfehler

Alt 17.12.2015, 17:18   #5
riesel
 
ransomware .xrtn - decrypt klappt nicht - Standard

ein weiterer Key



hallo,

ich habe eben von einem weiteren Betroffen, der mich um Hilfe gebeten hat, einen Key erhalten.
In der angehängten Zip-Datei fehlt noch die iconv.dll - diese bitte über die erste Zip-Datei ergänzen oder selber runterladen bzw. gpg4win installieren.

Vielleicht hat ja jemand Glück und der Key passt?

ahoi - riesel

Achtung - auch dieses Skript löscht die Dateien nach dem erfolgreichen oder auch nicht erfolgreichen Entschlüsseln. Daher bitte mit Kopien auf einem USB-Laufwerk testen.

Angehängte Dateien
Dateityp: zip decrypt.zip (467,6 KB, 182x aufgerufen)

Antwort

Themen zu ransomware .xrtn - decrypt klappt nicht
.xrtn, bereinigt, board, einfacher, eintrag, entferne, erhalte, erhalten, erwischt, fehlen, fehlerhaft, google, hilft, hoffnung, infos, installiert, laufen, laufwerke, netzwerk, not, pause, tool, weiterhelfen, würde, zahlen, zwischen



Ähnliche Themen: ransomware .xrtn - decrypt klappt nicht


  1. Upgrade auf Windows 10 klappt nicht
    Alles rund um Windows - 06.12.2015 (17)
  2. Heimnetzgruppe einrichten klappt nicht
    Alles rund um Windows - 18.10.2014 (4)
  3. Windows 7 starte nicht mehr, Wiederherstellung klappt auch nicht!
    Log-Analyse und Auswertung - 31.07.2014 (5)
  4. decrypt instruction--kann einige dateien nicht mehr öffnen
    Plagegeister aller Art und deren Bekämpfung - 12.07.2014 (28)
  5. BKA-Virus| Booten klappt nicht
    Plagegeister aller Art und deren Bekämpfung - 12.09.2012 (1)
  6. Mail trojaner eingefangen. decrypt und avira ransom funktionieren nicht
    Plagegeister aller Art und deren Bekämpfung - 21.05.2012 (1)
  7. .exe-Dateien + Task-Manager öffnen nicht, Sys-Wiederherstellung klappt nicht
    Log-Analyse und Auswertung - 11.05.2011 (3)
  8. Virusbeseitigung mit Dr.Web klappt nicht?
    Plagegeister aller Art und deren Bekämpfung - 23.10.2010 (1)
  9. Antivir deinstallation klappt nicht
    Antiviren-, Firewall- und andere Schutzprogramme - 23.11.2009 (7)
  10. antivir-installation klappt nicht
    Antiviren-, Firewall- und andere Schutzprogramme - 10.08.2009 (4)
  11. XP neu installieren - boot von CD klappt nicht
    Alles rund um Windows - 10.11.2008 (1)
  12. LAN-Verbindung klappt nicht
    Netzwerk und Hardware - 29.02.2008 (5)
  13. se515 -> Anmeldung klappt nicht
    Antiviren-, Firewall- und andere Schutzprogramme - 16.07.2007 (8)
  14. ad.adserverplus entfernen klappt nicht
    Log-Analyse und Auswertung - 23.01.2007 (6)
  15. festplatte neu installieren klappt nicht
    Alles rund um Windows - 10.11.2005 (4)
  16. formatierung von festplatte klappt nicht
    Alles rund um Windows - 21.09.2005 (3)

Zum Thema ransomware .xrtn - decrypt klappt nicht - Hallo, ja, ich wurde erwischt und ja, ich habe Backups. Win 7, Netzwerk, viele Laufwerke, noch viel mehr Dateien. Trotzdem, weil es viel einfacher ist, da inzwischen weiter gearbeitet wurde, - ransomware .xrtn - decrypt klappt nicht...
Archiv
Du betrachtest: ransomware .xrtn - decrypt klappt nicht auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.