Hallo,

wir haben das exakt gleiche Problem wie Riesel hier gepostet hat:

*************************************************************************************************************************************************

Hallo,

ja, ich wurde erwischt und ja, ich habe Backups.
Win 7, Netzwerk, viele Laufwerke, noch viel mehr Dateien.
Trotzdem, weil es viel einfacher ist, da inzwischen weiter gearbeitet wurde, habe ich das Lösegeld bezahlt. Es ist ein ganz aktueller Ransomware-Fall, denn ich habe auser einem Eintrag hier im Board nix googlen können. Die Dateien wurden alle mit .xrtn umbenannt.

Ich habe inzwischen den decrypter erhalten, aber der entschlüsselt die Dateien nicht bzw. nur einige. Daher gehe ich mal davon aus, dass die Batch-Datei fehlerhaft ist. Zuerst hat er die inconv.dll vermisst. Die habe ich dann erhalten, in dem ich gpg4win installiert habe.

Nun habe ich die Hoffnung, dass mir hier jemand weiterhelfen kann.

Ich habe den betroffenen PC noch nicht bereinigt, d.h. ich habe noch kein einziges Tool laufen lassen, um das Verschlüsselsungstool zu entfernen.

Hier ist nun das decrypt-script:
@ECHO OFF
attrib -s -h -r UNCRYPT.KEY
if not exist UNCRYPT.KEY (echo UNCRYPT.KEY NOT EXIST - press any key&pause&goto eof)
gpg.exe --import UNCRYPT.KEY

FOR %%f IN ( C D E F G H I J K L M N O P Q R S T U V W X Y Z ) DO call :decode %%f
goto eof
:decode
dir /B "%1:\"&& for /r "%1:\" %%i in (*.vault) do (
RENAME "%%~fi" "%%~ni.gpg" & gpg.exe --batch --no-verbose -q --decrypt-files "%%~pi%%~ni.gpg" & del /f /q "%%~pi%%~ni.gpg"
)

dir /B "%1:\"&& for /r "%1:\" %%i in (*.gpg) do (
gpg.exe --batch --no-verbose -q --decrypt-files "%%~fi" & del /f /q "%%~fi"
)

:eof
ECHO.
ECHO FINISHED!

Wenn noch Infos fehlen, liefere ich gerne.
Da ich schon den Erpresser bezahlt habe, würde ich auch demjenigen etwas zahlen, der mir hilft, die Dateien zu entschlüsseln.

Danke und Gruß - riesel

So, ich habe selbst die Lösung gefunden.
Das Skript findet die .xrtn-Dateien nicht.
Wenn ich den Dateien die Endung .gpg verpasse, dann werden sie entschlüsselt.
Und wenn ich .vault im Skript in .xrtn umbenenne, dann brauche ich noch nicht mal das Umbenennen.
Für mich ist das Thema gelöst.

****************************************************************************************************************************************************** *************


Kann mir hierzu jemand weiterhelfen?

Wenn du schon alles komplett zitierst, dann mach es auch richtig und verwende die QUOTE-Tags für Zitate. Sonst kann niemand genau sehen, welcher Text von dir ist und welcher Text in deinem Beitrag in Zitat sein soll!

Du hast noch Zeit dein Eingangsposting zu editieren, mach es bitte.

Hoffe es passt so!

Ich hoffe sehr, dass mir hier jemand weiterhelfen kann - insbesondere Riesel, da er das gleiche Problem gerade gelöst hat!

Danke euch im Voraus!

Was genau ist jetzt das "gleiche Problem"?

Du hast verschlüsselte Dateien und kannst sie nicht entschlüsseln...

a) weil du nicht weißt wie?
b) weil du den private key der Erpresser nicht hast?
c) du eine Fehlermeldung bekommst?

Es wäre echt schön wenn du mal mehr schreiben könntest anstatt die anderen alles erfragen zu lassen...

Danke für die Antwort!

Bin mit diesem Thema leider nicht so firm wie ich es scheinbar sein sollte!

Wir haben uns einen Trojaner DS eingefangen.

Der Trojaner hat Dateien verschlüsselt und mit einer *.xrtn Endung stehenlassen.

Ich habe eine Textdatei in der ich mich an eine E-Mailadresse wenden soll. Habe ich gemacht und diese Antwort erhalten:

*******
Hi
1) Send us please one file "xrtn.key" (it is located on your computer)
2) Pay 1.3 bitcoin ~ 400 usd address "15Jevdz95GVSxEHPnpghmjxptv3S8MQSyc" (bitcoin can buy bitcoin.de )
3) After payment we will send to your e-mail decryptor
********

Jetzt suche ich eine Möglichkeit, wie ich wieder an meine Daten komme.

Auf meiner Suche im Web nach diesem Thema bin ich auf den Thread hier gestossen und habe mich deshalb angemeldet. In der Hoffnung, dass man mir hier helfen kann...

Zitat:

Habe ich gemacht und diese Antwort erhalten:

Und du verstehst du Instruktionen nicht, weil???

a) du kein englisch kannst
b) ist so?

Oder weswegen?

Klar ist, du musst den Erpressern Geld zukommen lassen. Die nehmen aber kein "echtes" Geld sondern wollen bitcoins haben.