|
@cologne1, das ist ja schon ein Anfang, da hilft nur weiter nach anderen Schlüsselpaaren zu suchen. Ich habe das hier schon mehrfach gepostet. Zum Glück hatte ich mehrere hundert Originalbilkder zur Verfügung. Daraus konnte ich mit vier Dateipaaren 12000 JPGs rekonstruieren. Die Originale dieser vier Dateien waren aus unterschiedlichen Jahren (2008, 2010, 2011, 2012). Dateien aus der gleichen Bilderserie z.B. Bild001.jpg bis Bild120.jpg oder die zeitnah im gleichen Jahr aufgenommen wurden, lieferten auch nur die gleichen Teilergebnisse. Gruß Volker |
In dem Post "http://www.trojaner-board.de/115183-...ml#post830795" habe ich beschrieben, wie ich auf einem Windows7 Rechner fast alle Dateien wieder herstellen konnte. Gruß DevilTH |
naja, ein Anfang ist es, (hatte die Original-Vergleichsdatei, war eine MP3 im Mailanhang in gesendete Objekte wiedergefunden) Was ein Glück , weil bei mir alle 3HDD´s betroffen sind, vielleicht finden wir ja noch eine Möglichkeit auch die Bilder wiederherzustellen |
Hallo, ich konnte dan DecryptHelper-0.5.3 einen Schlüssel erzeugen und auch die alle dateien (jpg,doc,pdf,xls usw.) entsperren. Nur habe ich das Problem das die Dateien danach immer noch unbrauchbar sind, da man Sie nicht öffnen kann bzw. es aussieht als ob kein inhalt vorhanden wäre. Die Dateien habe aber ihre richtige Größe usw. Hat jemand einen Rat? Gruß Alex |
Ich bin neu hier. Ich bin von den Neuen Trojaner betroffen. Einige Dateien siehen wie lrjAttyAtsOylsNN aus. Jedoch meine Erkenntnisse: Es sind einige Dateien verschlüsselt und zwar in alphabetischer Reihenfolge: Das Ganze Lauwerk C und teils Laufwerk D. Lauwerk D bis zum Order d:\D.....\f..... Rest ist verschont. Desweiten habe ich festgestellt, dass im Ordner d:\d.....\c....\Nuty na keyboard (CeZzZi) der Name geändert wurde vom "Nuty na keyboard". Diese Endung (CeZzZi) habe ich nicht zugefügt. Die Dateien, die ich verglichen habe (Bilder), sind bis zu Position 12288 (3000HEX) geändert. Meine Überlegung ist auch ob die Datei C:/WINDOWS/system32/2C392FCDCC2AC3E052EB.exe wirklich einen zufälligen Namen hat, ob vielleicht irgendwas mit der Verschlüsselung zu tun hat. Ich hoffe, dass jemand eine Lösung findet. Viel Glück. Ich werde auch weiter Lösung suchen. Ich bestätige, die Dateien sind ab 3000HEX byte nicht geändert worden. Habe PDF-Dateien geprüft. Kann jemand damit was anfangen oder bestätigen? |
ich würde gerne die Suche nach passenden Decrypter vorantreiben. Ich habe 2 emails erhalten mit Rechnung im zip Format. Ich habe natürlich nichts bestellt. Ich habe sie auch noch nicht gelöscht und natürlich auch nicht den Anhang geöffnet. Aber ich habe immernoch den Computer meiner Chefin, der mit der variante vom 04.05.2012 verseucht ist, wo auch das entschlüsseln mit Paaren nicht funktioniert. Ich würde sie gerne an MarkusG weiterleiten. Ich arbeite aber mit AOL im Browser. Also wie soll ich die emails weiterleiten? |
Brauchen dringend Hilfe!!!!!! Bei uns funktionieren die Entschlüsslung nicht. Wir bekommen immer wieder die Meldung das die zwei Dateien nicht übereinstimmen. Die Dateien sind sehr wichtig, es ist leider nur ein Teil vorher gesichert wurden. Wir haben morgen ein wichtigen Termin und brauchen die Daten. Wer kann uns schnell helfen. Verschlüsselte Datei sieht so aus E:\1 IFS QMH neu\3 Personal Schulung\locked-Schulung Vorgehensweise beim Hartplastikbruch.doc.sfai |
Hier hat bisher kein Eccrypter den richtigen Schlüssel gefunden. Hab eine Originaldatei und eine verfälschte Datei. Anhand der Größe, Datum und Uhrzeit zueinander. Aber bisher hilft nichts :( es heisst nur "Schlüssel konnte nicht gefunden werden" Hab Matthias Tool probiert, Kasperskys und Bitdefender, Avira und Norton. Vielleicht wisst ihr noch ein Tool das auf aktull verschüsselte (BKA-Trojaner) spezialisiert ist ? Dateinamen ist "jqjyjqAyleleleDsDsD" statt "Bilder Monte Garten 013.jpg" Wäre schön wenn es da noch was gibt. Danke schon mal im voraus. |
Entschlüssung wurde als erfolgreich angezeigt mit ESET. Datei sieht nun so aus #ïÔ|Ñ¥6Q˜Ìd¸W×Êp9²&x;‘Û0 üçêV Т>/uŒÅ™Îø ˆÉWÌO Á©6ÐÇàHªqî )+ ŠåJkywj– `¹WÙŠ}ZX¨ ]Æå¾!ä›GÓ4ç1z¯Ÿ pZo †×Ú ‰ 64ºFF²{ ¯ ÜÄâßX[jo¾ÈÀOv€õg Ì•i‡;é¿…q4qxéæ!`l † Es war vorher eine doc Datei. |
@scos, hier ist das Diskussionsforum. Ganz oben steht Hinweis: Vorgehen beim Verschlüsselungs-Trojaner Wenn Du Hilfe brauchst, dann mache einen eigenen Hilfethred auf und beginne mit o.g. Punkt 1- Du rufst hier nach Hilfe, ohne jegliche Angaben zum System, zur Variante das Trojaners, wie sich die verschlüsselten Dateien darstellen. Mir scheint, Du hast hier in den betreffenden Foren nicht weiter gelesen. Wenn dem so wäre, dann wäre Dir auch klar, dass eine Rekonstruktion nur bei verschlüsselten Dateien der Form locked-xxxxxx.xyyy.zzzz bedingt Erfolg hat. Weiterhin wüsstest Du, dass bei Dateien der Form DJGHKrhjTUZUIg eventuell auf einen Windows-Widerherstellungspunkt vor der Vireninfektion zurück gegriffen werden kann. Ansonsten hilft nur Daten verschlüsselt sichern und Abwarten. Gruß Volker |
Hallo. Bin neu hier. Mal ne ganz fiese Frage: Was passiert, wenn man zahlt? Sind die Dateien dann wieder lesbar? Gibt es da Erfahrungswerte? Oder passiert einfach nichts UND das Geld ist weg? Ich weiss, ich weiss, in mir sträubt sich alles dagegen, die Verursacher auch noch zu belohnen, aber in der Not frisst der Teufel Fliegen. Bitte antwortet mal sachlich. Ich habe hier nämlich echt ein fieses Problem, wenn ich nicht wieder an die Dateien komme. Gruss McNugget |
Hi, Ich habe hier einen am freitag infizierten Rechner, die Dateien sehen alle ungefähr so aus JguGdsfxDTspDyn, weder ein wiederherstellungspunkt noch die tools avira unlocker, scareuncrypt, decrypter helper oder te94decrypt haben geholfen. Da noch ein altes Backup existiert, habe ich eine große Anzahl unbeschädigter Dateien zum Vergleich. Bin für jeden weiteren Lösungsansatz dankbar, Beste Grüße Nor |
Zitat:
|
moin moin McNugget, irgendwo, ziemlich am Anfang der mittlerweile fast 1000 Postings zum Thema, hat einer gepostet, ein Bekannter habe gezahlt und die Daten wieder erhalten. Das war noch die Trojanervariante vom April. Das war aber Hörensagen. Selbst hat das hier wahrscheinlich noch keiner getan. Möglich ist zwar alles, ich würde aber von Deiner letzten Vermutung ausgehen, Geld und Daten weg. Wie sollte man auch zu dem Schlüssel kommen, wenn der Rechner lahm gelegt ist, per Post mit BootCD oder der Geldempfänger kommt persönlich vorbei und hackt sich wieder in den Rechner ein? Du übermittels nur den Ucash-Code nix weiter. Die Rekonstruktion müsste dann simultan online erfolgen oder die Routine müsste im Trojaner selbst existieren. Aber auch da müsstest Du online bleiben, bis der Request der Ucashprüfung erfolgt ist. Stell Dir mal vor, 1000, 2000 oder 3000 Betroffene zahlen. Die Hacker brauchten dazu eine kleine GEZ um das zu händeln. Ich bin mir sicher, beim Zahlen ist die Kohle weg und Du stehst immer noch im regen. Gruß Volker |
Moin zusammen, das ist eine sehr fiese (aber vielleicht schnelle) Art, mit unschuldigen Usern Geld zu machen. Wenn man zahlt ist das Geld weg.............darin dürfte ja wohl kein zweifel bestehen...... egal was man macht ob zahlen oder nicht, man steht mit einem riesigen Problem da, zumal zur zeit keine vernünftige Lösung in sicht ist. Es gibt so viele versch. Varationen dieses Viruses das für jede Art eine eigene Lösung geschaffen werden müsste...... - der eine Verschlüsset den ganzen Dateinamen - der ander nennt um und verschlüsselt dann - wieder ein anderer belässt den Dateinamen und ändert die Dateiinformationen usw. usw. für alle die betroffen sind ist das mehr als dumm gelaufen...... so hart das auch sein mag sorry wenn ich das so sage...... aber ich muss auch sagen das sehr viele User nicht richtig lesen, wenn sie eine Mail usw. erhalten (einige unserer Kunden eingeschlossen)...der Inhalt dieser Mail (ohne das ZIP zu aktivieren) hätte eigentlich schon alle Alarmglocken schlagen lassen müssen, jeder weiss doch ob er im Internet oder wo auch immer etwas gekauft hat was eine solche Re-Summe rechtfertigt...... sorry nachmals an alle die es gemacht haben........möchte nicht noch Öl auf die Wunden schütten...aber es ist so Didek |
Ok... Sieht also echt mies aus... Rechtliche Seite? Sammelanzeige gegen unbekannt? So wie hier die Antworten reinprasseln, haben sicher hunderte, wenn nicht tausende User das Problem. Sollte man da nicht versuchen, die Übeltäter irgendwie in den Knast zu bekommen? Ich bin wirklich sauer. Habe zwar wohl auch einige wenige Dateien, die als Ursprungsdatei für eine wie geartete Wiederherstellung herhalten könnten, aber irgendwie möchte ich auch, dass jemand dafür "bezahlt". In irgendeiner Weise. Die Kontoinhaberdaten bei Ucash oder beim Zielkonto herausklagen und dann fette Anzeige mit hunderten Nebenklägern. Normalerweise müsste es für so etwas eine so drakonische Strafe geben, dass der Verursacher schon fast seines Lebens nicht mehr froh wird.. Und wenn es Gruppenkeile von jedem Betroffenen wären... Da wäre ich dann gerne bei.... Also, Rechtsanwälte/Staatsanwälte vor: Wie geht man die feigen Verursacher an? Gruss McNugget |
Wie soll man gegen so Arsch.... vorgehen, die irgendwo im tiefen osten sitzen. Ich sitz gerade am Rechner meines CHEFE. Dort konnte ich zwar dank Festplatte ausbauen und am anderen Rechner bereinigen die Dries Malware wegbekommen. Aber fasst alle Dateien sind verschlüsselt. Zum Glück ist das nicht mir passiert. :singsing: In der Bildschirmmitteilung nach dem Start war eine E-Mailadresse aus Litauen. Viel Spaß demjenigen, der da einen Schuldigen dingfest machen will!!! Ich werd jetzt alle verschlüsselte Daten auf nen externen Speicher packen und die Kiste von Grundauf neu installieren. Falls der Entschlüsslungsallgorithmus auftaucht, wäre ich und vor allem mein GEldgeber überglücklich. KRIEG den Schweinepriestern die daran gefallen finden. Schade das man keine Sackläuse per Email verschicken kann:twak: |
Hoi Mathias, ich habe mir gestern einen Verschlüsselungs-Trojaner von: security-center@inbox.lt eingehandelt. War in einer Rechnung verpackt (da sollte mal jemand ein paar Beine brechen). Der Virius ist weg (Quarantäne) Registry ist sauber. Die vier MS-Beispielbilder haben ich mit Version 0.5.3 erfolglos versucht zu entschlüsseln. Ich könnte mehrere Verschlüsselte- und Original-Dateien (vom Pocket-PC Synchronisierung zur Verfügung stellen - ich bin zwar ein schwerbehinderter (Amnesie) Frührenter (Informatik) aber nicht mehr gut beeinander. Würde die Bemühungen auch bezahlen? Wie beschrieben könnte Virus, Dateien zur Verfügung stellen - weis aber nicht wie ich den Virus zu Euch bekomme? Auf dem neuinstall. Win7 64bit ist mein ganzes Leben drauf bzw. was ich mir so langsam wieder beibringen/lernen wollte. Grüessli Wolfgang |
Habe beim Laptop von meinem Kolegen mehr Glück gehabt. Habe im 1. Versuch, so wie es aussieht, alle Dateien entschlüsseln können mit Decrypthelper 5.3. Es war nur das Problem:keine Originaldatei vorhanden, weil der Ordner Beispielbilder vorher gelöscht wurde und keine Datei auf der Kamera war. Auf dem Rechner war aber ein Instalationsordner von Open Office2.4 mit verschlüsselten Dateien. Habe also eine alte Version gesucht und diese auf einem anderen Rechner installiert(war zwar englische Version aber dort waren gleiche Dateien enthalten, die ich zum Erzeugen des Schlüssels nutzen konnte.So oder ähnlich kommt man auch zu Dateipaaren. Das hilft hoffentlich einigen weiter. |
Guten Abend Liebes Board Team, ich hab mir echt lang überlegt ob ich Euch schreibe, weil ich durchsuche eigentlich die Foren so lange bis ich die Lösung irgendwann gefunden habe aber nun gehts nicht mehr...:balla: Folgendes Problem, ein bekannter hat eine Rechnung.zip Datei geöffnet welche alle Dateien verschlüsselt hat... Alle haben nun das gleiche geänderte Datum....Die Dateien haben aber immer noch die gleichen Endungen wie zuvor. Ich bin nun her und habe glaub ich im Netz alle verfügbaren Programm versucht inkl. natürlich von dieser Seite: http://www.trojaner-board.de/114783-...ubersicht.html Ein kleiner Teilerfolg konnte ich erzielen, mit dem Programm "Trustezeb.A Decryptor von ESET" kann ich immerhin eine Datei herstellen, dann muss ich das Entcrypt weglöschen und es passt, nur bei der Anzahl an mehreren Hundert Dateien werde ich wahrscheinlich in die Klappse eingeliefert wenn ich mal fertig werden sollte.:headbang: Kann mir noch jemand ein Programm empfehlen mit welchem ich vielleicht eine "Massenentcryptung" starten kann? Ich Danke Euch herzlichst für JEDE Antwort und wünsche noch einen schönen Abend... P.S. eine Fehlerhafte Datei habe ich noch angefügt.. |
Hallo, die Datei hast du wahrschinlich umbenannt. Datei müsste heißen locked(originalnane).xyzt Hinteren 4 Buchstabeben erfundenden, wenn es sich um die 1.version handelt. vermutlich hast do XP |
Richtig, ich habe XP aber das ist die Original Datei. Wie gesagt die heissen bei mir auch alle gleich also wie zuvor! Deswegen kann ja mit keinem Programm etwas anfangen, weil die net *.Entxryt heisst. Danke für Deine Hilfe. |
Benutze Decrypthelper aus diesem Forum und setze verschlüsselte und original gegenüber zum erzeugen des Schlüssels, dann klapt es, |
DecryptHelper von Matthias ? Habe ich schon benutzt, er erstellt auch einen Schlüssel aber wenn ich Dateien oder Ordner auswählen möchte kann ich ich nichts anklicken weil die Dateien ja eine Original Endung haben und als Dateityp "Verschlüsselte Datei". Aber ich habe gerade etwas gefunden: http://www.trojaner-board.de/115511-...tionieren.html Scheint wohl noch nichts dagegen zu geben... :heulen: |
Hallo, habe mir ebenfalls den Verschlüsselungstrojaner eingefangen. Beim Versuch mit DecryptHelper 0.5.3 einen Schlüssel zum decrypten zu erzeugen erhalte ich aber die Meldung "Der SChlüssel konnte nicht bestimmt werden" Habe dies bereits mit mehreren Files versucht. Immer mit dem selben Ergebnis. Anbei mein letzter Versuch (ZIP mit verschlüsselter und Original Datei) Bitte um Hilfe!!! |
Das scheint der neue Trojaner zu sein. Abwarten bis es etwas neues gibt,oder einen Hacker befragen |
Liste der Anhänge anzeigen (Anzahl: 1) Hallo Zusammen, Hier auch. Ein Bekannter bekam das in seine Firma und natürlich ist die letzte Datensicherung extrem veraltet ;-) Jede Menge Pärchen sind vorhanden, es kann aber kein Schlüssel erstellt werden : Anbei ein zip mit einem Pärchen und ein Bild mit der Überich mhererre Pärchen. Es wäre absolut genial, wenn hier jemand eine Idee hätte. Laut seiner Aussage war die Mail vom letzten Freitag. |
Zitat:
Sry editieren war nicht möglich |
Hallo zusammen, den gleichen Mist hab ich auch Dateien heißen nur noch vgvugrQvOQuJOJQOQOrQO usw. DecryptHelper0.5.3 ist gerade noch machtlos.... Hoffe auf die Entschlüssel Profi´s Euch allen schon mal einen großen Danbk für die Arbeit die ihr mit dieser Sch... überhaupt habt. Grüße |
Hallo zusammen, einen Kollegen bei mir auf der Arbeit ist es auch passiert. Hat sich das Teil über ne Mail eingefangen! Ich wollte egtl. eine Datei die eine verschlüsselte und eine originale enthält hochladen, aber ist leider zu groß daher: hxxp://www.filefactory.com/file/78ororjajksx/n/verschluesselt.zip Hoffe dass bald die Lösung kommt |
häng mich hier dran, hab auch nur noch files ohne datieendung die nicht zu entschlüsseln sind! BITTE BITTE meine Family killt mich, ich trottel hab 100terte Familien bilder im system und nicht gebackupt. |
Wir beschäftigen uns nun mitlerweile mit mehreren Problemfällen wo es um die locked(originalnane).xyzt Verschlüsselten Dateien geht. Laut Aussage des Kaspersky Supports würde sich das Tool RannohDecryptor selbst Updaten sobald man es Startet. Ergo solle man es öffter versuchen mit diesem Tool die Dateien zu Entschlüsseln. Des weiteren haben wir von unserem Partner Panda ein neues Tool zum Test bekommen. Bitte versucht mal die Dateien damit zu Entschlüsseln, evtl. klappt es ja bei dem ein oder anderen. Gebt hier aber bitte Feedback denn bei uns ging es leider nicht damit. hier der Link zum Panda UnRansom Entschlüsselungstool: hxxp://pandadownload.de/cd.php?dir=de/tools/&file=PandaUnRansom.zip Das Passwort zum Entpacken ist: panda Grüße aus dem Norden und allen weiterhin viel Erfolg |
@totwart, hat Kaspersky mittlerweile die Möglichkeit der Selektion der zu bearbeitenden Dateien in das Tool eingebunden? Es gab bisher nur die CheckBox HDDs ja oder nein, ohne Auswahlmöglichkeit der HDD geschweige denn einzelner Folder oder Dateien. Gruß Volker |
gehts hier um die entschlüsselung der dateien des neuen trojaners? also nur noch asgfsafsadfsafsaf als dateiname? |
Zitat:
nein, Kaspersky gibt nur die von dir erwähnte CheckBox an, ohne eine Selektion einzelner Laufwerke. |
@Undertaker Was ist das für eine Frage !? Wir sind doch nicht der Hersteller des Kaspersky Tools. Wenn du soetwas wissen willst lade dir das Tool, in der neusten von Kaspersky zur verfügung gestellen Version, herhunter und schau selbst. @ benton18 nein, bei uns geht es um die locked(originalnane).xyzt Dateien |
Ich weiß, es steht noch in den Sternen, aber wie warscheinlich ist ein decrypter und wie schnell könnte er da sein? |
Hi, ein Kumpel von mir hat sich auch infiziert ( Anfang des Monats etwa). Die Dateien liegen in dem Format locked-DateiName.Endung.XXXX (<- Zufällig) vor. Keines der Decrypter hat allerdings geholfen. Bei einigen wurde zwar ein Schlüssel erstellt, dieser funktionierte jedoch nur für die jeweilige Datei mit der der Schlüssel generiert wurde. Hier mal eine Datei die jeder (Windows 7) Nutzer haben sollte, die verschlüsselt ist (komischerweise nur das eine Video, nicht die Beispiel Bilder): https://www.dropbox.com/s/euuhzbhi150yfg1/locked-Wildlife.wmv.puec Die Datei befindet sich unter C:\Users\Public\Videos\Sample Videos\ und heißt dort (wie ich raus gefunden habe) auf Deutsch Natur.wmv, auf Englisch Wildlife.wmv. Kann mir jmd. sagen welche Version das ist, mit der er sich eingefangen hat? Die Mail oder sonstiges hat er nicht mehr. Habe jedoch noch ein Backup vom Virus aus den Appdata (bereits an Bitfox gesendet). |
Hallo habe es versucht zu entschlüsseln aber beim mir kommt die ganze zeit der schlüssel konnte nicht bestimmt werden was kann ich jetzt tun bei mir sind die datein so verschlüsset da steht auch kein locked vor nur hfkfrirfebfjwskf das was mache ich ???? gruß Ice |
Wilkommen Leidensgenosse. Es bleibt uns armen Schweinen nix anderes übrig als auf das Wohlwollen der Experten zu hoffen:killpc: |
@Ice2000: wenn Du die Suche nach einer Lösung beschleunigen willst kannst Du natürlich gern die Original-eMail mit Anhang (oder auch nur die eigentliche Schaddatei) ans Trojaner-Board schicken. Nur für den Fall daß Du nicht untätig herumsitzen wilst... --- snip --- wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ: .eml einstellen. dann mail an: hxxp://markusg.trojaner-board.de dort die soeben erstellte datei anhängen. wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders. bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen. sie können dann dorthin solche verdächtigen mails senden. diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig. --- snip --- :daumenhoc |
Zitat:
|
Hallo Immel ich benutze web.de als e.mail wie und wo kann ich von dort was schicken? lg Ice |
hallo "Wie bereits hier mehrfach erwähnt: Zum "Schlüssel erzeugen" muss eine von der Schadsoftware verschlüsselte Datei sowie das Original vorhanden sein!" könnt ihr mir bitte erklären was mit der "originaldatei" gemeint ist ??? weil wenn ich von der verschlüsselten datei noch eine kopie irgendwo hätte bräuchte ich sie nicht mehr entschlüsseln!!!! ichhabe nur diese 1 entschlüsselte datei...die ich unbedingt entschlüsseln muss danke |
ja, mail adresse ist wieder zu erreichen, fleißig einsenden bitte: makrusg - trojaner-board.de @all, die nicht entschlüsseln können, bitte mal versuchen: http://www.trojaner-board.de/115496-...tml#post831090 |
@Ice2000: als web.de User solltest Du eigentlich wissen, wie man eMails verschickt. Du hast doch den Schädling sicher als eMail-Anhang bekommen?! Hier nochmal eine Einführung: WEB.DE FreeMail Hilfe - Schreiben und Versenden Im Idealfall leitest Du die eMail einfach weiter oder lädst den Anhang hier im Forum hoch. @jhlogo: Originaldatei ist z.B. eine unverschlüsselte Datei, z.B. von Windows Beispielbilder oder -Musik. Die gleiche Datei findest Du in verschlüsselter Form auf Deinem infizierten PC - einfach beide als ZIP senden oder hochladen. PS: natürlich müsstest Du die Originaldatei von einem anderen PC nehmen wenn Du keine mehr auf Deinem Rechner findest... Wie das mit Einsenden, hochladen und entschlüsseln geht findest Du hier im Forum. |
Hallo Freunde, habe daselbe problem. Ich habe versucht die Dateien wiederherzustellen ohne erfolg. Kann mir jemand helfen. Ich habe eine Locked Bild und eine Original Bild aber es half nicht. |
1. hinweis wegen der mail lesen. 2. was heißt funktioniert nicht, musst schon genauer werden. sind die bilder aufs byte gleich groß? schau da mal in den eigenschaften |
Hallo, Bekannten von mir haben so eine Trojaner E-mail geöffnet und Tara alles infiziert und verschlüsselt, sogar die ext. Festplatte welche über USB dran war. Ich habe die Fp hier, mittels ext. USB-Adapter an meinen Rechner angeschlossen und habe schon mit den hier angebotenen verschiedenen Programmen versucht den Schlüssel zu generieren. Habe mir extra zwei Originaldateien zusenden lassen. Kein Erfolg leider! Die verschlüsselten Dateien sehen z.B so aus: pJlNAtADvDOAfQeOatLs Also nichts mit locked...... Habt Ihr mir noch einen heissen Tipp? Danke & Gruß |
schon mal versucht die endung manuell anzufügen, also die passende, manchmal klappts |
Mit dem Shadow Explorer werd ichs morgen mal ausprobieren. Im Moment werden alle Festplatten komplett mitdem akutellen Kaspersky durpflügt. Iss schon erschreckend, was da zusammen kommt. Was den Vergleich Originaldatei zu Verschlüsselter Datei angeht, so hab ich das Glück, das ich mehrere Verzeichnisse habe, welche auf unseren Server Sync. wurden und somit die Dateien heil geblieben sind. Zum Glück sind bis jetzt keine Netzlaufwerke von dem Misstding betroffen. Durch den SYNC, kann ich aber genau gleiche Pärchen zusammenstellen. Dabei sind PDF,XLS,DOC, JPG, TIFFs etc. Sagt mir einfach welche Dateien Ihr zum testen braucht und euer Postfach wird anfangen zu glühen:rolleyes: |
hi die malware an sich ist interessanter. hier mal lesen und an freunde, bekannte etc weiterleiten. makrusg - trojaner-board.de mails mit anhängen von unbekannten absendern sind dabei interessant |
Zitat:
War auch einer der ersten Gedanken.... |
Ich hab mich auch infiziert Hilfe ich kenn mich Null aus :0 was muss ich machen ? Das ist die Mail: mein Account ist bei Web und die Datei war als ZiP Datei angehängt Sehr geehrte/r XXX Besten Dank für ihren Vertrag mit discount24.de, nachfolgend finden Sie Ihre Kaufbestätigung. Deine Gebotsnummer: 507250480338* Artikel: DWL-ANTK240500 4366691279 5347,76 Euro Rechnungsname: XXX Zahlungsmethode: Mastercard Versandadresse und detaillierte Zahlungsaufforderung finden Sie aus Sicherheitsmaßnahmen im zugefügten Ordner. Die Überweisung wurde autorisiert und wird innerhalb 2 Tage abgeschrieben.* Kaufauflistung und Stornierung Mitteilung finden Sie in Beilage. Ihr Support Günther GmbH Dahrendorfweg 21 60729 Stuttgart Telefon: (+49) 160 5760385 (Mo-Fr 8.00 bis 19.00 Uhr, Sa 9.00 bis 19.00 Uhr) Gesellschaftssitz ist Hamburg Umsatzsteuer-ID: DE821112757 Geschäftsfuehrer: Mohammed Ludwig ** |
Zitat:
Wenn der Antivierenscan Sie noch nicht gekillt hat, werde ich Sie dir morgen mailen!! Wär super, wenns was bringen würde. Weil bei Ihm auf dem Rechner waren Dateien, da steckten bestimmt 300-400 Arbeitsstunden drin. Super für ein kleines Unternehmen. Wenns nur die großen treffen würde ok, aber auch die ganz kleinen. Das finde ich das perverse daran. |
Hallo, ich konnte dan DecryptHelper-0.5.3 einen Schlüssel erzeugen und auch die alle dateien (jpg,doc,pdf,xls usw.) entsperren. Nur habe ich das Problem das die Dateien danach immer noch unbrauchbar sind, da man Sie nicht öffnen kann bzw. es aussieht als ob kein inhalt vorhanden wäre. Die Dateien habe aber ihre richtige Größe usw. Die dateien heißen, locked-2011-Arbeitsdienst.jpg.lhsn Das Panda Prog geht gar nicht. Hat jemand einen Rat? Gruß Alex |
Hallo zusammen, ich habe bislang auch jedes einzelne Tool hier ausprobiert um diese Verschlüsselung zu entschlüsseln. Habe auch eine Original Datei und eine verseuchte (ja aufs Byte genau gleich). Die Dateien heißen bei mir alle so ähnlich wie: rfJeNavjfQsOTxqNv Auf 2 Seiten zuvor habe ich einen Link gepostet mit den beiden angesprochenden Dateien. Gibt es vielleicht Infos wann / wie auch diese Dateien entschlüsselt werden? PS: Habe schon probiert hinter den Dateien zB .jpg zu schreiben und sie dann zu öffnen - aber funktioniert ebenfalls nicht! |
Hoi Mathias, ich habe schon alle Entschlüsselungsvarianten, auch von Avira erfolglos durchprobiert, auch eine TrojanerBoard-Kollege Erhard Stasch/sylvester445 hat auch schon Versuche erfolglos angestellt. Er meint die Verschlüsselung wäre noch zu neu? Dieser Trojaner hat Bild, Video, Musik, PDF, Zip, + Outlookdatein verschlüsselt. Frage an Dich: Ich habe von meinem synchronisierten Pocket PC einige Datein verschlüsselt + unverschlüsselt könntest Du diese für eine neue decrypter Version gebrauchen? Für mich ist dies alles sehr schlimm, da ich schwerbehinderter Frührentner mit Amnesie bin und die Dateien für mein Gedächtnis brauche - 25 Jahre haben brutale Folgen bei mir im Kopf hinterlassen. Kannst Du mir mal ein kurzes Feedback geben? Freue mich von Dir zu lesen. Wolfgang |
Hallo, ich habe auch einen infizierten Rechner (Dateien sind verschlüsselt) von einem Kundenrechner. Heute habe ich selbst eine solch verdächtige email bekommen. Wohin kann ich diese schicken Mfg fiedler-sm |
Schau mal ein paar Post vorher steht die Antwort!!! geh mal auf diese Seite hier : markusg.trojaner-board.de Dort steht wie und wohin!!! Gruß Stefan |
Hallo zusammen, hat jemand Erfahrung mit der Entschlüsselung von Dateien, welche zuvor mit einer Datenrettungssoftware wiederhergestellt worden sind? Hintergrund: nach dem Bekannten Schema "locked-....wxyz" verschlüsselte Daten wurden von einer Festplatte mit beschädigtem Dateisystem (unter Windows keine Partitionen mehr lesbar) mit der Datenrettungssoftware ToolStar Filerecovery wiederhergestellt. Nun ist kein gleiches Paar zum extrahieren des Schlüssels nutzbar - wahrscheinlich, weil die Daten durch die Datenrettung nicht mehr dem Original entsprechen (etwas größer sind). Müssten denn das Dateien-Paar exakt gleich groß sein? Hat jemand eine Idee, um die Daten gegebenfalls doch noch entschlüsseln zu können? Vielen Dank für jeden hilfreichen Tip! FredEric Hallo nochmal, übrigens war diese Variante des "Verschlüsselungs-Trojaners" so fies, dass Dateien, die auch auf einem USB-Stick gespeichert waren, nicht verschlüsselt worden sind. Kunde hat später einen USB-Stick mit Musik geliefert - die auf dem USB-Stick gespeicherten Musikstücke waren jedoch zwischen allen "locked..."-Files nicht verschlüsselt... |
Hallo, ich benutze outlook 2010. Wie soll ich die email ins eml-format bringen? Geht es nicht, wenn ich die email weiterleite? Mfg fiedler-sm was kann mann tun, wenn keine originaldatei vorhanden ist? |
@Tinae @timeagent was ist mit shadow explorer? @007Alex007 selbe frage, oder scareuncrypt @wbreiden denke nicht, wie gesagt die dropper sind interessanter @FredEric1979 ne dateien müssen gleich groß sein. @fiedler-sm weiterleiten geht @Tinae @mail ensenden: an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert. wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ: .eml einstellen. dann bitte lesen: makrusg - trojaner-board.de und mir die soeben erstellte datei zukommen lassen. wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders. bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen. sie können dann dorthin solche verdächtigen mails senden. diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig. |
Hallo, Shadow Explorer scheint zu gehen (aber nicht alle Dateien) mfg fiedler-sm |
is aber immerhin besser als nichts :-) |
Also bei meinem CHEFE auf dem Rechner läuft XP Leider bekomm ich keine Anzeige im Shadow Explorer. Weder ein Laufwer noch Dateien die ich anwählen könnte!!! SRY:headbang: |
da gehts mit shadow explorer nicht |
Shadow Explorer geht erst ab Vista laut Chip.de |
Wie heißt es so schön: Die Hoffnung stirbt zuletzt. Als wenn der Virus nicht schon genug wäre, knallt eben der Rechner runter dank eines kleinen Stromausfalls. 6 Stunden Arbeit für die Katz. Na ja vieleicht find ich noch ein paar Temp Dateien!!! Weiterleiten klappt leider auch nicht mehr, da mein Rechner, wie auch GMX die Mail erkennt!!! |
Zitat:
Habe ich schonmal gefragt, aber leider noch keine Antwort erhalten. |
doch, habs hier schon mal für andere beantwortet, mail öffnen, weiterleiten |
geht leider nicht, wird als Virus erkannt! |
ok also ich merk grad, jetzt bekommen die Hacker Jungs langsam Lust an dem neuen 1601 Trojaner (erstellungsdatum im Jahre 1601 all unserer Files, schau mal nach;-) http://www.trojaner-board.de/115534-...-trojaner.html l |
Mir ist einfach unbegreiflich was für eine Orginaldatei ich verwenden soll DIE SIND DOCH VERSCHLÜSSELT!!!! |
Zitat:
Oder geh in deine gesendeten emails und hol dir einen dateianhang den du mal versendet hast. PS: vorerst gibts noch einen entschlüssler, wenn deine dateien so aussehen: JJJhdhagdZTZTZT behalte erstmal alle dateien und warte ab, was die pros hier entwickeln. |
Zitat:
|
Hallo an alle Betroffenen und das Board-Team, hab hier auch einen infizierten Rechner: Win 7 32bit Mail von: Kundeninfo Betreff: Einzug NUMMER.... Inhalt: Premium Mail angemeldet.....6000 SmS pro Monat.....Onlinespeichervolumen...8GB......86,89 EURO...Ihr Support Anhang: Lieferung.zip Zustand nach Infektion: Nach Neustart, die bekannte Meldung: Verschlüsselungs-Trojaner...bitte zahlen...etc. Alle pers. Dateien, jpg, mp3, doc und PST Datei sind verschlüsselt UND umbenannt in kryptische Zeichenfolgen OHNE Erweiterung. Alle Dateien habe veränderte Dateigrößenangaben, deshalb auch keine Hilfe per DecryptHelper. (Fehlermeldung bzgl. der Größe) Vielleicht kams ja schonmal, ich musste jedenfalls selbst drauf kommen: Bei genauerem Hinsehen fiei mir auf, das im Order <benutzer\eigene dokumente\outlook dateien> zwei Standard-Dateien immer noch die gleiche Größe aufwiesen (265kb) und die ehemalige PST größenmäßig auch stimmte, obwohl diese Dateien auch kryptisch aussahen. Lager Rede kurzer Sinn, nach dem Kopieren und dem Umbenennen in eine .pst Datei konnte diese im outlook geöffnet werden. 1900 Mails, Kontakte etc wieder da, ich jedenfalls bin glücklich. :-) Klappt bei diesem Rechner bislang nur bei der PST Datei. Wie gesagt, vielleicht gab es die Info ja schon, ich hab sie aber nicht gefunden und gedacht ich mach mal meinen ersten Eintrag hier. Großer Dank ans Board |
also meine dateien sind alle bis aufs btye genau gleich groß. Naja jetzt aber schnell in die Haia, gute nacht. |
Also ich habe den PC einer Freundin wieder hinbekommen. Ich habe es genauso gemacht wie es in der Anleitung steht. Kann nur sagen D A N K E dem KÖNIG ( auch wenn er Kunig heißt ) Die vielgefragten orginal Datein, habe ich von der CD. Ich habe Bilder versucht und es hatte nicht geklappt. Also das Beispielvideo "Bär" aufgespielt und schon funktionierte es. Beste Grüße Detlef |
@proman super gemacht. Wäre nur noch interessant, welche Variante des Virus du hattest. Die locked Variante oder die neuere!!! Und mit welchem Programm du die Dateien entschlüsselt hast!!! |
Zitat:
das kann nur die locked- Version gewesen sein. Benutzt hat er den decrypthelper, der ist vom KÖNIG (Matthias Kunig) |
Zitat:
Aber Undertacker hat es schon erahnt. Ja es war eine Mail ...: Sehr geehrte Frau K... Blabla bla.... und im Anhang die Rechnung als zip.Datei Draufgeklickt und dann sollte bezahlt werden (wie hier schon mehrfach erlebt ) Ich habe den decrypthelper 5.0.3 benutzt und als original das Beispielvideo BÄR im Verzeichnis Öffentliche Video. Betriebsystem VISTA PC alt und langsam. Beginn gestern Abend 21:00 Uhr.......... fertig heute Morgen. 45741 Datein bearbeitet und sauber wieder hergestellt. Gruß Detlef |
Hallo Detlef, hast Du alle 45741 Dateien geprüft? Die Existenz aller wiederhergestellten dateien sagt nocht nichts darüber aus, ob sie auch brauchbar sind. Ich brauchte zur sicheren rekonstruktion von 12000 dateien insgesamt vier Dateipaare. Gruß Volker |
Also alle einzeln habe ich das nicht geprüft versteht sich. aber der PC arbeitet wie gewöhnlich und auch alle Prg. die ich gestartet habe funktionieren wieder. Denke das sollte MIR persönlich reichen. Ist ja ein priv PC mit Bildern und Spiele hier und da auch ne Steuerklärung pp. Ich habe wie gesagt nur einen Schlüssel erstellt und dann laufen lassen. Gruß Detlef |
Hallo! Da ich selbst in Kooperation mit anderen Wissenden & Diensleistern keine Lösung finde, schildere ich hier mal meinen Fall in der Hoffung auf gute Ideen.... Von einem Kunden liegt mir eine Festplatte mit einigen 1000 locked-dateiname.Endung.abcd vor. Die lange bekannte version also, vorne "locked-" und hinten 4 beliebige Buchstaben nach der eigentlichen Endung. Verschlüsselt am 08.05., "Die von Ihnen verwendete Windows Lizenz ist abgelaufen € 100,-/ € 50,-"..... Die E-Mail und das verseuchte/ verschlüsselte System existieren nicht mehr, nur noch die Dateien auf der externen Festplatte die mir vorliegt. Aus verschiedenen Quellen konnte ich inzwischen 14 Datei-Pärchen bilden, eine Entschlüsselung gelingt mir aber bislang nicht, mit keinem der bekannten Tools - alle im Forum genannten habe ich inzwischen ausprobiert. Nun gibt es zwei Möglichkeiten, entweder es gibt mehr dieser Fälle und ich habe bislang nur keinen gefunden oder ich übersehe irgendeine Kleinigkeit. Bislang habe ich zu dieser Version der Verschlüsselung nur Erfolgsmeldungen gesehen/ gelesen, zumindest in jedem Fall Teilerfolge. Hier geht garnichts..... Gerne kann ich zum Testen einige Files zur Verfügung stellen - ich hoffe auf gute Ideen.... Vielen Dank! |
moin moin, Was meinst Du mit "Aus verschiedenen Quellen"? Quelle können nur Originale von Dateien sein, die auf dem Rechner verschlüsselt wurden. Dazu gehören beispielsweise Originale die sich noch als Spiegelabbilder irgendwo im Rechner befinden, aus Anhängen versendeter Mails (Bilder zum Onkel gemailt o.ä.), von Kopien auf Sticks, ext.HDDs oder CDs u.s.w. Dabei ist es durchaus möglich, dass mit einem Paar nur Teilerfolge erzielt werden. Bei zu wenigen Paaren kann es durchaus sein, dass keines passt. Ich hatte beispielsweise mehrere hundert Originale zur Verfügung, aus denen ich 4 finden musste, um 12000 Dateien sicher zu rekonstruieren. Gruß Volker |
Ja, klar - solche Originale sind es auch. Hast Du die Originale händisch durchprobiert und bist zufällig auf funktionierende gestossen? |
ich hab mir erstmal das ganze C Laufwerk per shawosexplorer gezogen und warte nun auch einen decrypter für den neuen Buchstabensalat-Trojaner, da sollte ich genügend päärchen haben. |
Zitat:
nachdem ich das erste willkürlich genommen habe und ca. 3000 Dateien sauber bearbeitet wurden und die nächsten Paare nichts mehr brachten, habe ich erstmal Kaffee getrunken. Dabei fiel mein Blick auf die CDs mit den Originalen. Hoffest 2012, Urlaub 2008, Hausbau 2010 Ich habe dann nach verschlüsselten Dateien aus verschiedenen jahren gesucht und da wieder willkürlich welche rausgenommen. Nach dem vierten Paar war keine weitere Suche mehr nötig. Volker |
Volker, dass geht ev leicht bei dem alten trojaner, bei em neuen is dass nimma so einfach, weil ja kein dateiname mehr erkenntlich ist. Geht dann nur noch über die Dateigröße, die is zum Glück gleich geblieben. ich sprech jetzt aber nur über den neuen decrypter. |
Oder du hast Glück und du hast mehrere Verzeichnisse mit nur einer Datei drin. Zum Glück hat das Mistding nicht auch die Verzeichnisse umbenannt!!! Das wäre der absolute Horror!!! Komischerweise spart der Virus auch alle Programme aus. Bisher läuft alles auf dem Rechner, trotz Verschlüsselung. Ist doch seltsam oder!!! |
Hallo, bin mir nicht ganz sicher ob ich es mit der gleichen RansomWare zu tun habe wie der Rest hier, zumindest sieht der Screenshot sehr vertraut aus und ich habe es anscheinend auch mit verschlüsselten Office- und Medien-Dateien zu tun. Allerdings hat mein betroffener Kollege keine E-Mail Anhänge geöffnet und die Dateien sind auch nicht nach dem hier mehrfach geschilderten Muster (locked.Dateiname.erweiterung.xyz o.ä.) umbenannt sondern die Dateinamen sind anscheinend zufällige alphanummerische Zeichenfolgen z.B. OAlxGVNUsslpVNl ohne Erweiterung. Ausserdem hat mein Kollege konsequent alles was als Refernzdatei herhalten könnte (Beispielbilder usw.) von seinem Rechner gelöscht, ebenso alle Dateien die er mal per E-Mail verschickt hat und was er per E-Mail bekam (also alles was man noch aus Outlook holen könnte) gelöscht. Eine einzige Excel-Datei mit der es evtl. gehen könnte habe ich von dem Rechner bekommen, allerdings ist die verschlüsselte Datei 3 Byte größer als die Originale. Der gute Mann ist zu allem Überfluss auch noch in der Buchhaltung tätig, hat also auf seinem PC lokal (!!!)(nicht auf dem Server, der jeden Tag ein Backup macht) recht essentielle Dateien liegen. Ich stehe hier also vor einem kleinen IT-Super-GAU und bräuchte mal dringend Hilfe. |
@samarek für die art der verschlüsselung gibt es immo leider keine hilfe außer vieleicht shadowexplorer ab win vista wenn aktiviert siehe: http://www.trojaner-board.de/115496-...erstellen.html Nachtrag: bei einigen hat das anhängen von der orig dateierweiterung funktioniert! |
normale Erweiterung wieder anhängen funktioniert leider nicht, hab ich natürlich als aller erstes probiert, aber schon mit der Erwartung dass es nicht funktionieren wird. Zitat:
der betroffene Rechner ist natürlich ein Windows XP Rechner |
hi schon mal die mails durchgegangen, evtl. im spam ordner oder papierkorb, falls ihr da die mail findet mal an mich senden. an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert. wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ: .eml einstellen. dann bitte lesen: makrusg - trojaner-board.de und mir die soeben erstellte datei zukommen lassen. wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders. bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen. sie können dann dorthin solche verdächtigen mails senden. diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig. ansonsten heißts abwarten :-( |
es wäre mir eine persönliche Befriedigung dir die Mail zur Verfügung zu stellen, damit du das Ding auseinander pflücken kannst, aber wie gesagt mein Kollege hat keine E-Mail bekommen und ich hab auch schon seine Archiv-Ordner und Alles durchsucht, er muss sich das irgendwo im Netz eingefangen haben. |
In the first please forgive me that I am writing in English. I got similar problem like all of you with one exception. When I use encoded and original file (using eset tool decrypter) I'm able to decode ONLY one encoded file (the one I was using in the first time). Other files are still unavailable to "open". Someone is familiar with this specific case? Other programs do not work at all or the same as eset. |
Ich habe mir auf mein Notebook auch einen verschlüsselungs trojaner eingefangen.... Alle Bilder MusiK und ich kriege die nicht mehr hin mit dem programm bekomm ich das auch nicht hin bitte um hilfe denn die Bilder sind sehr wichtig für mich... Danke Oh mann kenn mich hier nicht aus hoffe ich bin damit hier richtig...Hilfe Hilfe |
Guten Morgen zusammen, ich habe hier ein Laptop eines Bekannten, der leider einen E-Mail-Anhang mit diesem Verschlüsselungstrojaner geöffnet hat. Insgesamt 17.700 Dateien wurden verschlüsselt. Alle Dateien haben nur diese kryptischen Dateinamen, ohne Dateierweiterung. Mit SystemLook gescant sehen alle Dateien wie folgt aus: Code: EDOuDuLGqVjdLjur --a---- 3990 bytes [08:28 13/02/1601] [01:27 16/07/2010]@markusg Soll/darf ich dir diese E-Mail zur Analyse übersenden? Mfg Daniel |
hallo Also bei meinem Vista Rechner hat der Avira Unlocker alle Dateien wieder hinbekommen. locked-*.mp3 mp4 tmd pmd jpg mpg vob ...... u.s.w. Man braucht unbedingt eine Originaldatei vom Handy oder Sicherung - dann gehts. Arbeitet recht zügig ganze Partitionen durch, nur der Platz muß ausreichen, da jede Datei dann 2 mal da ist. Gruß Michael |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:31 Uhr. |
Copyright ©2000-2025, Trojaner-Board