Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Diskussionsforum (https://www.trojaner-board.de/diskussionsforum/)
-   -   Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) (https://www.trojaner-board.de/114115-wiederherstellung-verschluesselten-dateien-rechnung-exe-realtecdriver-exe-schadsoftware.html)

matkuni 27.04.2012 10:09

Zitat:

Zitat von Qinjify (Beitrag 820534)
Schadensbeseitigung klappt auch wunderbar mit KRD 10.

Wenn schon der Schöpfer hier ist, sag doch mal Bescheid, wann es v0.4 gibt in der ich sagen kann "Netzlaufwerk Y: bereinigen" ? :bussi:

Netzlaufwerke sieht man nicht im Auswahldialog, oder?
"When it's done." ;)

Zitat:

Zitat von Tarja (Beitrag 820535)
Also ich habe alles Schritt für Schritt gemacht, Java runtergeladen etc. Einmal hatte ich Java 6 einmal Java 7 gut okay konnte die Dateien von dem decrypthelper kurz öffnen. Dann stand da irgenwo ich finde es leider nicht mehr "nur aktuelle Versionen" gut ich hab also Java 6 gelöscht, neugestartet und jetzt krieg ich das nicht mehr geöffnet. Ehrlich gesagt ist mir das alles ein wenig zu hoch. Alle Virenprogramme (Ccleaner, Avira DE-Cleaner, Malwarebytes) hab ich laufen lassen. Jetzt bin ich allerdings völlig aufgelaufen. Hab Windows 7.

Bitte auch hier die vollständige Fehlermeldung (einschließlich Fenstertitel und alles was noch so passen könnte). Oder am besten direkt ein Screenshot!

Padde211 27.04.2012 10:14

Matthias Kunig = HERO!!!!!!

ich bin überglücklich....der Mann hat mir 6 Wochen Arbeit wiederhergestellt!

VIIIIELEN DANK!!!!!!

Veqeta 27.04.2012 10:23

Zitat:

Zitat von iwsmueller (Beitrag 820527)
wie komme ich im abgesucherten modus an Decrypter.jar (Javadatei)
oder in einfachen ausdrücken und schritten wie bekomme ich den decrypter drauf der vegeta hats mir netterweise versucht zu erklären aber ich bin da etwas hintendran-mit bitte um verständnis- oder wie bekomme ich diesen trojaner weg der locked etc mit dem 50,.euro zaheln produziert hat? ich habe otlpe installiert und eine otl.txt erzeugt aber jetzt hänge ich

Der Thread hier beschäftigt sich grad eig. nur mit dem Wiederherstellen der Korrumpirten Dateien.

Um den Virus zu entfernen sind wir so vorgegangen:

-> Entfernen des BKA-Virus
hxxp://www.redirect301.de/bundespolizei-trojaner-entfernen.html

-> Da wir aber nichts gefunden haben vermutlich, da der Virenscanner schon zugeschlagen hatte. Haben wir ein Recovery durchgeführt.

->Auch wieder Kommandozeile booten im Abgesicherten Modus und %systemroot%\system32\restore\rstrui.exe

->Anschliesend nochmal Virescanner laufen lassen.

Solltest du nicht weiterkommen, mache bitte in der entsprechenden Rubrik einen neuen Thread auf und schreib mir ne PN.

EDIT 1 -> Matkuni hat ein paar Beiträge vorher auch noch etwas zur Virenbeseitigung gesagt schau dir das auch mal noch an.

EDIT 2 -> Achja mir ist eben aufgefallen ^^.... ganz am anfang des Threads steht auch noch was dazu :D (Also oben in Hinweise)

Gibbemo 27.04.2012 10:37

Hallo,

habe auch das Problem mit dem netten Verschlüsselungstrojaner. Leider komme ich mit dem Decrypter nicht zurecht. Auf dem PC selbst sind viele Dateien in unterschiedlichen Ordnern verschlüsselt. Zur Zeit scheitere ich schon daran einen Schlüssel zu erstellen oder zu laden.

Kann hier nochmal eine kurz erklären wie man das Tool Schritt für Schritt nutzt um zum Erfolg zu kommen?

Danke Gibbemo

iwsmueller 27.04.2012 10:39

ebenfalls hängts bei mir mit dem decrypter den ich zum lafen bringe bis er zeigt wrongkey

bernds 27.04.2012 10:44

funktioniert einwandfrei - ein ganz großes Lob den fleissigen Programmierern

Nowotny 27.04.2012 10:53

Funktioniert wunderbar!
Jetzt noch die Funktion mit Unterordnern rein und man muss sich nicht durch 200 Ordner klicken :applaus::applaus::applaus:


Danke!!

iwsmueller 27.04.2012 10:54

8kannst du mir das einmalganz einfach beschrieben blick nicht mehr durch
Zitat:

Zitat von Veqeta (Beitrag 820513)
@iwsmueller
Man nehme Folgende Zutaten:
1 - Decrypter.jar (Javadatei)
1 - Korumpierte Datei
1 - Original Datei
und erzeuge daraus einen köstlichen Schlüssel
Anschließend klicke man auf den Button "Schlüssel laden" und nehme den gerade erzeugten Schlüssel und lade ihn in das Programm. Daraufhin dann auf den letzten Button "Ordner wiederherstellen" und wähle den zu wiederherstellenden Ordner aus. Rappelzappel dauerts ne Weile und du hast deine Daten wieder.


Qinjify 27.04.2012 10:58

Zitat:

Zitat von Nowotny (Beitrag 820555)
Funktioniert wunderbar!
Jetzt noch die Funktion mit Unterordnern rein und man muss sich nicht durch 200 Ordner klicken :applaus::applaus::applaus:


Danke!!

:applaus::applaus:

mayday3011 27.04.2012 11:04

Zitat:

Zitat von Nowotny (Beitrag 820555)
Funktioniert wunderbar!
Jetzt noch die Funktion mit Unterordnern rein und man muss sich nicht durch 200 Ordner klicken :applaus::applaus::applaus:


Danke!!

Seht es mal von der Seite: Die meisten von uns werden nach Stunden bezahlt.
ERGO -> Mehr Ordner -> mehr Zeit -> mehr Geld

Ich finde es fantastisch, dass in so kurzer Zeit schon so ein Tool da ist.
Nochmals Kompliment an den Entwickler :singsing:

Dr.3rendel 27.04.2012 11:07

Kann mir jemand sagen, wie ich an die originalen Beispielbilder von Windows XP zum vergleich komme? Ich finde die auf der original CD einfach nicht. Kann sie mir jemand hochladen? Danke schonmal im Vorraus....

Gruß Dr.3rendel

Hellweed 27.04.2012 11:12

Zuersteinmal :dankeschoen: für das Tool, es funktioniert wunderbar.

Hatte was ähnliches versucht (defekte Files umbenennen, löschen, datei mit defekten Files mit Pfad ausgeben, dann Dateien der Liste vom Server in entsprechenden Pfad kopieren). Problem ist, dass es abstürzt, wenn ich mehr als ca. 30 Ordner rekursiv auslese :killpc:

Ich glaub mein Code ist einfach Kot...

Um so mehr Danke für das Tool!

iwsmueller 27.04.2012 11:12

ich habe jetzt die maske zum schlüssel erzeugen- soll es eine jpg oder anders format sein ? kannst du mir 2 dateien die beschädigte datei ist diese mit "locked" davor richtig-
Zitat:

Zitat von iwsmueller (Beitrag 820556)
8kannst du mir das einmalganz einfach beschrieben blick nicht mehr durch


Qinjify 27.04.2012 11:13

Zitat:

Zitat von Hellweed (Beitrag 820570)
Zuersteinmal :dankeschoen: für das Tool, es funktioniert wunderbar.

Hatte was ähnliches versucht (defekte Files umbenennen, löschen, datei mit defekten Files mit Pfad ausgeben, dann Dateien der Liste vom Server in entsprechenden Pfad kopieren). Problem ist, dass es abstürzt, wenn ich mehr als ca. 30 Ordner rekursiv auslese :killpc:

Ich glaub mein Code ist einfach Kot...

Um so mehr Danke für das Tool!


Magst du den mal posten?

Veqeta 27.04.2012 11:14

Zitat:

Zitat von iwsmueller (Beitrag 820556)
8kannst du mir das einmalganz einfach beschrieben blick nicht mehr durch

Also du installierst JAVA wenn nicht vorhanden auf deinenn Rechner, wo du das herbekommst, gehe ich von aus.
Dann Decypter.jar -> Öffnen mit -> und wählst dabei die java.exe im Verzeichnis C:\Programme (normal oder x86)\Java\jre6\bin\java.exe aus.
Dann sollte das Programm ordnungsgemäß starten.
Anschliesend gehst du auf den ersten Button "Schlüssel erzeugen" darauf fragt das Programm dich nach der Kaputten (locked) - Datei. Diese gibst du ihm damit.
Als nächsten fragt er dich nach der Originalen Datei. Wieder geben und Schlüsselspeicherort wählen. Schlüssel wurde gespeichert Hurra ! :)

Dann gehst du auf Schlüssel laden und lädst den Schlüssel in das Programm.
Als nächsten eben je nachdem was du tun willst eine einzelne Datei entschlüsseln oder einen Kompletten Ordner.
Die Dateien werden neu erzeugt ! Die Kaputten bleiben erhalten.

Sollte es dann immernoch nicht funktionieren schreib matuki mal dein genaues Vorgehen was du tust und was für ein Fehler und und und
Wichtig dabei ist, dass es Detailiert beschrieben ist. !

Hellweed 27.04.2012 11:19

Zitat:

Zitat von iwsmueller (Beitrag 820571)
ich habe jetzt die maske zum schlüssel erzeugen- soll es eine jpg oder anders format sein ?

1. JRE installieren (wer es noch nicht hat)

2. DecryptHelper 0.3 öffnen
"Schlüssen erzeugen"
-> defektes File angeben (locked-beispiel.txt.abcd)
-> ganzes File aus einer Sicherung angeben (beispiel.txt)

Es wird dort nach den Unterschieden gesucht, der Unterschied ist das, was der Schädling reingeschrieben hat. Anhand dessen kann nun

3. ein Speicherort für den Schlüssel gewählt werden.

Nun hat man die Wahl einzelne Dateien oder ganze Ordner zu entschlüsseln.

Hat man das Programm beendet, kann man mit "Schlüssel laden" einen bereits erstellten Schlüssel einlesen.

Edit: Wurde der Schlüssel erstellt, muss er nicht erst eingelesen werden. Das muss nur gemacht werden, wenn man das Programm zwischendurch beendet.

franzisven 27.04.2012 11:26

programm geht vielen dank an den programmierer

markusg 27.04.2012 11:28

hi
aber nicht einfach nur entschlüsseln, das teil hat backdoor funktionalität und kann malware nachladen, daher ist eine weiterführene untersuchung nötig.

Mihaas0815 27.04.2012 11:28

Decrypter funktioniert sehr gut auch bei avi vob mov usw dauert eben dementsprechen lange aber das sind die urlaubsvideos wert finde ich klasse gemacht einmal schlüssel erzeugt und alles kommt wieder zurück.

Ein Fettes DANKE ist da Fällig:abklatsch:

irm 27.04.2012 11:35

Ich hänge mich an Nowotny dran:
Suuuper - jetzt habe ich wenigstens was zu tun, wenn meine Frau Tatort schaut ;-).
und ich arbeite liebend gerne meine Bildordner einzeln durch, da weis ich wenigstens gleich, wenn mal was nicht funktioniert.
Unglaublich, was hier geleistet wurde.
Spannend wird noch, ob ich mein Backup-Laufwerk auch entschlüsseln kann - Danke!

mtx430 27.04.2012 11:43

TOOOOOP!!! Vielen Dank! :)))

Hellweed 27.04.2012 11:44

Zitat:

Zitat von Qinjify (Beitrag 820574)
Magst du den mal posten?

Also nicht lachen, das sind die ersten Gehversuche in Java seit Jahren:

In der Funktion "folder" wird geprüft, ob das was ich eingelesen habe auch Dateien sind, wenn es eine Datei ist, wird sie an infected weitergegeben und ruft sich selbst wieder auf um in dieser Datei nach dem Unterordner zu suchen:
Code:

private void folder(File f)
  {
    File[] fileArray = f.listFiles();
   
    for (int i= 0;i<fileArray.length;i++ ) {
      if ( fileArray[i].isDirectory() ) {
        infected(fileArray[i]);
        folder(fileArray[i]);
      } // end of if-else
    } // end of for
  }


In "infected" wird (und da liegt wahrscheinlich auch der Hund begraben) einfach der String "locked-" entfernt. Wenn etwas entfernt wurde (der String also kürzer ist) wird auch alles nach dem letzten "\\." entfernt
newName wird dann an eine Funktion übergeben, die es als Stream an eine Datei anhängt.
Code:

private void infected(File f)
  {
    String value = "locked-";
   
    File[] fileArray = f.listFiles();
   
    for (int i=0; i<fileArray.length; i++ ) {
     
      String name = fileArray[i].getPath();
     
      String tempName1 = name.replaceFirst( value,"");
      if (name.length()>tempName1.length()) {
        String[] splitName = tempName1.split("\\.");
        String newName = "";
        for ( int inc=0; inc<splitName.length-1; inc++ ) { //Inkrement hört beim vorletzten auf, da wir den letzten Teil nicht haben wollen.
          if ( splitName.length > inc+2 ) {
            newName += splitName[inc] + ".";
          } else {
            newName += splitName[inc];
          } // end of if-else
        } // end of for
       
        System.out.println(newName);
        write(newName, saveTo);
      }// end of if-else
      } // end of for
   
  }

Das ganze funktioniert an sich so wie es soll:
Ganze Dateien werden nicht angefasst, kaputten wird der Name geändert.
Ins File werden nur die kaputten (bzw. reparierten) Dateinamen eingetragen.
Funktioniert wunderbar bis man eben zu viele Unterordner hat.

Gege65 27.04.2012 11:46

vielen Dank an Matthias Kunig !!
Funktioniert bei uns einwandfrei !
Leute wie Mathias braucht das Land ! :)

vg
Gerd

irm 27.04.2012 11:48

Hi das mit der Backdoor-Funktion ist mir schon klar.
Nun hat das Teil bei mir jede Menge Zeit wieder Schaden anzurichten bevor ich ihm wirklich den garaus machen kann. Was hilft?
Hab mal ausgerechnet, dass ich bei der Datenmenge (Bilder, *.psd, tif, crw usw) bis morgen zum Frühstück zu tun habe, ohne das Backup-Laufwerk.
Soll ich zwischendrin aufhören und das Malware-Programm drüberlaufen lassen?

matkuni 27.04.2012 11:56

Diese Version arbeitet jetzt den auswählten Ordner rekursiv ab!
(+ kleine Aufräumarbeiten in 0.3.1)

Habe es mit 3 Ebenen mit jeweils 2 verschlüsselten Dateien erfolgreich getestet.
Wenn es auch bei euch funktioniert, ersetze ich den allgemeinen Link auf die Decrypt.jar durch diese Version.

Auf der TODO-Liste:
1. Logdatei & Fortschrittsanzeige
2. Netzwerklaufwerke
3a. Performance steigern, in dem die Datei nicht neu geschrieben wird, sondern nur die ersten 4 KB ersetzt werden (bisher bewusst vermieden; gefährlich ohne Sicherung der verschlüsselten Dateien)
3b. Die ersten 4 KB von typischen Windows-Medien (z. B. Beispielbilder) mitliefern, prüfen ob eine der Dateien auf dem betroffenen System verschlüsselt wurde und dann den Schlüssel automatisch generieren, ohne dass der Benutzer selber ein Pärchen finden/angeben muss

Download: DecryptHelper 0.3.2

Auf eigene Gefahr! Vorher (auch die verschlüsselten) Dateien sichern!
Die verschlüsselten Dateien nicht löschen, auch wenn die Entschlüsselung auf den ersten Blick erfolgreich war![/QUOTE]

Qinjify 27.04.2012 11:59

Jajajaja, wird sofort einem Belastungstest unterzogen! :)

Derben 27.04.2012 12:00

Der decrypter schneidet mir bei .xls, .docx einen Teil vom File- Header ab:

http://dl.dropbox.com/u/26766620/kram.png

Meine Keyfile:

hxxp://dl.dropbox.com/u/26766620/decrypt.key

.jpg und .rar/.zip, die im selben Durchlauf berechnet wurden, funktionieren bisher komplett.


EDIT: gut, überschnitten mit der neuen Version, melde mich nach neuem Testlauf :)

fmeier 27.04.2012 12:01

Super! Bei mir funktioniert es!
Dank! Dem Meister

matkuni 27.04.2012 12:05

Zitat:

Zitat von Derben (Beitrag 820604)
Der decrypter schneidet mir bei .xls, .docx einen Teil vom File- Header ab:

... schnipp ...

Meine Keyfile:

hxxp://dl.dropbox.com/u/26766620/decrypt.key

.jpg und .rar/.zip, die im selben Durchlauf berechnet wurden, funktionieren bisher komplett.

Welchen Zustand der Datei sehe ich rechts/links?
Ist die wiederhergestellte Datei aufs Byte genau gleich groß zu der verschlüsselten Version?

Bosnigel 27.04.2012 12:07

@matkuni

Kann man den gleichen Schlüssel nutzen?
Übrigens kann ich mit der vorherigen Version (0.3) Prima mein NAS decrypten.
Beide Patienten (PC und NAS) an einen Switch und ran an die Buletten.

Qinjify 27.04.2012 12:08

Gibt es eine Möglichkeit, Java mit mehr als einem CPU Kern arbeiten zu lassen? So sitz ich noch bis Ostern hier. (Ja, Ostern.)

matkuni 27.04.2012 12:10

Zitat:

Zitat von Bosnigel (Beitrag 820610)
@matkuni

Kann man den gleichen Schlüssel nutzen?
Übrigens kann ich mit der vorherigen Version (0.3) Prima mein NAS decrypten.
Beide Patienten (PC und NAS) an einen Switch und ran an die Buletten.

Ja, Schlüssel bleibt gleich! Es wurde nur der Quelltext aufgeräumt und das rekursive Durchlaufen der Verzeichnisstruktur ergänzt.

Bosnigel 27.04.2012 12:11

Zitat:

Zitat von matkuni (Beitrag 820612)
Ja, Schlüssel bleibt gleich! Es wurde nur der Quelltext aufgeräumt und das rekursive Durchlaufen der Verzeichnisstruktur ergänzt.

Super! Danke für die prompte Antwort.

Derben 27.04.2012 12:11

Zitat:

Zitat von matkuni (Beitrag 820607)
Welchen Zustand der Datei sehe ich rechts/links?
Ist die wiederhergestellte Datei aufs Byte genau gleich groß zu der verschlüsselten Version?

Oh, Verzeihung, Links das Original aus einem Backup.

Original: 143.872 byte
Rekonstruktion: 143.872

Größe passt also noch

Benutzt du irgendwelche unicode- Funktionen oder andere, die
die Regionseinstellungen in Betracht ziehen? Habe Win7 Region auf
japanisch.

markusg 27.04.2012 12:12

@irm
das diese backdoor funktionalität aufmerksamen lesern bewusst ist, ist klar.
ich schrieb das nur für die leute, die hier einen post ala, super, es hat geklappt, machen, und ihren pc dann nicht mehr weiter untersuchen lassen.
da diese malware nun einmal eine vollwertige schadsoftware, nicht wie das sonstige ransom ware gedöns ist, was wir so haben, muss das zwischendurch noch mal erwähnt werden :-)

matkuni 27.04.2012 12:17

Zitat:

Zitat von Qinjify (Beitrag 820611)
Gibt es eine Möglichkeit, Java mit mehr als einem CPU Kern arbeiten zu lassen? So sitz ich noch bis Ostern hier. (Ja, Ostern.)

Kommt auf die Liste, benötigt aber Änderungen am Sourcecode.
Alternativ schaue ich mich mal nach weiteren Optimierungen um.

Falls hier jemand mitliest, der Ahnung vom Java-Datei-Handling hat, kann er mir gerne beim Optimieren der Entschlüsselungsroutine unter die Arme greifen!

Code:

private void decrypt(byte[] key, File encrypted, File original)
        throws IOException
{
        InputStream inputStream = new BufferedInputStream(new FileInputStream(encrypted));
        OutputStream outputStream = new BufferedOutputStream(new FileOutputStream(original));

        int pos = 0;
        while(inputStream.available() > 0)
        {
                if(pos < key.length)
                {
                        outputStream.write(inputStream.read() ^ key[pos++]);
                }
                else
                {
                        outputStream.write(inputStream.read());
                }
        }

        inputStream.close();
        outputStream.flush();
        outputStream.close();
}

Hier gibt es definitiv Optimierungspotential.
Ziel war es erstmal nur eine Version fertig zu stellen, die einzelne, wichtige Dateien wiederherstellen kann ohne die verschlüsselte Version zu überschreiben!

snoweagle 27.04.2012 12:22

Hi zusammen ich finde das alles echt toll wie das alle hinbekomme aber ich verstehe echt nur bahnhof
kann mir jemand bitte helfen

Qinjify 27.04.2012 12:25

Nur mal als Zwischeninfo von mir.
v3.2 läuft gerade über einen Ordner 5,04GB - 640 Dateien, 131 Ordner.
Seit 25 Minuten.
Er hat bisher ca. 200 Dateien geschafft, was in diesem Fall ziemlich genau 0,5GB entspricht.

Bosnigel 27.04.2012 12:26

Zitat:

Zitat von snoweagle (Beitrag 820618)
Hi zusammen ich finde das alles echt toll wie das alle hinbekomme aber ich verstehe echt nur bahnhof
kann mir jemand bitte helfen

Wo hakt es denn?
Erst einmal muß der Schädling runter vom Rechner.

iwsmueller 27.04.2012 12:44

also ich habe die entschlüsselung laufen und funktioniert auf eiem 2. rechenr, die dateien per stick rüber und zurück, mein problem ich habe die oldtimersoftware ohne diese geht er nicht hoch, kann nur von der cd arbeiten habe aber olt.txt und extra.txt nach dem scan erhalten.ich kann auch nichts über den expleorer öffen also kein programm da windows blockiert ist.
Zitat:

Zitat von matkuni (Beitrag 820532)
Oh, hier steht ja doch mehr. Hatte vorhin nur die Seite 7 durchgelesen und nicht gesehen, dass es ja noch weiter geht ;)



Erst muss die Schadsoftware bereinigt werden. Dazu bitte das übliche Verfahren im Log-Analyse und Auswertung-Bereich! (es müssen eigentlich nur 2 EXE-Dateien identifiziert und gelöscht werden)
Danach startet Windows wieder ohne Probleme und du kannst dich an die Wiederherstellung machen.



Ist die Oberfläche eingefroren oder kam nur keine Bestätigung?
Ich gehe eher davon aus, dass das Programm noch nicht durchgelaufen ist.
Performance ist noch verbesserungswürdig und eine Fortschrittsbalken fehlt.



Da wirst du leider keine Möglichkeit finden.
Nach kleinen Aufräumarbeiten wird es aber die nächste Funktion sein, die ich ergänze.



Steht da echt "wrong key"? Meine Fehlermeldungen sind deutsch.
Bitte die vollständige Meldung posten oder besser noch einen Screenshot anfügen.

Sieht aber eher nach einem Programm der Java-Installation aus.


markusg 27.04.2012 12:49

naja, erst mal müssen wir deinen pc bereinigen dann kannst du im normalen windows betrieb die files entschlüsseln.
da hier aber nun mal einiges zu tun ist, sollte man schon geduld mit bringen

Springer65 27.04.2012 12:50

Hallo,
hat jemand schon ein allgemeines programm zur Entschlüsslung....wäre SUPER!!!
springer65

Gege65 27.04.2012 12:50

hab gerade die 0.3.2 angeworfen ..
(NAS) läuft aber ganau so wie die Version davor ? ..
erstellt neue Datei nach und nach .. hmm bei 40 MB brauch er bei mir schon fast 10 min ?
(war ein Programm.rar)
oder sollte ich die Files erst rüber holen ? weil ich da auch ein setup ordner hab und da ist ein 300 MB cab drinnen :)

markusg 27.04.2012 12:51

@Springer gehe auf seite 7 da gibts eines.
aber beachte, mache ein backup der verschlüsselten dateien, bei solchen aktionen kann auch evtl was schief gehen.

Gege65 27.04.2012 12:58

wer win Vista oder 7 hat kann auch evtl Schattenkopiewiederherstellung nutzen ..
(hatte bei uns auch geklappt .. nur eben nicht auf NAS :) )
also .. dazu wenn Fuktion im System auch aktiv..
Datei wieder in Orginalnamen umbenennen und dann Eigenschaften Vorgängerversion ..
naja und wieder herstellen .. wenn gefunden :)

ist eben nur für viele Dateien sehr aufendig ^^

matkuni 27.04.2012 13:01

Zitat:

Zitat von Gege65 (Beitrag 820633)
hab gerade die 0.3.2 angeworfen ..
(NAS) läuft aber ganau so wie die Version davor ? ..
erstellt neue Datei nach und nach .. hmm bei 40 MB brauch er bei mir schon fast 10 min ?
(war ein Programm.rar)
oder sollte ich die Files erst rüber holen ? weil ich da auch ein setup ordner hab und da ist ein 300 MB cab drinnen :)

Am besten ausprobieren, sollte schon etwas bringen.
Ich empfehle zur Sicherheit sowieso nur mit Kopien der verschlüsselten Dateien zu arbeiten.

Der Knackpunkt liegt in der Entschlüsselungsroutine, die ich in Beitrag #136 veröffentlicht habe. Hier kann sicher noch verdammt viel optimiert werden.
Habe leider kaum Erfahrungswerte beim Datei-Handling mit Java und freue mich deshalb auf Optimierungsvorschläge!

iwsmueller 27.04.2012 13:07

also fakt ist eins das dananch der 50er schein bei euch landet da die zeckentrojaner dies abverlangten- 2. kann ich nicht per paypal aus dem jetzigen rechner zahlen da er error etc. anzeigt .
3. was mach ich jetzt und wie ?
gruss günni
Zitat:

Zitat von markusg (Beitrag 820631)
naja, erst mal müssen wir deinen pc bereinigen dann kannst du im normalen windows betrieb die files entschlüsseln.
da hier aber nun mal einiges zu tun ist, sollte man schon geduld mit bringen


Qinjify 27.04.2012 13:09

Also erstmal machst du folgendes: Kein Geld überweisen.

Meine Line war die Kaspersky Rescue Disk. Damit lies sich der ursprüngliche Trojaner entfernen.
Danach kannst du mit dem hier angebotenen Tool deine Dateien wieder entschlüsseln.

kowal69 27.04.2012 13:09

Hallo Ihr Macher !!

Ein herzliches Dankeschön an Euch, besonders an matkuni !!!!!!!!!
Ihr seid einfach genial !

Danke, danke, danke !!!!

iwsmueller 27.04.2012 13:12

VIELEN DANK ZUNÄCHST FRAGE. wie komme ich an die disk ? ich kann ja keine erstellen
Zitat:

Zitat von Qinjify (Beitrag 820651)
Also erstmal machst du folgendes: Kein Geld überweisen.

Meine Line war die Kaspersky Rescue Disk. Damit lies sich der ursprüngliche Trojaner entfernen.
Danach kannst du mit dem hier angebotenen Tool deine Dateien wieder entschlüsseln.


Qinjify 27.04.2012 13:13

Von einem nicht-verseuchten Rechner. Ein paar Grundvoraussetzungen müssen schon gegeben sein. :)

markusg 27.04.2012 13:16

@kowal
eröffne ein neues thema, damit wir deinen pc auf weitere schadsoftware untersuchen können.
diese malware hier hat backdoor funktionalität und kann weitere malware instalieren.

iwsmueller 27.04.2012 13:16

nichtverseuchte habe ich 3 rechner
Zitat:

Zitat von Qinjify (Beitrag 820659)
Von einem nicht-verseuchten Rechner. Ein paar Grundvoraussetzungen müssen schon gegeben sein. :)


Benzer1406 27.04.2012 13:16

Hallo,

mich hat es auch erwischt gehabt.

VIELEN DANK MATTKUNI für dein Tool. Es ist Wahnsinn wenn man solche Leute in der Community hat.

Würde dir gerne etwas Geld spenden per Paypal. Und ich finde das könnten noch mehr tun, denn jeder weiß wie viel Arbeit und Geld es gekostet hätte wenn alle Dateien verloren gewesen wären.

Version 0.3.2 ist schon super, vielleicht schaffst du es ja noch, dass das Tool nur die ersten 4 Bytes verändert und auch die alten "locked" Dateien sofort gelöscht werden.

Grüße
Benzer

Qinjify 27.04.2012 13:21

Zitat:

Zitat von iwsmueller (Beitrag 820662)
nichtverseuchte habe ich 3 rechner

Folgendes habe ich gemacht:
Kaspersky Rescue Disk 10 gegooglet und heruntergeladen. Das ist eine Imagedatei, die du auf eine CD brennen kannst. Von dieser CD bootest du dann den befallenen PC. Es erscheint ein abgespecktes Betriebssystem von dem aus du Kaspersky starten kannst. Dort lädst du dir über das Kaspersky die aktuelle Virensignaturdatenbank und führst den Virenscan inkl. Säuberung durch.
Bitte bedenke, dass kein Experte ein System, das einmal befallen war, nie mehr als 100% sauber bezeichnen würde. Bei so etwas hilft nur eine Neuinstallation. Nachdem Kaspersky fertig ist, solltest du den PC aber wieder nutzen können. Dann kannst du mit dem hier angebotenen Tool deine Dateien wieder nutzbar machen. Anleitungen dafür gibt es hier genug, bitte dafür den Thread lesen.

ComputerMädl 27.04.2012 13:22

Hallo Trojaner-Board-Gurus!

Ich musste mich jetzt direkt hier registrieren, um auch meinen Senf dazu geben zu können :)

Vielen, vielen dank für das nette Proggi, besonders an matkuni! Spitze was da in so kurzer Zeit auf die Beine gestellt wurde!

Gestern noch verzweifelt nach einer Lösung gesucht um Kunden vor dem Nervenzusammenbruch zu bewahren (Sicherung? Was ist das?!) und heute schon so einen nettes Tool bekommen! Schneller geht es wirklich nicht.

Für später (wenn dieser ganze Wahnsinn wieder etwas nachgelassen hat!) habe ich noch eine Anregung für den professionellen Einsatz:
Eine Anzeige des momentanen Pfades bzw. Dateinamen der gerade entschlüsselt wird wäre nett um zu sehen, dass das Programm was tut.

Aber so ist das, kaum hat man der Meute geholfen, hat sie schon wieder was zu meckern :)

MfG, das dankbare ComputerMädl

markusg 27.04.2012 13:29

@Benzer nicht die verschlüsselten dateien löschen, dass soll ja grad nicht passieren, bis raus ist, dass sie wirklich funktionieren

Benzer1406 27.04.2012 13:37

Na ja, aber bei mir funktioniert das decrypten einwandfrei. Das Einzige was ich noch tun muss ist eben von Hand die "locked" Dateien noch löschen.

Gibt es da vielleicht einen Trick? So eine Art Funktion wie in Word "Suchen und Ersetzen", wenn ich sage, dass alle Dateien mit dem Wort "locked" in dem und in den Unterordnern gelöscht werden sollen?

Qinjify 27.04.2012 13:38

Suche über die Windows Suche folgendes Stichwort:

locked-*


Rödeln lassen, alles markieren, entfernen.
Aber bedenke auch zum drölften Mal: Ggf. sind noch Fehler drin, die du jetzt noch nicht siehst. Also: Sicherheitskopie.

ComputerMädl 27.04.2012 13:39

@benzer

Du kannst sie doch zum Beispiel alle von der Windows-Suche suchen lassen (mit "locked-*") und dann im Suchfenster löschen. Oder bin ich da aufm Holzweg?

Edit: Ups, Qinjify war schneller :)

Benzer1406 27.04.2012 13:45

Ja, ihr habt Recht. Danke, hätte ich eigentlich auch selbst drauf kommen können.

@Qinjify Meinst du wirklich, dass noch Fehler da sein können? Ich habe gerade einige Bilder dekryptet (120 am Stück), es lief am Stück durch. Habe die Bilder alle einmal durchgeschaut und es war einwandfrei.

1.Weiß man denn ob es funktioniert wenn ich die komplette Partition C decrypten lasse? Stürzt der Decrypter dann ab?

2.Noch ne andere Frage: Weiß man welche Ordner betroffen sind? Ich glaube es ist nur der Ordner "User" oder eben "Benutzer" betroffen oder? C:/Programme zum Beispiel ist glaube ich nicht verschlüsselt.

Angenommen es wäre nur "User" betroffen, könnte ich dann nicht diesen Ordner auswählen, alles decrypten und anschließend ALLE "locked" Dateien suchen lassen, Strg A (Alles markieren), Strg X (ausschneiden) und dann auf meine NAS schieben um wirklich sicher zu gehen?

ComputerMädl 27.04.2012 13:48

@benzer

Bei den PCs die ich gerade in den Fingern habe sind außerdem Programmordner direkt unter C:/ betroffen. Außerdem geht der Decrypter nur bis zu einer bestimmten Ordnertiefe, ich hab aber noch nicht nachvollziehen können ab wievielen verschachtelten Ordner er streikt. Bin gerade noch am decrypten, würde aber die Dateien auf jeden Fall nicht so schnell löschen!

Edit: Habe gerade versucht C:/ zu decrypten, der Decrypter bleibt bei verschachtelten Ordnern stehen und macht nicht mehr weiter. Im Taskmanager sieht es aber noch so aus als würde er arbeiten.

Nowotny 27.04.2012 13:52

Ich bin auch sehr erstaunt darüber, dass dieses Forum schneller ist als die ganzen Sicherheitsfirmen von Norton; Kaspersky; F-Secure und ESET etc.

Schlafen die alle? :D

Und deswegen auch nochmal ein großes Lob hier an den fixen Support!!

Qinjify 27.04.2012 13:52

Da ich hier ein verseuchtes NAS vor mir habe, kann ich dir sagen, dass nicht nur der User oder sonstwas fürn Ordner infiziert wird.

Wenn in diesem Thread jetzt die Freigabe kommt und bei irgendwem geht was schief, weil halt noch ein Fehler drin ist (was bei einem Tool, was innerhalb eines Tages gecodet wurde durchaus der Fall sein kann.) - was glaubst du, wer dann hier den meisten Stress kriegt? Derjenige, der ihn am wenigsten verdient hat, weil er uns hier allen den Arsch rettet mit dem Tool, was er gebaut hat.
"Warum hast du nicht gesagt, dass da noch Fehler sein können, jetzt hab ich schon alles gelöscht, Mimimimi", ich seh es schon vor mir.
Deshalb wird hier 10000 Mal gesagt, löscht die infizierten Dateien nicht.

Meine 5GB die ich vor 2 Stunden angefangen habe sind zu ca 65% fertig. Ich würde NICHT komplett C: decrypten lassen.

matkuni 27.04.2012 13:53

Ich sitze gerade an einer Methode, die nur die ersten 4 KB einer Datei austauscht und kein neue erzeugt. Das sollte die Performance sehr verbessern.

Deshalb meine Bitte an Leute, die es einsetzen werden:
Jetzt habt ihr noch die Zeit, die verschlüsselten Ordner und Datei zu sichern (externer Datenträger, komplette Verzeichniskopie im Dateisystem)!

Wendet die kommende Funktion nicht an verschlüsselten Dateien an, von denen keine exakte Sicherheitskopie vorhanden ist. ES WIRD SCHIEF GEHEN! ;)

Qinjify 27.04.2012 13:53

Zitat:

Zitat von Nowotny (Beitrag 820702)
Ich bin auch sehr erstaunt darüber, dass dieses Forum schneller ist als die ganzen Sicherheitsfirmen von Norton; Kaspersky; F-Secure und ESET etc.

Schlafen die alle? :D

Alle von dir aufgezählten Firmen haben den Virus in ihrer Signaturdatenbank. Es ist nicht deren Aufgabe, ein Tool zu entwickeln, dass die Schäden rückgängig macht, sondern zu verhindern, dass derartige Schäden auftreten.

markusg 27.04.2012 13:54

hi, nein die av hersteller schlafen nicht, einige testen momentan bereits.

Nowotny 27.04.2012 13:57

Achso wunderbar!! :)

Dann Dir weiterhin jetzt viel Erfolg @markusg und matkuni ;)

mtx430 27.04.2012 13:59

Ein Teil meiner Bilder sind nach der Entschlüsselung defekt, bzw. zeigen keinen Bild mehr an. Ist nicht ganz so tragisch, aber vielleicht kennt jemand den Grund :) ?

Qinjify 27.04.2012 14:01

Zitat:

Zitat von mtx430 (Beitrag 820712)
Ein Teil meiner Bilder sind nach der Entschlüsselung defekt, bzw. zeigen keinen Bild mehr an. Ist nicht ganz so tragisch, aber vielleicht kennt jemand den Grund :) ?

Das muss einfach gequoted werden, damit es ganz ganz viele Leute lesen und eine Sicherheitskopie der infizierten Daten machen. :)

Benzer1406 27.04.2012 14:02

@Qinjify Alles klar, habe ich verstanden! Kann es vollkommen nachvollziehen und sehe die Entscheidung auch als richtig an, dies noch nicht zu empfehlen!

markusg 27.04.2012 14:03

ja, man kanns nicht oft genug sagen
das ist das a und o bei solcher malware, egal ob es ein selbst geschriebenes tool ist, mit dem entschlüsselt wird, oder das tool eines antimalware herstellers.

bernds 27.04.2012 14:05

Suche doch die Dateien über die Windows-Suche (locked-*) und verschiebe sie dann zur sicherheit auf ein externes Medium, bis Du dir sicher bist, dass alle wiederhergestellten Dateien ok sind

je le 27.04.2012 14:07

wahnsinn.... ey ihr kerle seit der wahnsinn...... danke danke danke.....
so nun gehts los mit wiederherstellen.......... ;-)

Qinjify 27.04.2012 14:14

Bin bei 85% angelangt. :applaus:

v3.2 schafft also ca. 2GB/h.
Würde in meinem Fall bedeuten, dass ich 230 Stunden zum encrypten brauche.
Ich zähl auf dich, matkuni! :lach:

markusg 27.04.2012 14:19

ist vorfreude nicht die schönste freude :-)

Jonas- 27.04.2012 14:24

Hallo, meine Mutter ist auf "Abrechnung.zip" reigefallen.
System läuft wieder.
Wollte grade mit dem DecryptHelper 0.3.2 die Dateien Entschlüsseln.
Beim Schlüssel laden bekam ich die Meldung "Der Schlüssel hat eine ungültige Größe"

Wie soll ich weiter verfahren?

Schonmal Danke!


- habe an Markusg eine kurze Mail mit der Datei im Anhang gesendet

Qinjify 27.04.2012 14:29

Mit welchen Dateien hast du denn den Schlüssel erstellt?

Jonas- 27.04.2012 14:32

Habe das Windows-Beispielbild "Blaue Berge" verwendet.

edit: Windows XP

chip09 27.04.2012 14:32

Ähem, ich Nichtfachmanninsachenpc komme auch nicht weiter:
Habe decrypt runtergeladen, eine test datei erstellt mit locked daten, entweder meldet er unter 4 kb oder sagt identische datei, oder er sagt die dateien sind unterschiedlich groß.. habe die datei jellyfisch genommen
wer könnte mir das kurz erklären???
danke im voraus

matkuni 27.04.2012 14:42

Zitat:

Zitat von Qinjify (Beitrag 820729)
Bin bei 85% angelangt. :applaus:

v3.2 schafft also ca. 2GB/h.
Würde in meinem Fall bedeuten, dass ich 230 Stunden zum encrypten brauche.
Ich zähl auf dich, matkuni! :lach:

Update: Neue Entschlüsselungsroutine benötigt auf meinem älteren MacBook nur noch 12 Sekunden für 75 MB in 27 Dateien inkl. umbenennen (stupide hochgerechnet wären es dann 22,5 GB/h) :pfeiff:

Muss jetzt nur noch in die Oberfläche inkl. eindeutiger Warnung aufgenommen werden. (edit: und die Ursache für vereinzelt defekte Dateien von einigen Nutzern gefunden werden)

Springer65 27.04.2012 14:45

Hallo,also BESTEN DANK an MatKuni......genial sag ich nur ....das sollte mir eine Lehre sein...werde wohl mein Sicherungslaufwerk nur noch online schalten wenn ich auch eine Sicherung ziehe ....

mayday3011 27.04.2012 14:47

Zitat:

Zitat von Benzer1406 (Beitrag 820678)
Na ja, aber bei mir funktioniert das decrypten einwandfrei. Das Einzige was ich noch tun muss ist eben von Hand die "locked" Dateien noch löschen.

Gibt es da vielleicht einen Trick? So eine Art Funktion wie in Word "Suchen und Ersetzen", wenn ich sage, dass alle Dateien mit dem Wort "locked" in dem und in den Unterordnern gelöscht werden sollen?

Auf Seite 10 haste ne Anleitung von Veqeta

Qinjify 27.04.2012 14:48

Oh ich fühl mich wie ein kleines Kind an Weihnachten.

Du hast es in der Hand, wie lang ich am Wochenende machen darf. Wo ist der Mit-Kopf-an-Wand-Smiley?

matkuni 27.04.2012 14:48

Zitat:

Zitat von mtx430 (Beitrag 820712)
Ein Teil meiner Bilder sind nach der Entschlüsselung defekt, bzw. zeigen keinen Bild mehr an. Ist nicht ganz so tragisch, aber vielleicht kennt jemand den Grund :) ?

Ist die wiederhergestellte Datei exakt gleich groß wie die verschlüsselte Variante?

Erzeugt ein erneuter Entschlüsselungsvorgang exakt den selben Defekt?

Magst du mir die beiden Dateien, die du zur Schlüsselgenerierung verwendet hast sowie ein paar Beispiele für fehlerhaft wiederhergestellte Dateien (in der noch verschlüsselten Form) zur Verfügung stellen?

Jonas- 27.04.2012 14:50

Ich entschuldige mich hiermit für meine dummheit :-D
Der Fehler lag da: ich hatte zwar die verschlüsselte aber keine "normale" Datei.
Hab jetzt ein Windows Beispielbild als Orginal beschafft und hab scho testweise angefangen zu entschlüsseln!
PDF haben schon geklappt!
Ich bedanke mich recht herzlich über die Hilfe und das super Forum!
Nachdem meine Eltern jetzt Geld gespart haben, sollen sie euch etwas Spenden ;)
DANKE

Qinjify 27.04.2012 14:56

Wie unser matkuni auch gleich dick ins TB-Team aufgenommen wurde. :applaus:

Das Avira Teil funktioniert wunderbar und ist sehr schnell. 1,5GB in 560 Dateien in unter einer Minute.

markusg 27.04.2012 15:00

bitte das avira programm testen und posten, ich reiche evtl. auftretene probleme weiterfeedback
und klar wurde er ins team aufgenommen, er war der erste der nen tool angeboten hat :-)

hier: http://www.trojaner-board.de/114224-...-unlocker.html

matkuni 27.04.2012 15:00

Zitat:

Zitat von Derben (Beitrag 820615)
Oh, Verzeihung, Links das Original aus einem Backup.

Original: 143.872 byte
Rekonstruktion: 143.872

Größe passt also noch

Benutzt du irgendwelche unicode- Funktionen oder andere, die
die Regionseinstellungen in Betracht ziehen? Habe Win7 Region auf
japanisch.

Sorry, ist ein wenig untergegangen.
Und was ist die rechte Datei? Die vom verschlüsselte Datei oder die wiederhergestellte Version?

Wenn es noch die verschlüsselte ist - das ist ganz normal!
Die Schadsoftware vergreift sich nur an den ersten 4 KB einer Datei.

Qinjify 27.04.2012 15:06

Stand hier nicht gerade noch ein Post von mir?

markusg 27.04.2012 15:08

und bei mir wurde
noch mal der avira unlocker link hinzugefügt, merkwürdiges geht vor sich

Da GuRu 27.04.2012 15:10

leute, lesen ;)

http://www.trojaner-board.de/114224-...-unlocker.html

sonst kommen wir hier durcheinander... ;)

chip09 27.04.2012 15:29

Hab zwar die Anleitung auf Seite 10 gelesen, aber ich habe keine originaldatei

vielleicht habe ich ja ein brett vorm kopf :glaskugel2: oder ich verstehe das als älteres semester nicht :heulen:

baumschubser 27.04.2012 15:30

funktioniert ohne probleme mit xp-beispielbildern und originaldateien von einem anderen rechner.

tausend dank :)

matkuni 27.04.2012 15:51

Neue Version mit wesentlich schnellerem Wiederherstellungsvorgang.
Kann durch einen Haken bei "Keine Sicherheitskopien" aktiviert werden, wodurch die verschlüsselte Datei direkt wiederhergestellt und korrekt umbenannt wird.

* DESHALB AUCH WIRKLICH NUR AUF SICHERHEITSKOPIEN ANWENDEN! *

Download: DecryptHelper 0.4

Auf eigene Gefahr! Vorher (auch die verschlüsselten) Dateien sichern!
Die verschlüsselten Dateien nicht löschen, auch wenn die Entschlüsselung auf den ersten Blick erfolgreich war!

Goergi 27.04.2012 16:05

Hallo an alle,
sowohl das Avira Tool als auch Matkunis 04er Version funktionieren einwandfrei bei (bisher) allen Extensions.

Nochmals Danke an alle im TB-Team, speziell an makuni und markusg für die tolle und schnelle Arbeit.
Jeder der sich persönlich die letzten Tage damit beschäftigt hat weiß, was da geleistet wurde.

EDIT: Fahre gerade einen Test mit den Root-Verzeichnissen der verschiedenen LW und NAS.
So wie es ausschaut lassen sich mit dem Avira Tool auch komplette Platten entschlüsseln (und auch noch schnell!)

Juergen_B 27.04.2012 16:18

Hallo Alle,

nachdem meine Frau eine Rechnung.zip von einem unbekannten Absender unbedingt öffnen musste :aufsmaul:, waren alle Dateien gelocked. Der Haussegen hing schon mehr als schief und nach dem wirklich tollen Progi von matkuni war der Segen wieder halbwegs her gestellt.

Vielen, vielen Dank für Deine Arbeit! :applaus::applaus::applaus:

Meine Frau wird finanziell auch noch ihre Dankbarkeit ausdrücken.:dankeschoen:

markusg 27.04.2012 16:31

@Juergen
mit der entschlüsselung ist es nicht getan, die malware kann weitere schadsoftware laden, eröffne daher ein neues thema und lasse deinen pc untersuchen.

matkuni 27.04.2012 17:01

So, hier ein neues Release, mit dem ich auch selber soweit zufrieden bin!

Die Entschlüsselungsroutine, welche weiterhin die verschlüsselten Dateien als Sicherheitskopie behält, arbeitet jetzt auch wesentlich schneller und kommt fast an die direkte Methode ran! Ich empfehle also jedem, dass er den Haken bei "Sicherheitskopie behalten" aktiviert lässt.

Die alte Entschlüsselungsmethode, die bei zwei Benutzern teilweise defekte Bilder hervorgerufen hatte (bisher nicht bestätigt/rekonstruiert), wurde komplett ausgetauscht.
Meine verwendeten Testfälle laufen soweit prima und ich hoffe weiterhin auf Feedback!

Ich mag es eigentlich gar nicht, wenn bei jeder Kleinigkeit direkt zum "Spenden" aufgerufen wird, aber da bereits mehrere Benutzer nach meiner Paypal-Adresse gefragt haben, will ich sie nicht vorenthalten.. matthias@kunig.org - ich fand die letzten beiden Tage und Nächte aber auch so spannend und stelle die Anwendung gerne zur Verfügung! :)

Download: DecryptHelper 0.5

Auf eigene Gefahr! Vorher (auch die verschlüsselten) Dateien sichern!
Die verschlüsselten Dateien nicht löschen, auch wenn die Entschlüsselung auf den ersten Blick erfolgreich war!

Benzer1406 27.04.2012 17:36

Hi,
super danke. Klappt eigentlich alles super.

Nur ne Frage kam es bei noch jemandem vor, dass auf einmal die Office Programme wieder nach einer Aktivierung fragen?

Kann es sein, dass ich vergessen habe noch eine Datei zu decrypten, dass es wieder funktioniert? Vielleicht gibt es ja von Office eine Datei mit dem Product-Key.

Danke für Hilfe


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:13 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131