Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Diskussionsforum (https://www.trojaner-board.de/diskussionsforum/)
-   -   Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) (https://www.trojaner-board.de/114115-wiederherstellung-verschluesselten-dateien-rechnung-exe-realtecdriver-exe-schadsoftware.html)

markusg 11.05.2012 10:08

hi,
damit alle diese malware erkennen:
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann mail an:
http://markusg.trojaner-board.de
dort die soeben erstellte datei anhängen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.
@t-itservice
welche tools zum entschlüsseln hast du durch?

t-itservice 11.05.2012 10:11

@ nushund
nod rockt kenn ich
du hast recht der mailvirenscanner muss aktiviert sein

rannohdecryptor von kaspersky kann zwar wie ich grad meke die datein entschlüsseln aber danach unbrauchbar

@ markus benötige ein ftp upload oder ähnlich da mein emailprovider mittlerweile die emails beim senden ablehnt ^^

@ markus
Trojan.Ransom.HM-Decrypt_v1
rannohdecryptor kasperky
vión antivir
von dr web
von dir das java tool
te94decrypt

markusg 11.05.2012 10:17

das ist nicht mein tool :-)
das tool 94 decrypt ist schon gar nicht geeignet, ist nicht die sselbe malware :-)
was ist mit scareuncrypt, geht das?

Nusshund 11.05.2012 10:20

Zitat:

Zitat von t-itservice (Beitrag 827156)
@ markus benötige ein ftp upload oder ähnlich da mein emailprovider mittlerweile die emails beim senden ablehnt ^^

wenn du es zipst und mit passwort versiehst sollte es gehen

t-itservice 11.05.2012 10:22

wieder was gelernt ^^
jo ging danke nochmal

markus viel spass ich trink n kaffee für dich mit damit du wach bleibst :party:

scareuncrypt testlauf beginnt nach kaffee einnahme
für Kaffeezufuhr enter drücken

ENTER

Tanja2405 11.05.2012 10:30

@ t-itservice

Aol packt solche mails direkt in den Spam Ordner, aber wenn man einen anscheinend einen gesrächsresistenten Mann hat, der die dann doch öffnet, hat man verloren. :balla:

Ich habe die gelockten Dateien (die wichtigen) auf einer externen Festplatte noch mal gesichert. Ich habe allerdings win xp auf eine andere Festplatte gemacht.

t-itservice 11.05.2012 10:34

Kein erfolg trotz kaffee

markusg 11.05.2012 10:35

hast du einen automatisch generierten schlüssel genutzt oder einen selbst erstellten

t-itservice 11.05.2012 10:36

@ tanja
ich hab n hund der höhrte zu anfang nicht
lösung
HAlsband mit luftdruck
sobald der HUND nicht spurt auslöser drücken

Seitdem höhrt mein hund

^^

Zitat:

Zitat von markusg (Beitrag 827190)
hast du einen automatisch generierten schlüssel genutzt oder einen selbst erstellten


automatisch generierter schlüssel

Zitat:

Zitat von markusg (Beitrag 827190)
hast du einen automatisch generierten schlüssel genutzt oder einen selbst erstellten

ich hab grad mit der firma gesprochen der lässt eine spende fliesen ans trojaner bord bei erfolg:knuddel:

markusg 11.05.2012 10:40

dann versuch mal einen aus paaren zu bilden, also verschlüsselte datei, die dir außerdem entschlüsselt vor liegt.
vergleiche dort aber in den eigenschaften, das sie bis aufs byte genau zusammenpassen.

t-itservice 11.05.2012 11:08

Reparaturfortschritt:
Die Sicherungsdatei wird erstellt
Die Rettungsdatei wird erstellt
Rettungsschritt 1 wird ausgeführt
Daten außerhalb des Dateibereichs festgestellt
Rettungsschritt 2 wird ausgeführt
Rettungsschritt 3 wird ausgeführt
Die Dateistrukturen werden repariert
Ungültiger Datei-Header gefunden
Reparatur abgeschlossen




lasse jetzt die datei mal checken vom Büro

Undertaker 11.05.2012 12:27

moin moin,
am 2.5. brachte mir ein Kunde seinen Sony VAIO, nachdem er eine Lieferschein .zip öffnete und die exe ausführte. Das Ergebnis kennt ihe ja.
Nach der "Säuberung", bzw. nachdem das System wieder bootfähig war, waren auf den beiden Partitionen C und D etwa 20 000 Dateien locked-.
Obwohl vom Schädling selbst nichts mehr zu scannen war, war der Rechner noch kompromitiert.
Beim Booten, zwischen dem Bootscreen "Windows wird gestartet und dem Bootscreen "Willkommen" hat sich noch folgendes Bild eingenistet:

http://due-m.de/Trojaner/003klein.JPG

http://due-m.de/Trojaner/004klein.JPG

Die kryptischen Zeichen waren bei jedem Bootvorgang andere.
Nach klick auf OK, wurde der Bootvorgang dann abgeschlossen.

Das System war zumindest etwas strukturiert.
So war die Partition D die Datenpartition, auf die auch die "Eigenen Dateien" des Benutzers gelinkt war.
Auf Partition C waren einige Anwendungen in den Root, also direkt auf C und nicht in \Programme\ installiert.
Die Daten auf Partition D waren neben einigen Word- und Excel-Dateien hauptsächlich Bilder im JPG-Format.
Wärend auf D Dateien in allen Ordnern locked- waren, waren auf C ausschließlich Dateien betroffen, deren Folder im Root lagen.
Im Ordner \Windows und \Programme gab es keine locked- Dateien.
Erwähnenswert ist vielleicht noch, dass AVAST den Datenstand Oktober 2008 hatte !!!!
Ein Zeichen, welchen Stellenwert Virenschutz und Firewall bei vielen Anwendern genießt.

Nach Rücksprache mit dem Kunden, auch wegen des o. g. Screens, wurde entschieden, das System letztendlich zu recovern (F10).
Damit musste ich mich nur noch mit der Wiederherstellung von ca. 12000 Dateien auf Partition D befassen, haupsächlich JPGs.

Nachdem ich mir die Bilderverzeichnisse nochmals genauer angesehen habe stellte ich fest, dass beginnend mit \Axxxxx bid \Oxxxxx alle Dateien locked- waren.
Im Verzeichnis \Pxxxxx waren nur ein Teil locked- und ab \Rxxxxx waren alle Dateien im Originalzustand.
Warum auch immer, aber ca. 8000 Dateien ließ der Trojaner unbehelligt.

Nun zur Wiederherstellung:
Da der Kunde einige DVDs mit Bildern hatte, die auch auf dem Rechner waren, gab es genügend Dateien zur Paarbildung.
Angefangen habe ich mit dem Avira-RansomFileUnlocker und einem Schlüsselpaar, angewendet auf D:\ mit Unterverzeichnissen.
Im Ergebnis wurden alle 12000 Dateien bearbeitet und als "Entschlüsselt" zurück geschrieben.
Tatsächlich waren aber nur ca. 3000 Dateien brauchbar.
Ein Versuch mit zwei weiteren Schlüsselpaaren blieb erfolglos.
Dabei fiel mir auf, dass der Avira-RansomFileUnlocker bei den weiteren Bearbeitungsgängen recht schnell fertig war.
Warum?
Am Ende musste ich feststellen, dass der Avira-RansomFileUnlocker mit dem neuen Schlüsselpaar bestehende, angeblich entschlüsselte Dateien nicht überschreibt, sondern überspringt.
Meines Erachtens ein gravierender Fehler.
Wer will schon tausende Dateien löschen, bevor mit einem neuen Durchlauf begonnen werden kann.
Dann habe ich mir den RannohDecryptor von Kaspersky angesehen und schnell wieder verworfen.
Da ich beim Kaspersky lediglich HDDs, ohne die Selektion einzelner Verzeichnisse auswählen konnte, war das Tool für mich uninteressant.

Kurze Rede langer Sinn, mit dem scareuncrypt-Tool habe ich bis auf einen Rest von 5 Dateien, 8000 weitere wiederherstellen können.
Dazu benötigte ich vier Schlüsselpaare.
Diese Schlüsselpaare bestanden aus Bilddateien verschiedener Jahre (2008 bis 2012).
Schlüsselpaare aus Dateien des gleichen Verzeichnisses lieferten auch dsas gleiche Ergebnis.
Das heißt, mit diesen Schlüsselpaaren konnten nicht mehr Dateien entschlüsselt werden.

Ich hoffe, mein kleiner Bericht findet Euer Interesse.
Mein Kunde hat jetzt wieder ein sauberes Systen, fast alle Daten zurück und den festen Willen den Virenschutz aktuell zu halten ab und zu ein Image des Systems zu ziehen.
Das Neuaufsetzen und aktualisieren des Systems mit der Neuinstallation der Anwendungen und Treiber dauert allemal länger als das Rückspielen eines Images.

Gruß und gutesw Gelingen, Volker

markusg 11.05.2012 12:31

wenn du mal wieder an solche mails kommst, weiterleiten wie beschrieben.
wieso man sienen malware schutz nicht aktuell hält, verstehe ich sowieso nicht, zumal das automatisch geht....

blackcore 11.05.2012 12:42

Hallo liebes Trojaner-Board Team,

nach 5 Stunden zähne zusammenbeißen konnte ich mit Hilfe eures DecrypHelper 0.5.3 nun auch bei mir einen Erfolg erzielen und große Mengen von Daten meines Kunden retten.

Da ich schon früher sehr oft hier Hilfe oder Denkanstöße erhalten konnte, würde ich gerne ebenfalls wie auch schon einige andere Benutzer des Forums eine Spende an euch senden.

Gute Arbeit soll belohnt werden :)
Gerade wenn sie so kompetent, ohne Gegenleistung zu fordern, angeboten wird.

Mittels einer von meinem Kunden versendete E-Mail konnte ich mit meinem Kunden zusammen Kontakt zu dem Empfänger dieser E-Mail mit Anhang aufbauen, der mir folglich diese Original-Datei zur Verfügung stellen konnte.

Dies war in meinem Fall die einzige Möglichkeit , da die Beispielbilder von Windows XP bereits gelöscht waren und die Beispielmusikdateien sich um 4KB unterschieden.

Meine Arbeitsschritte sahen wie folgt aus:

1. Sicherung des Datenträgers auf ein Externes Medium
2. Entfernung des Trojaners mittels der Kaspersky Rescue Disc und dem Registry Editor, der Ihnen erlaubt die Registrierung von außerhalb zu bearbeiten (sehr zu empfehlen)
3. Original Datei des Kunden wiederbeschafft und mit DecryptHelper wichtige Dateien entschlüsselt (bisher habe ich dies jedoch erst mit Textdokumenten und Bildern versucht)

Danke für die Hilfe aller Benutzer in diesem Thread. :applaus:
MfG
blackcore

Enibas 11.05.2012 12:57

Hallo ich bin etwas am verzweifeln mit dem DecryptHelper, habe von meiner Mutter den Pc hier , möchte ein Bild jpg. entschlüsseln ich scheiter schon beim Schlüssel erstellen . Bei mir sagt die Datei muss 4 kb sein habe verschlüsseltes Beispielbild Autumn genommen und ein orginal . Was mache ich den falsch ?Grüße Sabine

markusg 11.05.2012 13:42

@blackcore
schön das es geklappt hatt
bitte für die zukunft:
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann mail an:
http://markusg.trojaner-board.de
dort die soeben erstellte datei anhängen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.
wegen spenden, klicke in meine signatur :-)

markusg 11.05.2012 13:43

@Enibas
wie groß sind die dateien, klicke dazu auf eigenschaften.
sind sie über 4 kb groß?
haben sie beide die selbe größe bis aufs byte genau?

Enibas 11.05.2012 14:34

Hallo Markus danke für deine schnelle Antwort. Die Orginale hat Größe 276,216-Größe auf Datenträger 294,912.Die verschlüsselte 276,212 Größe auf Datenträger 278,528 hoffe es reicht dir so wie ich es geschrieben habe .Grüße Sabine

markusg 11.05.2012 14:41

dann kanns nicht gehen, such ein paar das gleich groß ist bitte

Enibas 11.05.2012 14:51

Hallo Markus nun habe ich den Wasserfall alles identisch nun sagt er Schlüssel konnte nicht bestimmt werden ......

t-itservice 11.05.2012 14:54

Zitat:

Zitat von Enibas (Beitrag 827380)
Hallo Markus nun habe ich den Wasserfall alles identisch nun sagt er Schlüssel konnte nicht bestimmt werden ......

Hab ich auch so

Enibas 11.05.2012 15:24

Markus habe es nun auch mit ner identischen mp3 versucht sagt er das selbe ...:headbang::headbang:

markusg 11.05.2012 15:49

mal hiermit probieren:
http://www.trojaner-board.de/114548-...e-dateien.html

Totwart 11.05.2012 17:15

Moin liebe Leute,

ich habe bei einem PC hier alles was es momentan gibt, und hier ausführlich beschrieben wurde, ausprobiert. Leider ohne Erfolg.

es ist jedenfalls mit keinem Tool aus einem Paar des vorhandenen Backups mit einer verschlüsselten ein Schlüssel zu generieren.

Tools die ich getestet habe:
DecryptHelper von Matthias
Avira Ransom File Unlocker
Tool von Dr. Web
ScareUncrypt von BitFox
Trojan.Ransom.HM-Decrypt_v1 (BitDefender)
RannohDecryptor von Kaspersky

nun bin ich mit meinem Latein am Ende und hoffe das jemand eine Lösung findet.

Achso, bevor ichs vergesse zu sagen. Ich habe den Rechner bereits bereinigt und es ist keine Schadsoftware mehr drauf und die Datei hieß Abrechnung.exe

markusg 11.05.2012 17:22

was ist mit der infektions quelle?
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann mail an:
http://markusg.trojaner-board.de
dort die soeben erstellte datei anhängen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

t-itservice 11.05.2012 17:49

Lieber kunde
Bei der uns zugesandten Art des Rensom-Virus, handelt es sich
tatsächlich um eine neue Abwandlung.
Diese Art des Virus, verschlüsselt die Dateien nicht nur mit einer
Quellcode, sondern gleich mir vier willkürlich ausgewählten Dateien
und Quellcodes.
Unser Virenlabor ist nun an der Entwicklung eines neuen Tools.




avira tut was

das schreit nach hoffnung

Daimler 11.05.2012 17:54

Hi Ihr Leidensgenossen,

mir geht es so wie Totwart - siehe #494.
Die gleichen Tools benutzt - das gleiche Ergebnis, nämlich keins.
Scareuncrypt entschlüsselt zwar angeblich, aber anschließend sind die Daten immer noch Schrott.

Ich hänge hier seit Dienstag an den Daten von meinem Kumpel, auch mit der freundlichen Unterstützung durch Markus(G) - aber bisher kein Weg, die Daten (Office- Dokumente und JPGs) wieder zu entschlüsseln.

Könnte man viell. anhand der gefunden Trohaner aus dem Scan-Log klären, bei welchen die Entschlüsselung geht und bei welchen nicht?

Auf dem PC vom Kumpel wurden folgende gefunden:
Malware.Packer.Gen
Malware.Tool
PUP.Hacktool.Patcher
PUP.BundleOffer.Downloader.S
PUP.OfferBundler.ST
Trojan.Agent
Trojan.Agent.CK
Trojan.Downloader
RiskWare.Tool.CK
RiskWare.Tool.HCK


Gruß Günter

t-itservice 11.05.2012 17:57

Ich habe bei ccc angefragt die kriegen heute meine VM mit dem Trojaner im original zustand
mal schaun was da kommt
ansonsten erstmal warten

leider

Marcus read mail

markusg 11.05.2012 17:59

keygens nutzen...
da geben wir laut foren regeln kein suport.

t-itservice 11.05.2012 18:11

Markus vm machen ?

Nusshund 11.05.2012 18:15

Liste der Anhänge anzeigen (Anzahl: 1)
ich möchte nochmal den gedanken aufwerfen, ob es nicht sein kann das im falle ein betroffener zahlt die summe im tool auch die entschlüsselung vorgesehen ist? da ja auch entsprechende bitmaps hinterlegt sind und man vielleicht das "pferd von hinten aufzäumen" kann und den entschlüsselungscode aus der exe bekommt?

t-itservice 11.05.2012 18:20

eine vm mit xp machen snapshoot
dann clonen dann virus per mail drauf und schaun wo sich die einträge verändern
oder die exe untersuchen

Tanja2405 11.05.2012 19:53

Zitat:

Zitat von t-itservice (Beitrag 827487)
Lieber kunde
Bei der uns zugesandten Art des Rensom-Virus, handelt es sich
tatsächlich um eine neue Abwandlung.
Diese Art des Virus, verschlüsselt die Dateien nicht nur mit einer
Quellcode, sondern gleich mir vier willkürlich ausgewählten Dateien
und Quellcodes.
Unser Virenlabor ist nun an der Entwicklung eines neuen Tools.




avira tut was

das schreit nach hoffnung

Das würde auch erklären, warum ich nur die Musikdateien entschlüsseln konnte, wenn es mehrere Schlüssel dazu braucht. Hoffentlich kriegen die das hin.

Vielen Dank auch, dass es so ein tolles Forum gibt. Ohne den Trojaner hätte ich es nie gefunden. Dankeschön an alle hier!

brillo03 12.05.2012 12:36

Moin,

habe das gleiche Problem wie Daimler und Totwart. Keines der Tools hat richtig funktioniert. Habe mit "Scareuncrypt" zwar einen Schlüssel erzeugen aber letztendlich nur Bilder (jepg) entschlüssel können. Bei der Benutzung des "Decrypthelper 0.5.3" erschien das Fenster "Der Schlüssel konnte nicht bestimmt werden".
Schöne Sch...
Ich hoffe da geht noch etwas.

Enibas 12.05.2012 16:48

Hallo Markus und an alle er rennt er rennt seit 2 Stunden schon SUPER ... meine Mutter holt den Rechner Dienstag ab soll Ihr Daten Zwecks Spende geben das werde ich natürlich tun ... und andere sollten für solch eine Arbeit folgen . Grüße Sabine

markusg 12.05.2012 16:58

hi,
1. die mails über die ihr euch infiziert:
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann mail an:
http://markusg.trojaner-board.de
dort die soeben erstellte datei anhängen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

2. spenden:
steht in meiner signatur.

jopi 12.05.2012 17:17

Hallo markusg,
vielleicht hilft es ja:
wir waren bei der ersten Runde dabei, und da absolute Laien, dauert alles etwas länger.
Wir haben3 - 4 Virenscanner laufen lassen, gelöscht, entlockt, wieder gescannt, wichtige Dateien gesichert, Rechner platt gemacht und neu aufgesetzt.
Vor dem Übertragen der gesicherten Dateien noch ein Scan mit Emsisoft:
in der Inbox von Thunderbird war die Mail mit der Zip
Wie gesagt, vielleicht hilft es ja.
gruß jopi

Enibas 12.05.2012 17:48

Hallo Markus und alle anderen Helfer der Computer rennt und rennt hat mir auch vieles Entschlüsselt , Aber zum Beispiel Word Dokumente die entschlüsselt sind können nicht mehr geöffnet werden, Exel , und auch manche bilder gehen nicht auf war es das nun ??? Grüße Sabine

t-itservice 12.05.2012 18:39

lies mal im forum weiter oben leider sind die word und weitere datein nach dem entschlüsseln unbrauchbar
wir arbeiten drann

darum sollte mann auf jedenfall von dem rechner ein backup machen wenn der virus runter ist ,damit wenn ein neues tool rauskommt , mann es nocheinmal versuchen kann

MFG tommy

Bad Angels 13.05.2012 11:13

DecryptHelper 0.5.3 hat mir geholfen!!!

Matthias, du bist mein HELD! :daumenhoc

Danke, danke, danke... ich war echt kurz vorm Kollaps :headbang:
Seit Tagen habe ich gesucht und probiert... und probiert und gesucht und und und...

Jetzt muss ich erstmal unzählige exen diverser trojan encodern, data recovery, file unlocker... deinstallieren und löschen. :lach:

:dankeschoen::taenzer::dankeschoen:

digitalpit 14.05.2012 09:09

Also ich habe 2 Rechner die ich nicht entschlüsseln kann.
Den anderen werde ich n paar € abknöpfen.

Hoffentlich gibt es noch eine Lösung.

mfg Pit

t-itservice 14.05.2012 09:26

ich hab versucht in einer vm eine infizierung durchzuführen leider war keine datei verschlüsselt nach dem befall
ich fummle weiter

Re.COM 14.05.2012 10:11

Vielen Dank für das Tool.

:daumenhoc

make_fun 14.05.2012 14:07

Hallo,

ich habe festgestellt, dass der Trojaner NUR Donnerstags (evtl. noch MIttwochs) aktiv ist. Sonst schläft er.

Schöne Grüße,

make_fun

Undertaker 14.05.2012 14:54

Zitat:

Zitat von make_fun (Beitrag 828420)
Hallo,

ich habe festgestellt, dass der Trojaner NUR Donnerstags (evtl. noch MIttwochs) aktiv ist. Sonst schläft er.

Schöne Grüße,

make_fun

moin moin,
wie kommst Du darauf?

fragt sich Volker.

ComputerMädl 14.05.2012 14:58

Soeben ist eine neue Masche bei uns eingegangen :pfui::

Mails mit Logo-Header von DHL.com, die auf eine nicht erfolgte Zustellung wegen falscher Adresse hinweisen. Um die Sendung doch noch zu erhalten, soll man den Anhang öffnen.

matthias2619 14.05.2012 19:26

Solche Emails bitte an markusg weiterleiten!

Zitat:

hi,
damit alle diese malware erkennen:
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann mail an:
http://markusg.trojaner-board.de
dort die soeben erstellte datei anhängen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

make_fun 15.05.2012 07:21

Zitat:

Zitat von Undertaker (Beitrag 828433)
moin moin,
wie kommst Du darauf?

fragt sich Volker.

Dadurch, dass ich es "schmerzlich" feststellen musste. :heulen:

Ein PC, wo er am 29.04. aktiv war, wurde wohl nicht komplett bereinigt und da ist er genau eine Woche später, am 03.05. wieder aktiv geworden. Zum Glück konnte er da aber nicht so viel verschlüsseln und konnte recht schnell und diesmal auch komplett entfernt werden und wurde dann am 10.05. nicht wieder aktiv. Die ersten Dateien sind beim ersten Auftreten wohl schon am 28.04. aufgetaucht, aber eben nur beim ersten Mal. Die entsprechende Meldung ist NUR am Donnerstag erschienen und das auch erst am Nachmittag, nachdem schon einiges verschlüsselt wurde.

Gruß,

make_fun

CoKuDi 15.05.2012 11:40

@make_fun
Zitat:

ich habe festgestellt, dass der Trojaner NUR Donnerstags (evtl. noch MIttwochs) aktiv ist. Sonst schläft er.

Ja und nein. Befall bei einem PC am 09.05.12 05:09 (Mittwoch) zuzüglich Verschlüsselung der Dateien (05:13). Der Screen mit der Zahlungsbitte kam
erst am Donnerstag. Möglicherweise durch Start des PC. Richtig ist, das bisher
nur am 09.05.12 verschlüsselt wurde (am 10.05.12 nicht, obwohl an).

Leider ist es das Teil mit mehreren oder Kombi-Schlüssel. Sprich ich konnte
bisher nur die Dateien entschlüsseln, aus denen auch der Schlüssel gewonnen
wurde. Andere verschlüsselte Dateien in dem Verzeichnis ließen sich damit
nicht zurückgewinnen.

ciao
Roland

reggie 15.05.2012 19:23

Es sind jetzt wohl auch Fake Amazon Mails im umlauf.....

Matthias_M 15.05.2012 20:16

Hallo zusammen,
mal nee Frage:
Leider hat mich letzte Woche auch eine neue Variante des Trojaners erwischt und die bisherigen Tools zeigten leider keinen Erfolg. Ich weiß, dass im Hintergrund schon an Alternativen gearbeitet wird, finde ich toll :applaus:

Was mich hier verwundert, es waren in den letzten Tagen immer wieder Einträge, in denen in etwa zu lesen war: "Habe Tool genutzt, konnte auch alles entschlüsseln, aber bei .jpg, .pdf, .doc hat es nicht funktioniert".
Ich meine, die Entschlüsselung der anderen Dateien ist doch auch fehlgeschlagen, blos hat die Person es nicht gemerkt oder es wurden Teile des Dateiheaders nicht korrekt entschlüsselt, die aber von dem öffnenden Programm toleriert werden und deshalb sich die Datei öffnen lässt?!?!
Ich hatte bisher bei der Entschlüsselung es immer mit JPGs bzw. PDFs probiert und bin davon ausgegangem, dass es dann auch bei allen anderen Dateien nicht funktioniert. War das falsch und ich kann mein Thunderbird-, SQL-Server-Dateien etc. entschlüsseln und das Problem ist Dateitypen spezifisch?? :wtf:

Schöne Grüße
Matthias

thoink 16.05.2012 09:12

Hallo
ich benötige Hilfe!!!
viel ahnung vom rechner und so habe ich nicht, er muss laufen,
habe die u.g. Email bekommen mit der Datei Abrechnung.zip.
Danach blinkte der Bildschirm, es ging erst nichts mehr, dann das bild mit der anzeige zur eingabe eines codes. oben waren die zeichen von aral, windows u.s.w. drauf.
Daraufhin habe ich malware runtergeladen und durchlaufen lassen. Es wurden 9 dateien gefunden die ich gelöscht habe. Anschließend habe ich den rechner neu gestartet, und die Dateien sind ´nicht brauchbar. alles nur zeichen.
ich weiss nicht weiter. was nun?
Kann jemand helfen?

SO eine schei... hatte ich noch nie,

was kann ich machen?


Guten Tag Ralf,

Sie haben sich für unseren E-Mail Upgrade angemeldet und wir sind gespannt Sie als unseren frischen Member zu sehen.
Sie können jetzt bis zu 700 Mitteilungen pro Woche frei versenden und Ihr Speichervolumen vergrößert sich um 17 Gigabyte.
219,39 Euro für Registraion werden Ihnen jährlich im Voraus von Ihrem Konto zu Last gelegt.
Ralf entziehen Sie die Rechnungen bitte dem Anhang, dort finden Sie auch das Schreiben für Ihre 2 Wochen Abmeldefrist.

Mit freundlichen Grüßen
Ihr Mail-Support

markusg 16.05.2012 14:35

hi,
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann mail an:
http://markusg.trojaner-board.de
dort die soeben erstellte datei anhängen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

shakalX 16.05.2012 16:33

Hey Leute ,

der Rechner meiner Mutter ist infiziert ..... Wie in Gottes Namen schafft ihr es diesen Malware scan durch zu führen wenn er bei mir Sucht dann Kommt das Fenster >.< .....

Undertaker 16.05.2012 16:58

Zitat:

Zitat von shakalX (Beitrag 829264)
Hey Leute ,

der Rechner meiner Mutter ist infiziert ..... Wie in Gottes Namen schafft ihr es diesen Malware scan durch zu führen wenn er bei mir Sucht dann Kommt das Fenster >.< .....

moin moin,
die OTL Boot-CD hast Du?
Bootpriorität im BIOS auf CD gestellt hast Du?

Wenn ja, versuche mal einen anderen Rohling.
Ich hatte hier einen Sony VAIO, der wollte eine CD-R von Intenso partou nicht akzeptieren.

Gruß Volker

shakalX 16.05.2012 17:03

Zitat:

Zitat von Undertaker (Beitrag 829279)
moin moin,
die OTL Boot-CD hast Du?
Bootpriorität im BIOS auf CD gestellt hast Du?

Wenn ja, versuche mal einen anderen Rohling.
Ich hatte hier einen Sony VAIO, der wollte eine CD-R von Intenso partou nicht akzeptieren.

Gruß Volker

eine was hab ich wo ??habe keine OTLBoot CD und auch keine Sony VAIO

was für eine geniale hilfe hier ... hab nun olt aber den malware scan kann ich nun auch nicht machen was bringtmir also dieser OLT mist????

Shadow 16.05.2012 20:06

Zitat:

Zitat von shakalX (Beitrag 829283)
was für eine geniale hilfe hier ... hab nun olt aber den malware scan kann ich nun auch nicht machen was bringtmir also dieser OLT mist????

Mist gibt beim Bauernhof, wenn du welchen brauchst oder machen willst, dann bitte dort.
OLTimer hat nicht die Malware geschrieben oder installiert ... Denk mal bitte darüber nach.

Wenn du individuelle Hilfe haben willst, dann ist möglicherweise ein Thread im Diskussionsforum nicht ideal.
=> Plagegeister aller Art und deren Bekämpfung

vüxle 17.05.2012 06:28

Ich fänd es sehr hilfreich, wenn das Entschlüsselungs Tool eine Überschreib Option für voher erfolglose Entschlüsselungsergebnisse hätte. Hintergrund: Ich habe festgestellt, dass nicht jeder Schlüssel auf alle Dateien passt. Daher läßt man am mehrere Schlüssel über viele Verzeichnisse laufen und kontrolliert stichprobenweise auf Erfolg. Ich weiss sonst nicht, wie man bei ner großen Festplatte (Terabyte) mit vielen Verzeichnissen sinnvoll arbeiten könnte. Das Avira Tools kanns nicht, das scareuncrypt von Bitlocker kann es. Allerdings stürtzt das scareuncrypt bei sehr großen Dateien (verschlüsselt Backup-Files) ab.

Grüße vüxle

Undertaker 17.05.2012 06:49

@shakalX,
ja, die Hilfe hier ist genial aber Hellseherei findest Du hier nicht.
Für Hilfe ist ein Mindestmaß an Eigeninitiative notwendig.
Dazu gibt es ganz oben Hinweise mit den entsprechenden Links.

moin moin vüxle,
das Verhalten des AVIRA Tools habe ich auch festgestellt und hier beschrieben:

http://www.trojaner-board.de/114115-...tml#post827300

markusg hat das Problem schon vor fast zwei Wochen an AVIRA weitergeleitet.
Schade dass AVIRA noch nicht reagiert hat.
Wenn scareuncrypt bei sehr großen Dateien aufgibt, kannst Du die vielleicht erstmal auslagern und den Rest in Ordnung bringen.
Das Kaspersky Tool überschreibt auch, arbeitet allerdings nicht selektiv auf einzelne Partitionen oder Verzeichnisse.
Letztendlich kannst Du auch über die Konsole (Eingabeaufforderung) bereits bearbeitete, aber unbrauchbare Dateien wieder löschen.
Beispiel:
attrib +H /S locked-*.* --> setzt alle locked- Dateien auf hidden, auch in Unterordnern.
del /S /A -H *.* --> löscht alle Dateien, außer hidden, auch in Unterordnern.
attrib -H /S *-* --> setzt das hidden für die locked- dateien zurück.

Danach sollten in den Verzeichnissen nur noch die locked- Dateien sein und Du kannst mit einem neuen Schlüsselpaar und dem AVIRA weiter machen.

Natürlich mußt Du vorher alle "guten" Dateien in Sicherheit bringen und es dürfen auch keine anderen Dateien in den Verzeichnissen sein.
del A -H *.* selektiert nur hidden und sonst nicht weiter, also Vorsicht!

Gruß Volker

moin moin vüxle,
das Verhalten des AVIRA Tools habe ich auch festgestellt und hier beschrieben:

http://www.trojaner-board.de/114115-...tml#post827300

markusg hat das Problem schon vor fast zwei Wochen an AVIRA weitergeleitet.
Schade dass AVIRA noch nicht reagiert hat.
Wenn scareuncrypt bei sehr großen Dateien aufgibt, kannst Du die vielleicht erstmal auslagern und den Rest in Ordnung bringen.
Das Kaspersky Tool überschreibt auch, arbeitet allerdings nicht selektiv auf einzelne Partitionen oder Verzeichnisse.
Letztendlich kannst Du auch über die Konsole (Eingabeaufforderung) bereits bearbeitete, aber unbrauchbare Dateien wieder löschen.
Beispiel:
attrib +H /S locked-*.* --> setzt alle locked- Dateien auf hidden, auch in Unterordnern.
del /S /A -H *.* --> löscht alle Dateien, außer hidden, auch in Unterordnern.
attrib -H /S *-* --> setzt das hidden für die locked- dateien zurück.

Danach sollten in den Verzeichnissen nur noch die locked- Dateien sein und Du kannst mit einem neuen Schlüsselpaar und dem AVIRA weiter machen.

Natürlich mußt Du vorher alle "guten" Dateien in Sicherheit bringen und es dürfen auch keine anderen Dateien in den Verzeichnissen sein.
del A -H *.* selektiert nur hidden und sonst nicht weiter, also Vorsicht!

Gruß Volker

Entschuldigung,
dass das hier doppelt erscheint war keine Absicht.

ts2000 17.05.2012 14:46

Zitat:

Zitat von Undertaker (Beitrag 829462)

und es dürfen auch keine anderen Dateien in den Verzeichnissen sein.
del A -H *.* selektiert nur hidden und sonst nicht weiter, also Vorsicht!

Genau, denn falls (wie es bei mir leider der Fall war...) nicht alle Dateien verschlüsselt wurden, kommt man nach einem erfolglosen Wiederherstellungsversuch mit den verfügbaren Tools nicht um etwas Handarbeit bei eingeschaltetem Hirn rum ;-) d.h. nur wenn es locked-* Dateien gibt, darf man das entspechende (fehlerhaft wiederhergestellte und somit unbrauchbare) Original löschen >> sollte irgendwann mal ein echtes Universaltool verfügbar sein, welches vorhandene Dateien einfach überschreibt, so kann man sich die handarbeit sparen....
Weiterhoffend und betend, da von der neuesten Variante betroffen...
ts2000

Vlado13 17.05.2012 15:26

Hallo,
ich bin Laie was PC angeht. Ich habe mir den Verschlüselungs-Trojaner gefangen. Etwas in Panik geraten habe ich versucht den Laptop in dem abgesichertem Modus wieder zu starten, es hat geklappt. Danach mit AntiVir gescannt. Konnte aber nichts entfernen.

Anschließend pc ausgemacht und wieder hochgefahren. Die Anzeige mit der Aufforderung zu zahlen war nicht mehr da. Die Dateien könnte ich allerdings nicht mahr öffnen. Danach habe ich versuch mit der OTLPENet den Laptop zu rebooten. Hat nicht funktioniert. Anschließend habe ich mit dem tune up utilities 2012 den Laptop abgescannt. Danach mit dem Malwarebytes. Ich befolgte alle Anweisungen was die genannten Scannprogramme angeht, Viren entfernt, hoffentlich.

Ich muss nun feststellen, dass ich keine verschlüsselte Dateien finde. Es existieren nur alle üblichen Dateien wie vorher. Beim Öffnen kommt ein Hinweis, dass die Datei beschädigt ist und kann nicht geöffnet werden.
Nach dem ich hier so viel gelesen habe, bin ich völlig durcheinander und weiß gar nicht weiter. Denn mein Problem ist hier gar nicht beschrieben, nämlich, was kann ich entschlüsseln, wenn es nichts zu entschlüsseln gibt. Sorry, wenn ich hier einige Regeln breche, aber ich weiß echt nicht weiter:headbang:

kaputtmacher 17.05.2012 17:20

hallo!

also mein mail-absender war von yahoo, das ist leider alles, was ich noch weiß... und gaaaanz großes dankeschön für die hilfe mit dem dekrypt-programm, hab meine daten wieder!!!!

fischer_andy 17.05.2012 20:14

Hi Leute.
Ich hab wieder mal einen Rechner eines Kunden bei mir.

Bekanntes Bild: Ukash Bild usw... Hab die Exe aus dem Starbereich entfernt; PC bootet wieder.

Aber jetzt:
Die Dateien sind "verschlüsselt". Und zwar die Dateinamen. Diese tragen z.B. Namen wie jtEVqxLdjsEVqGLUAt

Ohne Erweiterung (hab auch eingeblendet, die bekannten Dateinamenerweiterungen anzuzeigen usw...)


Die Dateiinhalte sind diesmal übrigens NICHT verschlüsselt. Ich kann Dateien --> öffnen mit.. Wordpad. Geht ganz normal auf; ohne Verschlüsselungs-Chinesisch.


Jetzt hab ich im Forum mal ein paar Seiten zurückgeblättert, ob das schon mal da war; hab aber nichts gefunden. Ist so ein Verhalten bei Euch schon bekannt oder ist das eine neue Variante?

Wenn Ihr sowas schon mal hattet - gibt´s dafür auch ein Tool? Damit z.B. anhand der Dateiheader die Extension wiederhergestellt werden kann?
Evtl. ist der Dateiname ja auch nach einem bestimmten Schema verschlüsselt?

Oder bin ich hier der Erste? (nicht-freu).

Bis dann
Andreas

Fabula 17.05.2012 20:18

Die Dateien wurden mit einem 256 Bit AES schlüssel verschlüsselt, es ist eine neue Variante, die der Kunde hier hat :/
http://www.trojaner-board.de/115183-...te-umlauf.html <- Hier lesen.

fischer_andy 17.05.2012 20:39

Die Datei selbst aber nicht, denk ich. Nur der Dateiname. Dateinamenerweiterung (.jpg / .doc / .xls / .pdf....) wurde gelöscht.

Fabula 17.05.2012 20:41

also statt bild.jpg
bild.jtEVqxLdjsEVqGLUAt ?

fischer_andy 17.05.2012 20:59

Nein, nur

jtEVqxLdjsEVqGLUAt

Keine Erweiterung, die auf den Dateity schließen lässt. Kein locked- vorher oder Ähnliches.
Und das bei tausenden Dateien.

Fabula 17.05.2012 21:32

Dann ist das die neue Variante, auf dessen Thread ich verlinkt habe :)

shakalX 17.05.2012 21:37

hat einer eine verschlüsselte windows beispiel bild datei ?? damit ich mit nen schlüssel erzeugen kann .... ??? bitte

Fabula 17.05.2012 22:03

Welche Windowsversion?

shakalX 18.05.2012 08:45

windows xp sp3

chapuisat 18.05.2012 09:36

Zitat:

Zitat von Vlado13 (Beitrag 829607)
Hallo,
ich bin Laie was PC angeht. Ich habe mir den Verschlüselungs-Trojaner gefangen. Etwas in Panik geraten habe ich versucht den Laptop in dem abgesichertem Modus wieder zu starten, es hat geklappt. Danach mit AntiVir gescannt. Konnte aber nichts entfernen.

Anschließend pc ausgemacht und wieder hochgefahren. Die Anzeige mit der Aufforderung zu zahlen war nicht mehr da. Die Dateien könnte ich allerdings nicht mahr öffnen. Danach habe ich versuch mit der OTLPENet den Laptop zu rebooten. Hat nicht funktioniert. Anschließend habe ich mit dem tune up utilities 2012 den Laptop abgescannt. Danach mit dem Malwarebytes. Ich befolgte alle Anweisungen was die genannten Scannprogramme angeht, Viren entfernt, hoffentlich.

Ich muss nun feststellen, dass ich keine verschlüsselte Dateien finde. Es existieren nur alle üblichen Dateien wie vorher. Beim Öffnen kommt ein Hinweis, dass die Datei beschädigt ist und kann nicht geöffnet werden.
Nach dem ich hier so viel gelesen habe, bin ich völlig durcheinander und weiß gar nicht weiter. Denn mein Problem ist hier gar nicht beschrieben, nämlich, was kann ich entschlüsseln, wenn es nichts zu entschlüsseln gibt. Sorry, wenn ich hier einige Regeln breche, aber ich weiß echt nicht weiter:headbang:

Hallo Vlado,

ich habe dasselbe Problem. Trojaner eingefangen, entfernt, aber die meisten Dateien sind nicht mehr lesbar, vor allem .jpg, .pdf, .xls. Die schauen ganz normal aus, Name ist wie immer, aber beim Öffnen kommen Fehler.

Konntest Du das Problem lösen, wenn ja, wie?!

Chapuisat

Zitat:

Zitat von matkuni (Beitrag 820868)
So, hier ein neues Release, mit dem ich auch selber soweit zufrieden bin!

Die Entschlüsselungsroutine, welche weiterhin die verschlüsselten Dateien als Sicherheitskopie behält, arbeitet jetzt auch wesentlich schneller und kommt fast an die direkte Methode ran! Ich empfehle also jedem, dass er den Haken bei "Sicherheitskopie behalten" aktiviert lässt.

Die alte Entschlüsselungsmethode, die bei zwei Benutzern teilweise defekte Bilder hervorgerufen hatte (bisher nicht bestätigt/rekonstruiert), wurde komplett ausgetauscht.
Meine verwendeten Testfälle laufen soweit prima und ich hoffe weiterhin auf Feedback!

Ich mag es eigentlich gar nicht, wenn bei jeder Kleinigkeit direkt zum "Spenden" aufgerufen wird, aber da bereits mehrere Benutzer nach meiner Paypal-Adresse gefragt haben, will ich sie nicht vorenthalten.. matthias@kunig.org - ich fand die letzten beiden Tage und Nächte aber auch so spannend und stelle die Anwendung gerne zur Verfügung! :)

Download: DecryptHelper 0.5

Auf eigene Gefahr! Vorher (auch die verschlüsselten) Dateien sichern!
Die verschlüsselten Dateien nicht löschen, auch wenn die Entschlüsselung auf den ersten Blick erfolgreich war!

Hallo Matkuni,

ich bin etwas verzweifelt, habe auch den Verschlüsselungstrojaner gehabt und auch bereits beseitigt. Leider hat er mir wohl viele Dateien verschlüsselt. Diese haben aber alle den Originalnamen beibehalten, also kein Zusatz vor oder nach dem Dateinamen.

Ich habe bereits mehrere Tools ausprobiert, Avira Ranson File Unlocker, ScareUncrypt, matsni1decrypt und auch Deinen Decrypt-Helper 0.5. Mit allen Tools kann ich keinen gültigen Schlüssel generiren und somit auch nichts entschlüsseln.

Ich habe ein Bild als Beispiel auf meinen Dropbox Account gelegt, Du kannst Es Dir mal vielleicht ansehen, wenn Du Zeit hast. Es ist das verschlüsselte und das Originalfoto dabei.

https://www.dropbox.com/s/nuw06zblim6rvi6/Bilder.zip

Mein Beitrag dazu, leider noch ohne Hilfe: http://www.trojaner-board.de/115303-...er-e-mail.html

Danke und Gruß
Chapuisat

Fabula 18.05.2012 11:09

Zitat:

Zitat von shakalX (Beitrag 829983)
windows xp sp3

hier:

http://2.bp.blogspot.com/_cByq9R3sgH...nuntergang.jpg

DerJazzer 18.05.2012 11:26

@shakalX & Fabula:
Meiner Meinung nach werden Bilder beim Hochladen verändert, das gepostete Bild bringt also nicht viel, so gut die Hilfe auch gemeint war :heilig:

Hier bekommst du die Originale
http://www.trojaner-board.de/114115-...tml#post820441

Fabula 18.05.2012 11:42

Werden sie? Wäre mir neu, wieder was gelernt :D Und den Link hatte ich nicht gefunden.

shakalX 18.05.2012 12:28

na die Beispiel Bilder normal hab ich ja ... nur ich brauch davon eine verschlüsselte oder nicht dait ich den schlüssel erstellen kann... hab das da schon probiert aber das hilft nix da wird nix weider hergestellt

Undertaker 18.05.2012 13:10

Zitat:

Zitat von shakalX (Beitrag 830043)
na die Beispiel Bilder normal hab ich ja ... nur ich brauch davon eine verschlüsselte oder nicht dait ich den schlüssel erstellen kann... hab das da schon probiert aber das hilft nix da wird nix weider hergestellt

@shakalX,
irgendwie reden wir aneinander vorbei.
Verschlüsselte Beispielbilder eines anderen Rechners helfen Dir garnicht.
Die Verschlüsselung erfolgt individuell auf den jeweiligen Rechner.

Hier ist der Diskusionsthread, hier wird über alle Varianten diskutiert.
Wie sehen denn Deine verschlüsselten Dateien überhaupt aus?

So: locked-xxxxxxx.yyy.gtre
oder so: ExdErsdERgfXySw

@shadow hat Dir hier

http://www.trojaner-board.de/114115-...tml#post829353

bereits geraten, einen eigenen Thread zur individuellen Hilfe zu eröffnen.

Bei der Diskussion hier kommst Du sonst noch völlig durcheinander.

Gruß Volker

AlbertM 18.05.2012 14:59

Ich habe gestern einen Trojaner erhalten, der auf einem Rechner die Dateien umbenennt und verschlüsselt. Ich habe auch schon das Tool DecryptHelper 0.5.3 von Matthias Kunig probiert, leider ohne Erfolg. System: Windows 7 Home Premium.

Symptome:
Die Dateien werden umbenannt und verschlüsselt, z.B.:
Originalbild: Chrysanthemum.jpg
Neuer Name: jnqujtlxXOjrGgJJLG

Ich habe mal eine Kopie der umbenannten Datei erstellt (sicherheitshalber per Ubuntu LiveCD gebootet, auf leeren USB-Stick kopiert, und dann auf einen sauberen XP-Rechner angesehen) und sie in eine .jpg umbenannt. Sie ist aber nicht lesbar, also wohl nicht nur umbenannt sondern auch verschlüsselt.

Ich habe dann Originaldateien und die verschlüsselten Versionen versucht mit DecryptHelper 0.5.3 zu bearbeiten, doch hier schlägt schon die Erzeugung des Schlüssels fehl. Ich wähle nach Aufforderung die verschlüsselte Datei aus, dann die zugehörige Original-Windows-Beispielbilddatei (aus dem hier im Forum verlinkten Archiv), dann erscheint die Meldung "Der Schlüssel konnte nicht bestimmt werden!". Jetzt bin ich ratlos.

Gibt es irgendwelche Ideen, wie ich die Dateiinhalte wieder entschlüsseln kann, evtl. sogar die Dateinamen wiederherstellen kann? Jede Hilfe dazu wäre echt nett!

Leider sind die verschlüsselten Windows-7-Beispielbilder alle größer als 488 kb, so dass das Größenlimit für Zip-Dateien des Forums überschritten wird und ich die verschlüsselten Dateien hier nicht hochladen darf. Falls benötigt kann ich sie aber gerne zumailen.

shakalX 18.05.2012 15:09

das is ja das witzige die sehen normal aus nur der inhalt ist Schwachsin ... Kyrilisch ist nichts dagegen

Undertaker 18.05.2012 15:27

Zitat:

Zitat von shakalX (Beitrag 830093)
das is ja das witzige die sehen normal aus nur der inhalt ist Schwachsin ... Kyrilisch ist nichts dagegen

Dann wirst Du Dir eine der neuesten Varianten eingefangen haben.

Schau mal hier:

http://www.trojaner-board.de/115183-...tml#post828893

Momentan hilft da nur abwarten.

Die hier diskutierten Tools helfen nur bei Dateien der Form locked-xxxx.yyy.zzzz und auch da nicht bei allen Dateien.

Gruß Volker

o815hexe 18.05.2012 17:12

kann ich meinen verseuchten laptop auch mit einem usb-stick auf dem ich malwarebyte gespeichert habe irgendwie hochfahren? komme weder dazu einen gastzugang anzulegen noch kommt das START-zeichen dass ich da irgendwie weiterkäme...

...bin blutiger laie aber auf den laptop angewiesen..

Racheengel 18.05.2012 17:45

hallo :)



ich ahbe auch eine m ail bekommen und bin mit den nerven seit heute früh am ende.
meine war

Sehr geehrte Damen und Herren,

Besten Dank für Ihren Vertrag mit Blumenbutler, nachfolgend finden Sie Ihre Vertragsbestätigung.

Ihre Auftragsnummer: 896548154152
Artikel: Nikon 3854964463 5444,34 Euro
Rechnungsname: Wie in Vertragsdaten gekennzeichnet


Zahlungsmethode: Lastschrift

Versandadresse und detaillierte Zahlungsdetails finden Sie zwecks Sicherheitsmaßnahmen im Zusatzordner in der E-Mail.

Die Überweisung wurde autorisiert und wird innerhalb 4 Tage abgetragen.
Kaufeinzelheiten und Widerspruch Erklärung finden Sie in beigefügter Datei.


Ihr Kunden-Team

Alster GmbH
Horner Stieg 86
41073 Keiserslauter

Telefon: (+49) 334 8745384
(Mo-Fr 8.00 bis 19.00 Uhr, Sa 9.00 bis 19.00 Uhr)
Gesellschaftssitz ist Aulendorf
Umsatzsteuer-ID: DE023395120
Geschäftsfuehrer: Charlotte Lang



so kam nun nicht mehr inpc rein und probierte es mit windows defender.
nun bin ich bei problem 2 mit sehr geehrte damen und herren usw
da hilft irgendwie garnix mehr.

lasse gerade malewarebytes durchlaufen und schau was der sagt.
mit DecryptHelper 0.5.3 kenne ich mich nicht aus und avira ransom auch nicht wirklich :(

habe musik auf dem rechner das sind nur noch zahlen und die bilder auch nur noch zahlen und weiss eben nicht wie was ich nun mit decrypt bzw avira machen soll kann leider auch kein englisch :(


mfg karin und vielen dank im vorraus

hallo :)


habe schon alles probiert und kenne mich leider nicht aus :(
habe musik auf meinen rechner des sind nur noch zahlen wegen dem trojaner
und weiss nicht wie ich schlüssel usw erstellen kann. habe auch schon avira probiert kann aber leider kein englisch und kenn mich auch sonst nicht so aus mit denen programmen.
beispüielbilder und musik habe ich auf dem anderen nicht infizierten rechner noch drauf aber das klappt nicht weil datei unterschiedlich gross oder identisch :( stehe auf dem schlauch.
lieben gruss karin :heulen::heulen::heulen:

Shadow 18.05.2012 18:01

Da es hier ein Diskussions(unter)forum ist:
Warum zum Teufel macht man auch solche E-Mails überhaupt (normal) auf?

Racheengel 18.05.2012 18:09

das war nicht ich sondern es geht um mamas laptop und da die gute dame schon ewtas älter ist und panik bekommt wenn sie sowas liest hat sies aufgemacht. schuldzuweisungen hatte sie heute schon genug glaub mir und dadurch das es nicht geblockt wurde usw bekam sie eben panik aber lernte draus.

habe den decrypter und avira ransom probiert geht aber nicht. beim decrypter schreibt er trotz original vorhandenen mp3 und verschlüsselter mp. schlüssel kann nicht ermittel werden warum nur ???
habe es mit mehreren liedern probiert funktioniert nicht.

henrye 18.05.2012 22:03

Hallo,
ich habe alle decrypt Tools versucht aber leider keinen Erfolg,
Würde es helfen wenn ich die gecrypteten Beispiel Dateien zur Verfügung stelle ?
Das OS ist ein Vista Home Premium.

Thx
Henry E

Undertaker 19.05.2012 07:49

Zitat:

Zitat von henrye (Beitrag 830216)
Hallo,
......Würde es helfen wenn ich die gecrypteten Beispiel Dateien zur Verfügung stelle ?
Das OS ist ein Vista Home Premium.

Thx
Henry E

Nein, das hilft nicht.
Wie sehen denn Deine verschlüsselten Dateien aus?
So, locked-xxxxxx.yyy.zzzz oder so AdrGHJikuTgfH ?

Wenn sie locked- sind, dann hilft nur weitersuchen nach passenden Dateipaaren.
Wenn sie nur aus Zeichen, ohne Endung bestehen, dann hättest Du schon beim Überfliegen des bisher Geschriebenen festgestellt, dass die Tools da überhaupt nicht helfen und Abwarten angesagt ist.

Gruß Volker

markusg 19.05.2012 09:34

@wie kann ich meinen pc bereinigen.
eröffnet dafür bitte um gottes willen neue themen in den passenden unterforen, die sind dafür da, dieser thread gehört dem decrypt helper, und es würde den thread übersichtlicher halten, wenn nur dazu fragen gestellt werden bzw anmerkungen gemacht werden, danke.
info zum datei einsenden:
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
makrusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

henrye 19.05.2012 11:38

Hallo,
die Dateien heißen locked-Humpback Whale.jpg.mfyy usw.
Wenn ich dich richtig verstehe Volker, sollte ich versuche möglichst viele Dateien zu probieren um dann einen passendes Pärchen zu finden ?
Weiß jemand wo ich die Demo Bilder oder die Beispiel Musik auf einer original Vista DVD finde ?
Denn zur Zeit habe ich nur 3 Pärchen und die funktionieren leider nicht.

Thx

Henry E

ts2000 19.05.2012 12:02

Zitat:

Zitat von henrye (Beitrag 830354)
Denn zur Zeit habe ich nur 3 Pärchen und die funktionieren leider nicht.

Thx

Henry E

Es gibt leider Varianten, so auch bei mir der Fall, bei denen die vorhandenen Tools (bisher) entweder keinen Schlüssel erzeugen können, bzw. (scareuncrypter) mit dem generierten Schlüssel entschlüsselte Daten nur Schrott sind !!

Also wenn die Pärchen die Du schon hast, wirklich Pärchen sind, die TOOLS jedoch beim Entschlüsseln anderer Dateien fehlschlagen, hast Du dir ebenfalls eine dieser neuen Varianten eingefangen. Da gibt es momentan nur einen Rat: verschlüsselte Dateien sichern, neuaufsetzen und abwarten bis es Tools für die neuen varianten gibt. :aufsmaul:

Undertaker 19.05.2012 12:32

@henrye,
die Beispielbilder helfen nur, wenn die bei Dir auch betroffen sind.
Sicherlich kann die Dir ein Vistanutzer zur Verfügung stellen.
Du findest auch hier welche:
http://www.trojaner-board.de/114115-...tml#post820441
Grundsätzlich sollten die Tools bei Deiner Art von Verschlüsselung helfen.
Es kommt auf das Schlüsselpaar an.
Ein Beispiel:
Ein Kunde, der Kundenrechner mit 12000 verschlüsselten JPGs, hat mir 3 DVDs mit mehreren hundert Originalbildern zur Verfügung gestellt.
Mit einem Paar aus 2012 konnte ich ca 3000 Bilder regenerieren.
Ein weiteres Paar aus der gleichen Charche brachte nicht mehr.
Mit einem Paar aus Bildern von 2010 gelang dann die Rekonstruktion weiterer Bilder.
Letztendlich, nach vielen Versuchen, konnte ich alle Bilder wiederherstellen und brauchte insgesamt 4 Schlüsselpaare aus Dateien zwischen 2008 bis 2012.
Noch ein Tip, wie man eventuell zu Originaldateien kommen kann.
WQer Mails mit Anhängen verschickt, findet eventuell in den verschickten Mails noch entsprechende Originaldateien.
Ansonsten, wie @ts2000 sagte, Dateien sichern und abwarten.

Gruß Volker

meineMeinung 19.05.2012 12:45

Hallo, allseits!

Ein Kunde von mir hat das selbe Problem, interessanterweise sind die verschlüsselten Dateien NICHT umbenannt, ansonsten aber auch nicht zu verwenden.
Hat jemand hierfür schon eine Lösung?

Gruss!
mM

chapuisat 19.05.2012 12:57

Zitat:

Zitat von meineMeinung (Beitrag 830420)
Hallo, allseits!

Ein Kunde von mir hat das selbe Problem, interessanterweise sind die verschlüsselten Dateien NICHT umbenannt, ansonsten aber auch nicht zu verwenden.
Hat jemand hierfür schon eine Lösung?

Gruss!
mM

Hier dasselbe Problem, noch keine Lösung. Offenbar soll es mit ScareUncrypt gehen, habe es aber noch nicht erfolgreich anwenden können :-(

Gruß
chapuisat

meineMeinung 19.05.2012 13:57

Hab´s soeben versucht - funktioniert auch nicht. Das Ding hätte 6gb Daten in 1 Sekunde entschlüsselt, das glaub ich nicht. :)

mM

ts2000 19.05.2012 16:31

Zitat:

Zitat von Undertaker (Beitrag 830407)
Noch ein Tip, wie man eventuell zu Originaldateien kommen kann.
WQer Mails mit Anhängen verschickt, findet eventuell in den verschickten Mails noch entsprechende Originaldateien.
Ansonsten, wie @ts2000 sagte, Dateien sichern und abwarten.

Gruß Volker

@Undertaker:
Hallo Volker,
mit welchem Tool hast Du die mühevolle Aufgabe denn absolviert ? Falls mit scareunlocker, hast Du da die (erfolgbringenden) Schlüsseldateien aufgehoben ? Greife nach jedem Strohhalm ...:killpc: Evtl. könntest Du uns ja diese zur Verfügung stellen ... Versuch macht kluch :dankeschoen:
Falls nicht mit scareunlocker, könntest Du mal prüfen, wieviel Bytes in den Dateien deines Kunden verschlüsselt=verändert waren, bei meinen Daten sind es "nur" ca 11263 Bytes. Anhand dieses Merkmals kann man u.U. sagen, ob die gleiche Routine verwendet wurde...

Gruß Rainer

Undertaker 19.05.2012 18:24

Hallo Rainer,
den ersten Durchlauf habe ich mit dem AVIRA gemacht. Nach dem 2. Schlüssel war schon klar, dass das Teil nicht überschreibt.
Ab dann mit dem scareUncrypt, nicht mit der 32k- und der 512k-Version.

Die Schlüsselpaare werden Dir wenig helfen, sie sind maschinenabhängig.
Wenn Du willst, kann ich Dir aber meine Paare schicken.

Die Dateien waren von 000h bis fffh verändert, also die ersten 4k.
Ab 1000h war alles unverändert.

Hier ein Beispiel:

http://www.due-m.de/compare.jpg

Gruß Volker

henrye 19.05.2012 19:56

Danke für Eure Tipps.
Ich denke mal das wichtigste ist das der Laptop nun sauber ist.

Die Bekannte ist frische Mutter und hat natürlich kein Backup der Bilder! :nono:

Aber nach dem es nun passiert ist gilt es möglichst viele Bilder zu retten.
Sie meinte sie hätte noch ein paar originale auf einem Ei Phone, die verlinkten Beispiel Bilder aus dem Forum hatte ich schon versucht.

Am Montag habe ich Zugriff auf ein Vista und kann mir die Bilder da holen.

Schauen wir mal was noch geht.

Thx
Henry E

ts2000 19.05.2012 21:57

Zitat:

Zitat von Undertaker (Beitrag 830592)
Ab dann mit dem scareUncrypt, nicht mit der 32k- und der 512k-Version.

Die Schlüsselpaare werden Dir wenig helfen, sie sind maschinenabhängig.
Wenn Du willst, kann ich Dir aber meine Paare schicken.

Die Dateien waren von 000h bis fffh verändert, also die ersten 4k.
Ab 1000h war alles unverändert.

Gruß Volker

@Undertaker:

Dein Dateivergleich sagt mir, daß es bei mir definitiv nicht die gleiche Version war wie bei deinem Kunden, denn meine Dateien zeigen Veränderungen bis ca. 11KB.

Also kann ich mir weitere Versuche mit den bestehenden Tools bzw. Dateipaaren erstmal ersparen.

Eins habe ich noch nicht verstanden:
"Ab dann mit dem scareUncrypt, nicht mit der 32k- und der 512k-Version."

Gibt es unterschiedliche Versionen von Scareuncrypt, bzw. welches ist die 512k-Version ?

Danke und gute Nacht :heilig:
Rainer

Undertaker 19.05.2012 22:20

Zitat:

Originalzitat von BitFox:
Wir haben verschiedene Dateien bereit gestellt, damit Menschen mit z.B. Archiven nicht so ewig warten müssen, bis die Dateien wieder brauchbar sind.

scareuncrypt.exe -> Für Systeme mit wenig Arbeitsspeicher, arbeitet recht langsam.
scareuncrypt32K.exe -> Für Systeme mit mehr Arbeitsspeicher, arbeitet mäßig schnell.
scareuncrypt512K.exe -> Für Systeme mit viel Arbeitsspeicher, arbeitet sehr schnell.

Einfach einmal ausprobieren.
WICHTIG: KEINE HAFTUNG FÜR EVENTUELLE SCHÄDEN.
DIE ANWENDUNG GESCHIEHT AUF EIGENE GEFAHR HIN.
BITFOX Ltd. & Co. KG
Oliver Lenz
Postfach 102523
45025 Essen
Die aktuelle Version des Tools macht diesen Unterschied scheinbar nicht mehr.

Milinder 20.05.2012 06:54

Hallo

Kann nur sagen, das Teil von Avira ist sehr gut. Schlüssel erzeugen und fertig.
Irgendwo hat jeder sicher eine originaldatei auf dem Handy oder einer CD.

Bei mir war der komplette Pc voll mit diesen locked - dateien.
Umbenennen bringt nicht viel, meistens wird das Ergebnis unbrauchbar.
Mp3 dateien brennt jeder mal auf Cd - oder jpg auf dem Usb Stick

Gruß Michael

cologne1 20.05.2012 12:01

Hallo zusammen,

ich habe nun diverse Proigramme zum Entschlüsseln versucht, entweder das Paar passt nicht, oder kein Schlüssel gefunden. Nun habe ich es mit dem Uncripter versucht:
- Schlüssel wurde gefunden, Dateien wurden entschlüsselt, aber:
-Bilder nicht zu öffnen
-Filmdateien nicht zu öffenen
-MP3´s 90 % in Ordnung, aber der Rest wie bei den Bildern und Filmen Dateiformat nicht erkannt.
Viele Grüße


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:33 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131