Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Diskussionsforum (https://www.trojaner-board.de/diskussionsforum/)
-   -   Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) (https://www.trojaner-board.de/114115-wiederherstellung-verschluesselten-dateien-rechnung-exe-realtecdriver-exe-schadsoftware.html)

Double D 25.05.2012 07:41

Hallo alle miteinander.

Vielleicht könnt Ihr mir / uns helfen.

Bei uns bei der Arbeit (Autohaus) hat sich der besagte Trojaner an einem Rechner verbreitet durch eine dubiose Email. Der Trojaner wurde entfernt und es funktioniert auch wieder alles.
Nur nun haben wir das riesen Problem das er ein kompletttes Programmverzeichnis verschlüsselt hat das für den Fahrzeugverkauf dient mit dem gesamten Kundenstamm des Verkäufers.
Das grösste Problem dabei ist das keine Sicherung des Programms oder Kundenstamm vorliegt :headbang:


Wie soll ich weiter vorgehen? Habt ihr Tipps oder Lösungen?

Wäre dankbar für Antworten.



Sonnige Grüße

Double D

DerJazzer 25.05.2012 07:44

Welches Betriebssystem hast du?

Double D 25.05.2012 07:47

Windows XP SP3

DerJazzer 25.05.2012 07:49

Wie sieht die Verschlüsselung vom Muster her aus?
Locked... + Endung oder
Zufällige Buchstaben ohne Endung?
Schreibe am Besten mal einen Dateinamen hier rein.

Double D 25.05.2012 08:05

Hier ein paar Beispiele:

locked-bankWL21.wbd.tmlh
locked-Cmct10.dll.kpwt
locked-Cmll10ex.llx.oqnp
locked-cmll1000.lng.rlzx
locked-cull10o.ocx.cfyr
locked-CW_ImportRunner.exe.rlza
locked-CW_MitarbeiterBC.pdf.lzse
locked-Dummy.txt.yyfh
locked-MB_Card.jpg.nihu
locked-WL21_ZM_800.bmp.aepk
locked-wl21DbComp.exe.hino
locked-wl21faq.html.urvn

Jeder Datei hat eine andere Endung bzw Verschlüsselung :/

DerJazzer 25.05.2012 08:10

Dann solltest du Glück gehabt haben: :)
Die Programme, die hier aufgelistet sind, sollten die Dateien wieder entschlüsseln können.
Aber bitte vor jedem Verschlüsselungsvetsuch ein Backup der zu entschlüsselten Dateien machen.
Hier findest du die Tools: http://www.trojaner-board.de/114783-...ubersicht.html

Viel Glück :daumenhoc

Double D 25.05.2012 10:07

Aber ich hab ja keine Original Datein mehr :/
Lediglich nur noch die "locked" Dateien.

markusg 25.05.2012 10:08

wegen der mail einsendung, da ist alles beim alten geblieben, um die frage von der vorherigen seite zu beantworten:
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
makrusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

markusg 25.05.2012 10:11

@Sew
can you send me the suspicious email you got with the dropper?
makrusg - trojaner-board.de
please klick the link, there you find the mail adress.
have you try one of the tools we use in this forum, for exsample the tool we talking about in this topic?
you can find it in the first post.

markusg 25.05.2012 10:12

@Jacqueline
eröffne mal ein neues thema im bereich logfiles, dann gucken wir uns den pc mal an

Undertaker 25.05.2012 10:26

Zitat:

Zitat von Double D (Beitrag 833985)
Aber ich hab ja keine Original Datein mehr :/
Lediglich nur noch die "locked" Dateien.

Nicht so schnell, sei etwas kreativ.
Gibt es eventuell mit Mail verschickte Dateien?
Gibt es eventuell Bilder auf Handys, Kameras, Sticks usw.?

Nutze jede mögliche Quelle, auf der Dateien zu finden sein könnten, die auch als locked-Variante auf dem Rechner sind, Steuerberater, Kunden, wie auch immer.

Falls keine Originaldasteien aufzutreiben sind, lohnt eventuell ein Versuch mit dem Shadow Explorer.
Dazu gibt es hier schon einige Beiträge.

Nebenbei kannst Du Deinem Chef auch mal andeuten, dass es dem Sitz auf einem Pulverfaß gleichkommt, als Unternehmen die Unternehmensdaten nicht zu sichern.
Es muß ja kein Virus sein, ein Plattencrash reicht.

Gruß Volker

DerJazzer 25.05.2012 10:33

@Double D
Hast du denn die windowsbeispelbilder noch auf dem PC gehabt? Dann könntest du es darüber versuchen (Originaldateien zum Erstellen des Schlüssels findest du auch unter dem geposteten Link).
Ansonsten:
Hast du vll von dem PC aus eine Mail mit einer Datei versendet (Auftragsbestätigung etc.), die dir der Enpfänger zuschicken könnte um den Schlüssel zu generieren?
Oder gibt es Dateien, die auf jedem Eurer Rechner drauf sind (Im Autohaus, z. B. Fahrzeugliste, Mitarbeiter, Vorlagen für spezielle Programme etc.) und die du dir von einem anderen Rechner zum Generieren des Schlüssels besorgen könntest?

duddz 25.05.2012 10:46

Hiho alle Zusammen,

meine Freundin hat vorgestern den schweren Fehler gemacht eine Mail und ihren Anhang zu öffnen welche ihr zwar komisch vorkam da sie nichts bestellt hatte und der Absender ihr auch nichts sagte aber.... man kann ja mal klicken ... Es kam wie es kommen musste und als sich nach dem öffnen des Anhangs nix tat hat sie mich dann doch nochmal gerufen... natürlich zu spät. Es handelt sich hierbei um die Rechnung.exe - Variante welche die Dateien samt Dateinamen kodiert und die Dateiendung löscht :/

Ich habe beim weiteren Überfliegen jetzt nur heraus gelesen das es hierbei noch sehr schwer sein soll die Dateien wieder zu decrypten, ist das so richtig?

Bei dem Laptop handelt es sich um ein Win7 home System. Ich habe mithilfe der Kaspersky Rescue Disk Zugang auf die Festplatte (immerhin muss ich die dann nicht ausbauen) und werde erstmal über eine USB-HDD ein komplettes Backup ziehen. Weiterhin habe ich geplant mehrere Dateien von meinem PC auf den Laptop zu kopieren um RansomCrypt noch ein bissel Spaß zu gönnen und mir mehr Original-Dateien zu verschaffen um den Schlüssel zu bekommen sofern bei diese Version immer noch für jeden PC der selbe Schlüssel verwendet wird.

Danach hatte ich geplant den Unlocker der Rescue Disk auszuprobieren und ggf mal den ShadowExplorer zu testen (ich habe leider keine Ahnung ob bei dem Ding die Funktion für Schattenkopien aktiviert ist) und falls dies nichts bringt halt mein Glück mit den versch. Decryptern zu probieren. Hatte jemand schon positive Erfahrungen mit bestimmten Methoden/Decryptern bei dieser Version des RansomCrypts?

@markusg:
Wenn du möchtest kann ich dir dann sofern die Mail gerettet werden kann diese auch zuschicken damit du dich daran austoben kannst :P

LG,
duddz

markusg 25.05.2012 10:49

jo, alle solche verdächtigen mails ungefragt weiterleiten.
probiere bitte erst den shadow explorer aus.
falls sie vista oder höher hatt

samarek 25.05.2012 11:08

Hallo nochmal,

ich hab es jetzt doch noch geschafft eine Original-Datei auszugraben, allerdings können die ganzen Decoder Tools die es hier so gibt damit nichts anfangen.

Weiss jemand rat, eine Idee wie ich die Art der Verschlüsselung selber rausfinden kann oder jemand der die Art bzw den Schlüssel herausfinden kann?

Die Dateien (Original und Verschlüsselt) schicke ich auf Wunsch natürlich gerne zu.

comserv 25.05.2012 11:12

Hallo Leute,
bei mir wurden auch alle Daten (inkl. ca. 90 GB auf der angeschlossenen ext. FP) kryptifiziert. Ich habe bereits die beiden Entschlüsselungsprogramme DecryptHelper von Matthias und Avira Ransom File Unlocker versucht auf der ext. FP anzuwenden, jedoch kann kein Schlüssel generiert werden (habe es mit der Originaldatei Beispielbild Blaue Berge (28kb) versucht) - die verschlüsselten Dateien haben keine Extension und auch kein locked- vorne sondern nur Buchstabenkombinationen zB: GDKBZBDFBCOFMCP, befallen sind eigentlich hauptsächlich alle Office Dateien, die aber allesamt Ist das ggf. eine neue Variante des Trojaners mit einem neuen Verschlüsselungscode, sodass die o.a. Programme diesen noch nicht entschlüsseln können? - oder bin ich einfach zu blöd???? Ich wäre dir sehr dankbar wenn ihr mir auch diesbezüglich helfen könntet.
Kira hat mir dankenswerter Weise bereits den PC wieder zum laufen gebracht mit einem OTL fix.

samarek 25.05.2012 12:04

Zitat:

Zitat von comserv (Beitrag 834020)
Ist das ggf. eine neue Variante des Trojaners mit einem neuen Verschlüsselungscode, sodass die o.a. Programme diesen noch nicht entschlüsseln können?

Ja, sieht ganz so aus, ich habe das gleiche Problem und komm da gerade auch nicht weiter, ich denke mal wir sollten uns da ggf. austauschen falls wir das Problem gelöst haben.

Enja 25.05.2012 12:54

Hallo,

ich lese mir hier seit Tagen die Postings durch und hab auch schon alle Programme durchprobiert. Hab mir den Trojaner der neuen Variante am 18.05.2012 eingefangen und hatte alle Symtome wie bisher beschrieben. Über den abgesichterten Modus mit Netzwerkzugang hab ich Internetverbindung bekommen und mit dem Malwarebytes/Antimaleware, das Notebook (win7) wieder zum Laufen gebracht.
Im Outlook hat er mir nichts verschlüsselt, alle Daten sind vorhanden und lesbar. Auf der Partition C hat er mir auch nicht eine Datei verschlüsselt, obwohl unzählige Bilder dort liegen. Nachdem ich mich hier etwas eingelesen hatte war ich schon glücklich, dass bei mir keine solchen Auswirkungen zu sehen waren. Ich hab dann des Kaspersky und nacheinander noch andere "Spürhunde" suchen lassen und den Rechner wieder sauber. Leider auch die ursächliche Mail gelöscht.
2 Tage später suche ich nach einer Datei und sehe, dass alle Musikdateien, alle Bilder und alle Worddokumente auf der Partition D wie vorher beschrieben verschlüsselt sind. Also ohne unlocked, sondern mit den Buchstabenfolgen z.B. eJalQOeTruXsXNDpuvsaN. Nur Groß und Kleinbuchstaben ohne Zahlen und ohne Dateiendung.
PDFDateien und Ordner blieben unverschlüsselt.

Ist das nun noch ein ganz anderer Schädling, der C verschont und D verschlüsselt?
Bin zwar ratlos, aber auch geduldig, in der Hoffnung, dass man das hoffentlich wieder beheben kann, da leider noch nicht alle Daten gesichert werden konnten.

Nusshund 25.05.2012 13:01

Zitat:

Zitat von Enja (Beitrag 834101)
Hallo,

ich lese mir hier seit Tagen die Postings durch und hab auch schon alle Programme durchprobiert. Hab mir den Trojaner der neuen Variante am 18.05.2012 eingefangen und hatte alle Symtome wie bisher beschrieben. Über den abgesichterten Modus mit Netzwerkzugang hab ich Internetverbindung bekommen und mit dem Malwarebytes/Antimaleware, das Notebook (win7) wieder zum Laufen gebracht.
Im Outlook hat er mir nichts verschlüsselt, alle Daten sind vorhanden und lesbar. Auf der Partition C hat er mir auch nicht eine Datei verschlüsselt, obwohl unzählige Bilder dort liegen. Nachdem ich mich hier etwas eingelesen hatte war ich schon glücklich, dass bei mir keine solchen Auswirkungen zu sehen waren. Ich hab dann des Kaspersky und nacheinander noch andere "Spürhunde" suchen lassen und den Rechner wieder sauber. Leider auch die ursächliche Mail gelöscht.
2 Tage später suche ich nach einer Datei und sehe, dass alle Musikdateien, alle Bilder und alle Worddokumente auf der Partition D wie vorher beschrieben verschlüsselt sind. Also ohne unlocked, sondern mit den Buchstabenfolgen z.B. eJalQOeTruXsXNDpuvsaN. Nur Groß und Kleinbuchstaben ohne Zahlen und ohne Dateiendung.
PDFDateien und Ordner blieben unverschlüsselt.

Ist das nun noch ein ganz anderer Schädling, der C verschont und D verschlüsselt?
Bin zwar ratlos, aber auch geduldig, in der Hoffnung, dass man das hoffentlich wieder beheben kann, da leider noch nicht alle Daten gesichert werden konnten.

Hast du mal versucht die bilder auf c zu öffnen? es gibt nämlich die variante, dass auf LW C die Namen bleiben aber trotzdem nicht zu öffnen sind und auf einem anderen LW wie du es beschreibst.
Nachtrag: miniaturansicht funktioniert in der regel noch deshalb genau schauen!

Enja 25.05.2012 13:03

Zitat:

Zitat von Nusshund (Beitrag 834106)
Hast du mal versucht die bilder auf c zu öffnen? es gibt nämlich die variante, dass auf LW C die Namen bleiben aber trotzdem nicht zu öffnen sind und auf einem anderen LW wie du es beschreibst.
Nachtrag: miniaturansicht funktioniert in der regel noch deshalb genau schauen!

Nein, alle meine Daten auf "C" sind vollommen in Ordnung und zu öffnen, finde das auch recht unglaublich, ist aber wirklich so.

Nusshund 25.05.2012 13:09

liegen die auf dem desktop oder im dokumenten ordner oder einfach in irgendeinem ordner¿ wenn letzteres der fall ist wo liegt dein dokumenten ordner auf LW D?

comserv 25.05.2012 13:29

Alles klar machen wir, bin allerdings bis Mittwoch weg vom PC. Wäre nett wenn du mir ggf. neue Infos zukommen lassen könntest

Enja 25.05.2012 13:33

Zitat:

Zitat von Nusshund (Beitrag 834114)
liegen die auf dem desktop oder im dokumenten ordner oder einfach in irgendeinem ordner¿ wenn letzteres der fall ist wo liegt dein dokumenten ordner auf LW D?

Die Dokumente, Bilder etc. liegen unter LW C Bibliotheken, - Bilder,- Dokumente,- Musik,- Videos, wie von win7 die Ordnereinteilung vorgegeben ist. AUch alle Dateien auf dem Desktop lassen sich ohne Probleme öffnen.

Unter LW D ist die Einteilung ähnlich: Bibliotheks,- Dokuments,- Musik,- Pictures.
Hab an der Ordneraufteilung nichts verändert, nur unter neue Ordner darunter angelegt. Die Ordnernamen sind auch unter D unverschlüsselt.

comserv 25.05.2012 13:33

Hi, bei mir liegen die Dokumente auf der 2. Partition (LW E:), weiters auf einer externen FP (LW G:) - sind allesamt verschlüsselt, nur die Ordner und unwichtige Dateien (zB. .ink)sind normal lesbar.

markusg 25.05.2012 13:35

welches betriebssystem nutzt ihr.
wer vista oder höher nutzt, shadow explorer versuchen.
bei mp3s und bildern ist es möglich das man einige files zum laufen bekommt wenn man die endung anhängt.

Enja 25.05.2012 13:36

Seltsam, dass bei jedem andere Auswirkungen da sind :confused:

comserv 25.05.2012 13:36

Ich habe da ein Win XP

samarek 25.05.2012 13:56

Zitat:

Zitat von comserv (Beitrag 834140)
Alles klar machen wir, bin allerdings bis Mittwoch weg vom PC. Wäre nett wenn du mir ggf. neue Infos zukommen lassen könntest

OK, ich poste hier aufjedenfall jeden Fortschritt den ich mache.
Ich hab ja eben auch schon erwähnt dass ich jetzt Original-Dateien und verschlüsselte Dateien zum Vergleichen habe.
Hilft das vielleicht einem von euch (Entwicklern) weiter?

Ich bin selber auch Java und C Programmierer, hab aber 0 Ahnung von Kryptographie, falls mich hier jemand anleiten kann dass ich selber etwas zur Lösung der Problematiken beitragen kann wäre ich sehr, sehr dankbar.

Achja ... der betroffene Rechner ist ein XP System, aber ich arbeite zum Glück an einem Win7 Rechner.

comserv 25.05.2012 14:08

Hi Markus, hilft es dir etwas wenn ich eine Verschlüsselte Datei (zB blaue Berge Bild) poste?

markusg 25.05.2012 14:50

hi
nein verschlüsselte dateien haben wir genug denke ich :-)

jogynv 25.05.2012 22:10

bin leider auch drauf rein gefallen :( Einmal nicht nachgedacht !! Anhang auf einer Rechnung geöffnet und schon passiert !!
:heulen:

Habe diesen DecryptHelper 0.50.jar geladen. läßt sich aber leider nicht öffnen.
hab win7. Er versucht es immer mit Nokia suite zuöffnen ! womit kann ich es öffnen ??

Bei mir ist alles verschlüsselt worden. sogar die Favoriten im Explorer sind verschlüsselt oder anders !!

Brauche hilfe.

kleiner fehler , hab den 0.5.3 jar geladen

timeagent 25.05.2012 22:14

Hi,

lad dir Java runter. Damit kannst du die Datei ausführen.

fiedler-sm 26.05.2012 06:31

Hallo,

bei mir hat es mit Shadow Explorer geklappt. Vorher einen Scan mit Malwarebytes im abgesicherten Modus durchführen oder wenn das nicht geht mit Emsisoft Emergecy Kit probieren. Als aller erstes natürlich Daten sichern.

fiedler-sm

jogynv 26.05.2012 07:53

Mit java funktioniert es leider nicht. Hab´s nochmal runter geladen aber kann nicht geöffnet werden

Enja 26.05.2012 07:55

Guten Morgen,

gestern hat mein Mann gleich drei der verseuchten Mails auf seinen Firmenrechner bekommen in einer neuen Variante. Es wurden Bestätigungen angeblich von Ebay über erfolgte Transaktionen verschickt. Gott sei Dank nicht geöffnet :-)
Man muss echt verflucht aufpassen welche Mails man sich derzeit anguckt!

jogynv 26.05.2012 08:02

Bei mir war es auch eine Rechnung. Hätte es normalerweise nicht geöffnet, kenne aber solche spielchen von meiner Ex.

redfly 26.05.2012 13:38

Liste der Anhänge anzeigen (Anzahl: 2)
Einen Bekannten hat es jetzt auch erwischt, er hat vermutlich den Anhang geöffnet. Alle Dateien sind in Groß- und Kleinbuchstaben umbenannt und verschlüsselt. MP3-Dateien lassen sich aber abspielen.

Ich habe einige Entschlüsselungsprogramme ohne Erfolg ausprobiert.

Ich habe ihm den PC neu aufgesetzt, vorher aber alle verschlüsselten Dateien (Bilder, Musik, Dokumente) auf eine USB Festplatte gesichert.

Was kann ich machen, bzw. sind die Daten wiederherzustellen?

Im Anhang ein Screenshot wie die Mail bei Web.de aussah.

Undertaker 26.05.2012 16:15

moin moin an alle, die sich mit einem Virus der Nach-locked-Variante infiziert haben.

Es bringt nichts, mit den Ranson-Tools zu experimentieren.
Wer es doch nicht lassen kann, experimentiere bitte mit Kopien.

Ich kann nur jedem empfehlen, sowohl die verschlüsselten Dateien, als auch den Dropper aufzuheben.
Es ist nicht auszuschließen, dass bereits im Dropper ein Teil des Schlüssels enthalten ist.
Wenn man sich so einen Plagegeist mal näher ansieht, dann findet man eigenartige Strings.

Mal als Beispiel, hier eine Registrierung.pif, geschrieben in VB:

http://due-m.de/Trojaner/vba1.jpg

http://due-m.de/Trojaner/vba2.jpg

http://due-m.de/Trojaner/vba3.jpg

Oder hier ein beispiel einer Lieferschein.exe, geschrieben in Delphi:

http://due-m.de/Trojaner/delphi2.jpg

Sollte so ein String oder ein Teil davon Teil des Schlüssels sein, dann wäre es fatal, wenn die Profis eine Entschlüsselungsroutine finden und dann fehlt der Teil des Schlüssels, weil man den Virus ins Nirvana geschickt hat und ihn nicht wiederbekommen kann.

Der Rat gilt natürlich nur für diejeneigen, die ihre Daten unbedingt wieder haben wollen.
Wer darauf verzichten kann und sein System neu aufsetzt, der ist ohnehin aus dem Schneider.

Bei der Gelegenheit möchte ich auch nochmal auf die Sicherheit von Backups hinweisen.

http://www.trojaner-board.de/115678-...r-backups.html

Gruß Volker

benton18 26.05.2012 18:56

genügt denn die mail, die den schaden verursacht hat oder muss es die pif. datei sein?

007Alex007 26.05.2012 21:44

Hallo, ich konnte meine Dateien entschlüsseln, nun sehen die Dateien auch wieder so aus wie vorher, richtige größe usw. nur wenn ich sie öffnen will kann man damit nichts anfangen. Hat das Problem noch jemand bzw. gibt es eine Lösung?!

Danke und Gruß

benton18 27.05.2012 00:18

Zitat:

Zitat von 007Alex007 (Beitrag 834713)
Hallo, ich konnte meine Dateien entschlüsseln, nun sehen die Dateien auch wieder so aus wie vorher, richtige größe usw. nur wenn ich sie öffnen will kann man damit nichts anfangen. Hat das Problem noch jemand bzw. gibt es eine Lösung?!

Danke und Gruß

wie sahen die dateien vor der entschlüsselung aus?

Undertaker 27.05.2012 07:50

@benton18,

Zitat:

Zitat von 007Alex007 (Beitrag 832455)
Hallo,
...
...
Die Dateien habe aber ihre richtige Größe usw. Die dateien heißen, locked-2011-Arbeitsdienst.jpg.lhsn

...

Gruß Alex

Etwas anderes ist z.Z. auch fast auszuschließen.

Gruß Volker

Opelmaus 28.05.2012 00:18

Hallo..
wir haben ja leider auch die "Lieferschein.exe" Sauerei eingefangen...
Bei uns sind alle Daten auf D: verschlüsselt... auf C: nichts mehr , da hat es gereicht die Endungen wieder anzuhängen (jpg oder mp3...) Was aber auf D: nicht geht ...
Den Virus haben wir mit Kaspersky gelöscht...

Ist es sinnvoll das System (C:) neu aufzuspielen wenn das Problem auf Partition D: besteht oder ist es erstmal nicht ratsam..?

p.s.: Win 7 Ultimate
Liebe Grüße

asoka 28.05.2012 00:35

Hallo und Guten Abend

Ich kann mir sicher vorstellen das uhr viel zu tun hast derzeit um so Leuten wie mir zu Helfen


Ich weiß nur nicht mehr weiter und bin völlig fertig.
Mein Mann und ich haben vor 3 Wochen Kirchlich Geheiratet,kurz davor kam meine Tochter zur Welt, und nun ist alles weg ...ich kann auf kein Foto nichts mehr zugreifen,alle versuche was mit euren Tools zu retten schlugen fehl, da steht dann immer wenn ich diese Beispiel Datei nehme von den Blauen Bergen...Dateien sind unterschiedlich groß.Auch die anderen tools gehen nicht da ich ja keine Orginal Datei habe.
Was mach ich den nur, die Geburt meiner Tochter ist etwas was ich nie wieder bekommen werden,und bei jeden Foto ist sowas hier

ggOOgOOggOggOggOgO

und andere sachen...ich weiß wirklich nicht mehr was ich noch machen kann

Bitte Helft mir

Britta

mtaube 29.05.2012 08:53

Hallo,

habe auch gerade einen PC auf dem Tisch. Hier sind DOC, JPG usw. verschlüsselt. Die Dateinamen sind allerdings nicht verändert! Sie lassen sich einfach nicht öffnen. Tools greifen nicht.
Auf der ext. Platte ist restlos alles verschlüsselt! Alle Dateien haben wilde Buchstabenfolgen ohne Erweiterung, also nicht nur JPG und co.
Dummerweise ist auch die Sicherung betroffen.

Gruss Micha

Schachzug75 29.05.2012 12:32

Hallo,

ja ich war auch so Blöd und habe die Zip-Datei angeklickt und nun sind meine Daten verschlüsselt. Habe über Norton den Trojaner zwar weg, aber die Daten sind noch nicht wieder frei. Über Eure Software kann ich keinen Schlüssel erzeugen. Dieser Text stand bei mir in der E-mail:

Dritte Zahlungsaufforderung 754484997 Rechtsanwalt

Guten Tag,

in Bezug auf unsere Rechnung Nr.: 50096046 und unsere 1. sowie auch unsere 2. Mahnung mussten wir heute feststellen, dass Ihre Zahlung bei uns noch immer nicht gebucht ist. Dies bedeutet einen einseitigen Vertragsbruch Ihrerseits. Nach geltendem Recht könnten wir die offene Forderung bereits jetzt bei Gericht anmelden. Wir geben Ihnen jedoch trotzdem noch eine letzte Möglichkeit, Ihre vertragliche Verpflichtung zu erfüllen, indem Sie unverzüglich die ausstehende Summe in Höhe von 511.00 EURO an uns zur Zahlung bringen. Möglicherweise konnten wir Ihre Zahlung nicht zuordnen, weil z.B. der Verwendungszweck nicht korrekt angegeben wurde.

Die Bestelleinzelheiten und die Rechnung können Sie in beigefügter Datei ansehen.

Nach geltendem Recht sind wir befugt, die anfallenden Kosten geltend zu machen. Alle bereits angefallenen und noch entstehenden Kosten (Mahnkosten, Rechtsanwalts- und Gerichtskosten) gehen zu Ihren Lasten.

Vermeiden Sie unnötigen Ärger und weitere Kosten und erfüllen Sie den mit uns abgeschlossenen Vertrag.



Ceipe Elektro Online-Handel mit Sitz in Essen

Vorstand: Peter Mayer, Josef Scholz
Aufsichtsratsvorsitzender: Heinz Hahn
Gesellschaftssitz: Hannover 71996

Anhang war eine Zip_datei 50KB groß mit dem Titel: Inkasso

Wie kann ich denn hier mal eine orginale und eine verschlüsselte Datei einfügen?

Gambolosch 29.05.2012 16:38

Zitat:

Zitat von Schachzug75 (Beitrag 835460)
Hallo,

ja ich war auch so Blöd und habe die Zip-Datei angeklickt und nun sind meine Daten verschlüsselt. Habe über Norton den Trojaner zwar weg, aber die Daten sind noch nicht wieder frei. Über Eure Software kann ich keinen Schlüssel erzeugen. Dieser Text stand bei mir in der E-mail:

Dritte Zahlungsaufforderung 754484997 Rechtsanwalt

Guten Tag,

in Bezug auf unsere Rechnung Nr.: 50096046 und unsere 1. sowie auch unsere 2. Mahnung mussten wir heute feststellen, dass Ihre Zahlung bei uns noch immer nicht gebucht ist. Dies bedeutet einen einseitigen Vertragsbruch Ihrerseits. Nach geltendem Recht könnten wir die offene Forderung bereits jetzt bei Gericht anmelden. Wir geben Ihnen jedoch trotzdem noch eine letzte Möglichkeit, Ihre vertragliche Verpflichtung zu erfüllen, indem Sie unverzüglich die ausstehende Summe in Höhe von 511.00 EURO an uns zur Zahlung bringen. Möglicherweise konnten wir Ihre Zahlung nicht zuordnen, weil z.B. der Verwendungszweck nicht korrekt angegeben wurde.

Die Bestelleinzelheiten und die Rechnung können Sie in beigefügter Datei ansehen.

Nach geltendem Recht sind wir befugt, die anfallenden Kosten geltend zu machen. Alle bereits angefallenen und noch entstehenden Kosten (Mahnkosten, Rechtsanwalts- und Gerichtskosten) gehen zu Ihren Lasten.

Vermeiden Sie unnötigen Ärger und weitere Kosten und erfüllen Sie den mit uns abgeschlossenen Vertrag.



Ceipe Elektro Online-Handel mit Sitz in Essen

Vorstand: Peter Mayer, Josef Scholz
Aufsichtsratsvorsitzender: Heinz Hahn
Gesellschaftssitz: Hannover 71996

Anhang war eine Zip_datei 50KB groß mit dem Titel: Inkasso

Wie kann ich denn hier mal eine orginale und eine verschlüsselte Datei einfügen?

Hallo zusammen,

mir ist heute genau das selbe passiert. Ich habe eine Mail mit der Originalmail wie erklärt an euch weiter geleitet.

Ich benutze Windows 7 Ultimate und habe den Trojaner mittels Microsoft Security Essentials entfernt.

Bin mir sicher, daß die Originaldatei "dvm.dll" hieß und die verschlüsselte "lNavsOUnsAVoVExqU" heißt. Ich habe wenn benötigt noch mehr solche Beispiele.

Würde mich über weitere Hilfe sehr freuen!

chris.k 29.05.2012 18:13

ich habe sämtliche tools ausprobiert, obwohl ich eine originale datei und eine codierte habe, kann ich die dateien nicht entschlüsseln.
kann man euch datein hochladen ? vielleicht mache ich ja etwas falsch bei der ANwendung... ich bin echt verzweifelt...
lg chris

Undertaker 29.05.2012 21:07

@chris.k,
Du hast im Thred, in dem die neue Variante des Trojaners beschrieben wird, gepostet, dass Du Dich auch damit infiziert hast.
Du solltest also wissen, dass die Entschlüsselung mittels Dateipaaren da nicht greift.

Hast Du schon mal nach Schattenkopien gesehen?

http://www.trojaner-board.de/115551-...tml#post835551

Ich möchte auch nochmal darauf hinweisen, dass das hier ein Diskussionsforum ist und Logfiles, Hilferufe u. ä. hier fehl am Platze sind.

Oben steht:
Zitat:

Diskussionsforum: Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)
Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches. ...
Wahrscheinlich aus Verständnisses für die Verzweiflung der Betroffenen, zeigt die Administration des TB hier ein hohes Maß an Toleranz.

Postings wie:
"...bin verzweifeld...." oder "---gibts schon was Neues?..."
sind einem Diskussionsthred nicht gerade zuträglich.

Noch eine letzte Frage @chris.k
War Dir der Bundestrojaner, den Du Dir im August vergangenen Jahres eingefangen hast keine Lehre?

Gruß Volker

asoka 29.05.2012 21:24

Was mich hier unheimlich stört...es gibt 75 Prozent der Leute hier die wie ich kein Vista haben sondern nur XP...und es dreht sich zu 90 Prozent immer nur um Hilfe für Vista benutzer.
Ich finde hier sollte auch ein bischen mehr wert auf die Xp Kunden gelegt werden...den bischer kam noch nicht ein einziger Hilfe vorschlag für den Trojaner ohne locked für XP nutzer

Flagelated 29.05.2012 22:11

@asoka

das liegt daran, dass es für XP bisher noch nichts gibt, was soll dann gepostet werden?...

Bei Vista und Win7 hast du die Shadow Volumes als Möglichkeit, mit der du evtl. deine Daten wiederbekommst.

Dies wurde in XP von Microsoft eher rudimentär behandelt und ist somit unter XP nahe zu unbrauchbar

Undertaker 29.05.2012 23:09

Zitat:

Zitat von asoka (Beitrag 835664)
Was mich hier unheimlich stört...es gibt 75 Prozent der Leute hier die wie ich kein Vista haben sondern nur XP...und es dreht sich zu 90 Prozent immer nur um Hilfe für Vista benutzer.
Ich finde hier sollte auch ein bischen mehr wert auf die Xp Kunden gelegt werden...den bischer kam noch nicht ein einziger Hilfe vorschlag für den Trojaner ohne locked für XP nutzer

moin moin asoka,

estmal gilt es festzustelle, dass das hier ein Board ist, das von Kunden für Kunden betrieben wird.
Desweiteren ist festzustellen, dass es weder für XP, Vista noch Win7 eine Lösung für die Nach-locked-Varianten gibt.
Wenn hier Nutzer betriebssystemabhängige Möglichkeiten, Tools und Hintertüren posten, die es ermöglichen, zumindest Datenfragmente zu retten, dann gilt das auch für XP.
Entweder nutzen XP nicht soviele Leute wie Du vermutest, oder es fällt keinem eine Möglichkeit für XP ein.

Gruß Volker

seismo65 30.05.2012 00:08

Hallo zusammen,

jetzt muss ich mich auch mal melden, nach dem ich schon einiges von den zuvor genannten tools, etc. versucht habe und nichts geklappt hat.
Ich habe eine Variante, die die Filenamen komplett gleich lässt, nur wenn man sie öffnen möchte, kann das Programm sie nicht öffnen. Das ist bei doc, xls, ppt jeg, etc. der Fall.

Mit den verschiedenen Filepaaren ließ sich kein Schlüssel generieren, weder der von MarkusG noch anitvir.

Ich habe Vista. Habe mir auch den shadow runtergeladen, weiß aber nicht, wie ich den nutzen soll??? Ich sehe die alte Dateien vor der Infizierung, aber was mach ich damit??? Ich krieg die nicht bewegt oder sonst was. Wie nutzt shadow?

Glücklicherweise macht der Computer wöchentlich ein Backup. Daraus ließ sich einiges retten. Leider nicht alles, da ich nicht alle Platten habe screen lassen. Zu dumm.

Noch mal für mich zum Verständnis: Für die neue Variante (Infizierungsdatum bei mir um den 21.05.) gibt es noch keine Hilfe? Dann die Frage woran erkenn ich, ob 4kb oder 12kb der Datei verschlüsselt sind?

Habe mir auch einige Dateieigenschaften angeschaut: Es ist sowohl der 1601 dabei aber auch Dateien ohne jede Änderung, die sich nicht öffnen lassen.

Werde euren Trött weiter verfolgen. Bedanke mich schon jetzt für den einen oder anderen Hinweis und gehe jetzt erstmal ins Bett ;-))
Beste Grüße
seismo

PS: Ach so das beste nach dem ich habe malware drüber fahren lassen, war die einizige auffällige Datei die mit Markus Programm???

Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.29.07

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Jörg :: HOME-PC [Administrator]

Schutz: Aktiviert

29.05.2012 23:38:35
mbam-log-2012-05-30 (00-03-46).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 285010
Laufzeit: 17 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\Jörg\Downloads\DecryptHelper-0.5.3.exe (Trojan.FakeAlert) -> Keine Aktion durchgeführt.

(Ende)

Wie shadow funktioniert, habe ich rausgefunden.
Klappt bei allen Dateien. Gott sei Dank.

Nur leider habe ich G: nicht dabei...

Also bin weiter auf der Suche nach einer Lösung.

timeagent 30.05.2012 08:39

Ich will mal die vielen Meldungen vom Virenbefall unterbrechen und nachfragen, ob schon ein Verdacht besteht, ob der neue Crypt-Trojaner die Dateien nach Zufallsprinzip verschlüsselt, oder ob wirklich irgendwo ein Keyfile in den Code geschrieben wird/wurde.
Ich würde nämlich zu gern die befallene Festplatte killen und neu auflegen. Vorher will ich aber sicherstellen, das nicht dadurch die benötigten Files zum Entschlüsseln mit verschwinden. Es geht bei mir um ein Datenvolumen von 4TB. Den Datenmüll möchte ich ungern längere Zeit aufbewahren!!

2. Frage. Könnte der erstellte Dateiname mit dem Key was zu tun haben? Hat das von euch schon jemand getestet?


BTW: Nur wenn man diskutiert kommt man der Lösung näher. Selbst der blödeste Gedanke kann helfen.
Deshalb auch mein Beitrag:zunge:

Gruß
Stefan

seismo65 30.05.2012 09:43

Shadow hab ich dann doch noch verstanden. Damit ließ sich C: komplett restaurieren. Leider wird meine weitere Festplatte mit jeder Menge Daten/Bilder nicht geback uped. Hier sind alle Dateien kodiert. Syntax des Filenamen: filename.ext. Nichts verändert. Das wird dann die neue Variante sein?

Als ich seisnerzeit den zip-Anhang angeklict habe (um den 21.09.), ist eigentlich gar nichts passiert. Jedenfalls nicht bemerkbar. Aber einige Zeit danach ca. 30 min ist der Rechner eigenständig runtergefahren (schwarzer Bildschirm) und von selbst wieder hoch. Das ganze hat vielleicht 10 - 30 Sekunden gedauert. Alle Programme, die ich zu derzeit benutzt habe, liefen einwandfrei, so dass ich den Schaden erst 1-2 Tage später bemerk habe.

Vielleicht hilft die Beschreibung, da ich so etwas hier noch nicht gelesen hatte.
Gruß Jörg

benton18 30.05.2012 10:32

@timeagent:

Es hat den Anschein, der Trojaner schreibt einge Tempfiles und legt auch nochmal eine Sicherheitskopie von sich selbst ab. Vondaher wäre es nicht gut, wenn du deine C: jetzt ohne Backup schredderst, wenn wenn, dann liegt der schlüssel ev tatsächlich in den Zusatzfiels. Alles nur Vermutungen;-)

timeagent 30.05.2012 10:56

Dann kann ich nur hoffen, das der Kaspersky nicht diese Files selbstständig gelöscht hat, anstatt in Quarantäne zu schicken. Ich hab gerade die beiden Platten auf die Netzwerkfestplatten gespiegelt, bzw. rüberkopiert. Vieleicht ist der "Müll" noch zu retten. Die Zeit wird es zeigen.

Und wenn Sie nicht gestorben sind....:heilig:

Gruß
Stefan

merlinsdragn 30.05.2012 11:09

hi, ich hab eine Frage zum Tool an sich.

Ist es zwingend nötig eine unverschlüsselte Orginaldatei zu haben?
Mein Verstand meldet, dass es ohne diese gar nicht gehen kann einen Key zu erzeugen, aber vllt übersehe ich ja was.

ich habe jede Menge verschlüsselte Dateien im "Eigene Dateien"-Ordner...

habe ich Chance auf ein decrypt, wenn ich an keine Backup mit Orginaldateien rankomm?

liebe Grüße

Nusshund 30.05.2012 11:11

Zitat:

Zitat von merlinsdragn (Beitrag 835827)
hi, ich hab eine Frage zum Tool an sich.

Ist es zwingend nötig eine unverschlüsselte Orginaldatei zu haben?
Mein Verstand meldet, dass es ohne diese gar nicht gehen kann einen Key zu erzeugen, aber vllt übersehe ich ja was.

ich habe jede Menge verschlüsselte Dateien im "Eigene Dateien"-Ordner...

habe ich Chance auf ein decrypt, wenn ich an keine Backup mit Orginaldateien rankomm?

liebe Grüße

auch hier wieder die Frage wie sehen deinen verschlüsselten Files aus ¿

merlinsdragn 30.05.2012 11:17

Zitat:

Zitat von Nusshund (Beitrag 835832)
auch hier wieder die Frage wie sehen deinen verschlüsselten Files aus ¿

oh, entschuldiung.

Werde einige Dateinamen posten, Reihenfolge vollkommen zufällig.

aDtqNjdrfnTEXJ
AnyVXJGfLJEtJGjsqDgd
asvvAeeGggqpUUQLL
AxQQyDDtrrATVVJooexx
dGusyDOqNXdafnvE

ohne Dateiendung, so wie Sie sind...zw. 20 und 30kb

waren mal Word Dateien, wenn ich mich nicht irre.

Nusshund 30.05.2012 11:37

Zitat:

Zitat von merlinsdragn (Beitrag 835837)
oh, entschuldiung.

Werde einige Dateinamen posten, Reihenfolge vollkommen zufällig.

aDtqNjdrfnTEXJ
AnyVXJGfLJEtJGjsqDgd
asvvAeeGggqpUUQLL
AxQQyDDtrrATVVJooexx
dGusyDOqNXdafnvE

ohne Dateiendung, so wie Sie sind...zw. 20 und 30kb

waren mal Word Dateien, wenn ich mich nicht irre.

es gibt hier im Thema und auch in vielen anderen mehrfach die Erläuterung, dass es bei dieser Art der Verschlüsselung im Moment leider keine Hilfe gibt (ausgenommen Schattenkopie unter Vista bzw. Win7 wenn aktiviert)!!

Mir ist klar, dass man aufgeregt und verärgert ist wenn man betroffen ist.
Aber wenn wir hier zig mal das selbe sagen müssen, ist das auch nicht schön :kloppen:

Also bitte immer erst lesen und dann drauf los ;o)

merlinsdragn 30.05.2012 11:39

Zitat:

Zitat von Nusshund (Beitrag 835853)
es gibt hier im Thema und auch in vielen anderen mehrfach die Erläuterung, dass es bei dieser Art der Verschlüsselung im Moment leider keine Hilfe gibt (ausgenommen Schattenkopie unter Vista bzw. Win7 wenn aktiviert)!!

Mir ist klar, dass man aufgeregt und verärgert ist wenn man betroffen ist.
Aber wenn wir hier zig mal das selbe sagen müssen, ist das auch nicht schön :kloppen:

Also bitte immer erst lesen und dann drauf los ;o)

ok ich bitte um entschuldigung die 76 seiten nur überflogen zu haben.

Nusshund 30.05.2012 11:41

nein du musst dich nicht entschuldigen es ist ja auch nicht böse gemeint aber ein bischen lesen wäre schon schön *g*

timeagent 30.05.2012 12:32

Ich hab ne Frage! Sowas solls ja geben

Mir ist beim kopieren aufgefallen, das der Virus die Ordnerstruktur unberührt gelassen hat und nur die Dateien verändert. Aber halt nicht jede Datei. Den Windows Ordner kann ich ja noch verstehen, aber auch die ganzen Programme laufen noch. Ich hab ein Programm drauf, welches eine SQL Datenbank über den MSDE nutzt. Jene Datenbank, welche offen war wurde in Ruhe gelassen und jene die geschlossen war wurde gecryptet. Heißt für mich, das das Misstteil nur jene Dateien befällt, welche es über einen "Editor" öffnen kann. Und das geht nur bei unbenutzten Dateien.

Was die Verschlüsselung angeht, so konnte ich feststellen, das die Dateien nur am Anfang umgeschrieben wurden. Wenn ich die Dateien vom Schluss her vergleiche, ist keine Verschlüsselung zu finden. Gibt es ein Proggy, womit ich die Codes von zwei Files miteinander vergleichen kann?
Verschlüsselt sind ja nur die ersten 100 Codezeilen oder so. Zumindest in den Excel Dateien die ich verglichen habe!!!
VON HAND

Nusshund 30.05.2012 12:37

Zitat:

Zitat von timeagent (Beitrag 835880)
Ich hab ne Frage! Sowas solls ja geben

Mir ist beim kopieren aufgefallen, das der Virus die Ordnerstruktur unberührt gelassen hat und nur die Dateien verändert. Aber halt nicht jede Datei. Den Windows Ordner kann ich ja noch verstehen, aber auch die ganzen Programme laufen noch. Ich hab ein Programm drauf, welches eine SQL Datenbank über den MSDE nutzt. Jene Datenbank, welche offen war wurde in Ruhe gelassen und jene die geschlossen war wurde gecryptet. Heißt für mich, das das Misstteil nur jene Dateien befällt, welche es über einen "Editor" öffnen kann. Und das geht nur bei unbenutzten Dateien.

Was die Verschlüsselung angeht, so konnte ich feststellen, das die Dateien nur am Anfang umgeschrieben wurden. Wenn ich die Dateien vom Schluss her vergleiche, ist keine Verschlüsselung zu finden. Gibt es ein Proggy, womit ich die Codes von zwei Files miteinander vergleichen kann?
Verschlüsselt sind ja nur die ersten 100 Codezeilen oder so. Zumindest in den Excel Dateien die ich verglichen habe!!!
VON HAND

Ja das gibts z.B. Winmerge habe aber selbst schon probiert einfach den Bereich zu tauschen welcher verändert ist, aber Datei bleibt Müll :headbang:

timeagent 30.05.2012 12:52

Weil der obere Teil wirklich anders ist klappt das nicht. Ich will auch nur diesen Teil mit mehreren anderen Dateien vergleichen. vieleicht hab ich ja Glück und finde übereinstimmungen in den verschiedenen Dateien. Wäre zumindest ein Anhaltspunkt für die Position des Schlüssels oder?

Wastel24 30.05.2012 18:54

Hi,
auch ein geschädigter....
habe auf dem Notebook meiner Frau unter folgendem Pfad

C:\ProgramData\Microsoft\Crypto\Keys

2 Dateien entdeckt

84ab8a235f6ccbcac90b9c99ec9a1b5b_1a0007b4-e239-4b86-8870-b72086789fd4
ist ca. 1h älter seit dem öffnen des Anhangs und wird als Systemdatei mit 2kb deklariert
Datum 28.05.2012 19:11Uhr

vGjeTDpeaxftUGfgJ
ist schon 8 Monate alt wird als Datei mit 2kb deklariert
Datum 05.11.2011 08.04Uhr

zusätzlich gibt es in diesem Pfad
C:\ProgramData\Microsoft\Crypto\
die Ordner
DSS\MachineKeys\ --> leer
RSA\MachineKeys\ --> viele Systemdateien ohne Endung wie obriges Beispiel
RSA\S-1-5-18\ --> einige Systemdateien und Dateien ohne Endung

helfen evtl. diese weiter....

Gruß
Wastel

Sascha.K. 30.05.2012 19:56

Hallo, gibt es denn schon eine Möglichkeit die Dateien zu entschlüsseln, die mit dem neuesten Trojaner verschlüsselt worden sind?

Ich hab mir den nämlich auch eingefangen. :headbang:

Grüße

benton18 30.05.2012 20:13

ich bin zwar kein Mod oder Helfer hier ,aber das ewige Gefage, obwohl auf der selben seite die Antwort erwähnt wird, dass es zu dieser Verschlüsserlung noch nix gibt, nervt langsam, nichts für ungut. Auf der anderen Seite beweist es, dass es nachwie vor geschädigte gibt und die trojaner nach wie vor aktiv sind.

asoka 30.05.2012 20:28

Laut WDr siind rund 40000 strafanzeigen geszellt worden...ich werde meine jetzt online machen...sind die daten weg hab ich nen mega schaden

muddymu 30.05.2012 20:44

Habe auch diese Probleme mit verschlüsselten DAteien. Mein Rechner war heute beim Techniker-ohne Erfolg.
Ein Kollege der Programmierer ist, sagt, das das ein sehr hohe Verschlüsslung sei, knapp unter einer Militärischen VAriante-Hmm. Sieht schecht auch für meine Bilder der Kids.:-(

aber ich zähle auf euch, dass ihr was findet und bleibe auch selbst am BAll....

wbreiden 30.05.2012 20:48

Hoi miteinander,

klar, dass immer mehr frustriert, geschädigte User das Forum überrollen und das die Beiträge oft von unvollständigen und nicht gerade von orthografie geschönigten Beiträge überfüllt sind. Ich wäre auch froh eine Rechtschreibprüfung zu haben.

Von daher sollte man sich vielleicht auch mal überlegen, ob ein Forum wirklich die richtige und geeignete Massnahme ist?

Eine andere Möglichkeit wäre, wenn man etwas mehr über die Arbeit an diesen Trojaner berichtet - vielleicht ist es aber auch kontroproduktive?

Ich habe auch eine Beitrag gelesen, dass man Anzeige erstatten kann, aber wie und wo - es war ein Abkürzung drin, so was ist nicht hilfreich?

Diese Typen sollen man mal einen Besuch mit eine Baumschere absolvieren? Auch wenn dies jetzt nur ein Frustaussage ist - ich bin viel zu schwächlich, behindert für solche Dinge?

Aber es ist wichtig, dass sich so viel wie möglich Geschädigte zusammenschließen und niemals aufgeben. Es gibt immer Möglichkeiten, dass sich sogar Militärrechner/-angehörige zusammentun um eine Verschlüsselung zu knacken und solchen Leuten die Finger zu brechen/beschneiden.

Grüessli
Wolfgang

benton18 30.05.2012 20:59

Ich bin ziemlich sichr, dass es nur eine Frage der Zeit ist, bis die Daten entschlüsselt werden können. Behaltet die verschlüsselten Daten alle auf, am Besten auf eine externe USB Plattet damit, mitsamt der trojaner mail die ihr bekommen habt.

Wenn wir die Hochzeitsbilder oder die der Kiddies in einem Jahr wiederbekommen, ist doch auch noch recht.

Am besten noch den gesamten Inhalt des Windows-Verzeichnisses 1:1 auf die USB dazugeben, dort befinden sich laut unbestätigten Meldungen Files, die der Trojaner abgelegt hat (schlüssel, bzw wichtige teile davon) Mehr könnt ihr im Moment nicht machen, leider.

AnkeP 30.05.2012 21:33

Genau so siehts aus, abwarten, alles sichern, extern.
Dann hier immer wieder nachlesen wie der Stand ist.
PC neu installieren, Geduld haben.

Habe heute einer Bekannten ihren gesamten Datenbestand wieder einspielen können, nach Bereinigung, das konnten die anfänglichen diversen Decrypter bisher nicht sauber. ....die locked-Variante...
Somit hat sie sich das nachtragen von Kundendatensätzen durch Datenrücksicherung für ein halbes Jahr erledigt, hat doch was ....

Danke ans Team der vielen die hier mitarbeiten

die Anke

Undertaker 31.05.2012 08:50

moin moin,
was man aufheben und/oder sichern sollte, ist schwer zu sagen, solange nicht exakt bekannt ist, welche Informationen letztendlich den Schlüssel bilden.
Die Leute hier, wie beispielsweise @markusg oder @pcberlin und die Leute von Delphi-Praxis sind ja dem "Schlüsselmacher" schon auf der Spur.

Wir dürfen nicht vergessen, dass die Wühlerei in den Eingeweiden des Übeltäters zeitintensiv ist und neben der regulären Arbeitszeit durchgeführt wird.
So müssen Ergebnisse oder Vermutungen verifiziert und ausgetauscht werden und einen Debugger hat auch nicht jeder immer am Laufen.

Desweiteren hat sich der Trojaner seit Mitte April in unterschiedlichen Varianten gezeigt, sodass es garnicht mal sicher ist, dass eine Schlüsselroutine, wenn sie denn mal exakt gefunden wird, für die Version 1.150.1 auch auf Version 1.140.1 angewendet werden kann, obwohl das Schadensbild identisch scheint.

Wenn ich die Ausführungen bei Delphi-Praxis richtig interpretiere, dann besteht sogar der Verdacht, dass die Seriennummer der HDD einen Teil des Schlüssels liefert.
Wenn dem so sein sollte, dann ist eine Sicherung der Daten auf ein anderes Laufwerk, ohne Sicherung der HDD-Serial des Sorcelaufwerkes auch nicht ausreichend.

Ein Optimum wäre der Ausbau der HDD, aber wer macht das schon.
Höchstens diejenigen, für die der Datenbestand existenziell wichtig ist, aber die haben sicherlich ohnehin recht aktuelle Backups.

Ich möchte in diesem Zusammenhang nochmal darauf hinweisen, dass relativ sichere Backups für jedermann möglich sind, ohne dass man sich finanziell ruiniert.
Siehe http://www.trojaner-board.de/115678-...r-backups.html

Gruß Volker

timeagent 31.05.2012 09:11

Das Problem mit den Backups ist ja nicht das Programm mit dem es erstellt wird, sonder vielmehr die Tatsache, das die wenigsten eine Spiegelplatte mit der gleichen Größe auf dem System haben. Somit hat man immer die Wahl zwischen Pest und Cholera. Außerdem sind es meist die Benutzer welche die Mühen der Admins wieder zunichte machen indem Sie die Sicherungen geschickt umgehen ohne zu wissen was Sie das anrichten. So war es bei uns auch. Mein Chefe hatte den aktuellen Kaspersky auf dem Rechner und wäre geschützt gewesen, wenn er nicht mit einem Klick die Sicherung deaktiviert hätte. Und das nur weil ich nicht dran gedacht habe, das man so blöd sein könnte. Mitlerweile hab ich überall den Kennwortschutz eingeschaltet. Dazu kam noch, das er extrem viele Daten auf dem Desktop abgelegt hat anstatt auf dem Netzwerkserver, der regelmäßig gesichert wird. Den hat der Virus nicht angegriffen zum Glück. Wie gesagt Glück, das sich das Teil nur mit lokalen Datenträgern begnügt.
Was mich aber wieder zum Schluss führt, das ganz gezielt kleine User und keine Firmen abgezockt werden sollen.

Nusshund 31.05.2012 10:03

Zitat:

Zitat von timeagent (Beitrag 836466)
Wie gesagt Glück, das sich das Teil nur mit lokalen Datenträgern begnügt.

naja das ist leider so nicht richtig. bei einigen wurden sämtliche Netzlaufwerke mit angegriffen, was natürlich dann auch die Backups betroffen hatte.

Wer schaltet schon das Backup NAS aus nachdem die Sicherung gemacht wurde. Also meine Automatik ist raus und das NAS wird immo nur noch manuell gestartet und nach der Sicherung wieder entfernt. Man weiß ja nie was noch so kommt leider.

timeagent 31.05.2012 10:34

Dann hattest du echt Pech. Bei mir hingen an dem befallenen Rechner 5 Clients, welche über den Server verbunden waren. Der befallene Rechner hat hat es aber nicht geschafft zum SBS Server zu gelangen, obwohl der im Intranet ziemlich offen da steht. KORREKTUR STAND.
Ich konnte aber noch nicht ausmachen, durch was der vor dem Server gestoppt wurde. Im Ereignisprotokoll ist auch nix zu finden.
Auch die USER Files sind alle unberührt geblieben. Es könnte vieleicht daran liegen, das alle direkten Zugang zum Netz haben und nicht der Internetverkehr erst über den Server umgeleitet wird, was ja vermeintlich sicherer wäre.

Ich hab zum Glück kein NAS was betroffen gewesen wäre. Der Server hat genügend Kap. um eigentlich alle Rechner zu sichern. 2 Tera reichen normalerweise dicke aus bei uns im Unternehmen

Undertaker 31.05.2012 11:01

@timeagent,
das Backup was ich meine, zielt gerade auf die "kleinen Leute", Hobbyfotografen, Laienmusiker und weiß-der-Geier wer alles größere Datenbestände und individuell konfigurierte Software auf dem Rechner hält.
Ein Backup des eingerichteten Systems und ein turnusmäßiges Backup der Daten (manuell oder zeitgesteuert) hilft nicht nur bei Schadsoftware.
Auch eine HDD selbst hat nicht das ewige Leben.
Es ist dann beruhigend zu wissen, in relativ kurzer Zeit sein System wieder in den Zustand von vor dem GAU versetzen zu können.
Wenn die Backups dann noch auf einer für das System nicht sichtbaren Partition liegen, ist das schon einigermaßen beruhigend.
Übrigens, meine Versuche mit einer externen HDD, verbunden über einen USB-Port, ergaben bisher keinerlei Probleme, obwohl Acronis von einer Secure Zone auf USB-HDD abrät.

Bei manchen kann man aber reden wie mit einer Wand und Ratschläge sind sinnlos, selbst bei Chefs. :)

Wenn sich jemand, beispielsweise, im August 2011 durch öffnen eines Anhangs den gefakten Bundestrojaner an Land zieht und neun Monate später wieder über den Verschlüsselungstrojaner jammert, dann muß man sich schon fragen, ab wann Hopfen und Malz verloren ist.

Gruß Volker

timeagent 31.05.2012 11:25

Ich hab mir grade eben schnell noch ein neues NAS bestellt. Das kommt dann an die USV beim Server dran. Iss nur ein günstiges Seagate Black Armor. wird aber im Zusammenhang mit dem genannten Backup System seinen Zweck erfüllen. Das wären dann zwei gestaffelte Systeme. Am Server hab ich mir ein Raid 1 System eingestellt und das NAS wird dann sowas ähnliches

Was die Haltbarkeit von Festplatten angeht, so liegt es eher an dem ständigen ein und ausschalten der Teile, sei es durch Energiesparmaßnahmen oder das abendliche runterfahren.
Dauerhaft laufende Systeme halten eindeutig länger.

Aber frei nach Murphys Gesetzt würde eh die Sicherungplatte den Geist aufgeben, in dem Moment wenn Sie mal gebraucht würde.:rolleyes:
Ist mir schon passiert!!! War ein super Gefühl nach 5 Stunden Arbeit.

Nusshund 31.05.2012 12:22

Zitat:

Zitat von timeagent (Beitrag 836511)
Dann hattest du echt Pech.

Naja nicht wirklich ;o) da ich nicht betroffen war, sondern hier hat irgendwo jemand das mal gepostet. Das mit der Arcronis Security Zone was Undertaker in seinem Thema beschreibt nutze ich als Recovery Backup schon seit Jahren bei mir und meinen Kunden und es funktioniert tadellos.

Die Erweiterung als Sicherungsmedium ist natürlich ne feine Sache, sofern die Leute tatsächlich auf rund 50% (mit Komprimierung auch weniger) ihrer Festplattenkapazität verzichten können und wollen.

Meine Sicherung läuft mit Novabackup auf ein Buffalo Raid1 NAS nur wie gesagt zur Zeit manuell, da ich nie sagen würde "mir kann nichts passieren" :zunge:

Ich denke aber, dass es bei den meisten Leuten die Bequemlichkeit ist sich keine Gedanken über das "was ist wenn..." zu machen.
Und wenn das Kind in den Brunnen gefallen ist, dann kommen im schlimmsten Fall auch noch dumme Kommentare wie Bitfox es geschrieben hat und Schuld sind immer die anderen.

seeadler 31.05.2012 13:26

Hallo
Ersteinmal meinen vollen Respekt an die Leute, die sich hier die Arbeit machen, um allen zu helfen.
Dann habe ich jetzt aber auch eine Frage:
Kann es sein, das es schon wieder eine neue Variante von dem Trojaner gibt?

Ich habe im Bekanntenkreis schon 2-3 PC´s dank der guten Anleitungen hier wieder flottbekommen, dochjetzt habe ich einen, wo sich mir ein Problem auftut.
Es kam die Meldung, das der Versclüsselungstrojaner drauf ist, und mal sollte halt die 100 Euro zahlen (leider habe ich kein Bild davon), aber die 100 Euro standen in beiden Feldern. Diese Geschichte lies sich relativ einfach entfernen, Windows bootet wieder, aber..
Ich sehe die Dateien, sie haben alle ihren normalen Namen, Bilder kann ich mir auch in der Windowsvorschauansicht anschauen, aber wenn ich versuche Sie zu öffen, klappt das nicht..
Da kommt dann die Meldung:
Bei Bildern:
Bild kann nicht geöffnet werden, möglicherweise ist die Datei beschädigt, oder das Format wird nicht unterstützt.
Bei Textdateien:
Works stürzt ab, OpenOffice sagt, es fehlt die persönliche Konfigurationsdatei
Bei PDf:
Das gleiche wie bei Bildern...

Hat da jemand ne Idee zu ?
Ich habe noch nicht versucht die Dateien zu entschlüsseln, wollte erstmal fragen, ob dies auch schon jemand so hat ?

Gruß

Nachtrag:

Habe jetzt mal versucht mit dem ShadowExplorer zu Arbeiten, und was soll ich sagen, sieht vielversprechend aus. Ich kann die Daten wieder öffnen..

Undertaker 31.05.2012 15:46

Hallo seeadler,

ist doch prima, wenn Du Schattenkoien zurückholen kannst.

Das von Dir beschriebene Verhalten, Dateiname bleibt, Inhalt aber Schrott, ist in den Posings hier schon mehrmals erwähnt.

Zu den Varianten der Nach-locked-Versionen soviel:
Ich habe hier zu Versuchszwecken einen Vertreter der Versionen 1.140.1 und 1.150.1
@pcberlin hatte einen der Version 1.170.1 am Wickel.
Das macht es ja auch so schwer bis unmöglich, ein universelles Heilmittel zu finden.
Ich denke mal, wir haben da noch einiges zu erwarten.

Aus diesem Grunde ist es auch wichtig, dass so viele Leute wie möglich, Bekannte, Verwandte usw. warnen.

Ach, und nochwas:
Oben unter Hinweise ist ein Link "Sendet uns die Viren!".
@marcusg nimmt die Übeltäter in Empfang.

Gruß Volker

seeadler 31.05.2012 16:22

Zitat:

Zitat von Undertaker (Beitrag 836733)
Hallo seeadler,

ist doch prima, wenn Du Schattenkoien zurückholen kannst.

Das von Dir beschriebene Verhalten, Dateiname bleibt, Inhalt aber Schrott, ist in den Posings hier schon mehrmals erwähnt.



Gruß Volker

Schande..
Jetzt habe ich soviel gelesen...
Aber irgendwie immer nur die locked oder die Buchstabensalaltvariante gelesen...
Ist dann wohl untergegangen.. Sorry...

Und ja..
Ich warne auch immer alle....
Ist ja momentan die einizige Möglichkeit, da es die Virenprogramme wohl nicht ganz schaffen :(

markusg 31.05.2012 17:36

hi bitte bei den warnungen auch unsere aufforderung zur mail einsendung beachten.
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
markusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

auf der vorhergehenden seite wurde gefragt, wie man eine anzeige stellen kann, das geht meist vor ort.
einfach die mail so wie beschrieben abspeichern und mit nehmen, da hat man schon mal was.
evtl. benötigen die leute auch eine sicherung des pcs, da nimmt man trueimage zb.
@diese meldung weiter verbreiten.
ein vor redner hatte gefragt ob das produktiv währe, sicher wäre es das, um die leute zu sensibilisieren, obs nützt ist die zweite frage.

Kira1970 31.05.2012 19:32

Hallo, ich habe auch en solches Problem.
Ich habe ebenfalls eine eMail mit einer angehängten Rechnung bekommen.
Leider habe ich diese geöffnet und dann war es passiert.
Es kam die Aufforderung 100 EURO zu zahlen und ich konnte keine Dateien mehr öffnen.
Ein guter Freund hat es sich angeschaut (da ich mich nicht wirklich gut auskenne) und den Trojaner entfernt.

Da ich die meisten meiner Dateien als Sicherungskopie hatte, hat er diese nun wiederhergestellt. Einige wenige (Fotos) fehlen aber.

Habe nun mit dem Programm von Matthias versucht, die Dateien zu verschlüssen, aber irgendwie klappt das nicht richtig.

Ich würde die email auch gern an euch schicken (habe sie aber nur noch als gesendete/weitergeleitete Datei. Aber das mit dem Markieren und rechte Maustaste drücken klappt nicht. Ich nutze t-online.

Vielleicht habt ihr noch einen Tipp.

Ansonsten werde ich die verschlüsselten Dateien halt alle löschen - die meisten hatte ich ja wie geagt als Sicherungskopie.

Vielen Dank!

markusg 31.05.2012 19:39

hi,
was hat er womit gelöscht, poste das bitte im bereich logfiles.
allgemein leitest du so weiter:
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
markusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
über einen browser, die mail einfach öffnen und dann weiterleiten.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

moon111084 31.05.2012 20:30

anscheinend bin ich zu blöd das programm anzuwenden :-( kann das hier nochmal jemand detailliert aufschreiben???

danke schon im voraus!

markusg 31.05.2012 20:35

hi, wie sind deine dateien aufgebaut? also umbenannt zb, wenn ja wie?

MarkK 01.06.2012 08:15

Liste der Anhänge anzeigen (Anzahl: 1)
Hallo

Habe das selbe problem mit dem Trojaner

jetzt versuche ich die ganze zeit schon die dataien zu endschlüsseln, das klappt natürlich bei mir nicht

habe mir eine veschlüsselte mp3 datai ausgesucht, hatte auf einen stickt noch die original mp3, größe der beiden dataien passt 100 % überein aber trotzdem endschlüsselt der mir die nicht

warum macht der das nicht ???

habe mal ein foto der beiden dataien gemacht

Danke

Undertaker 01.06.2012 09:06

Zitat:

Zitat von MarkK (Beitrag 837166)
Hallo

Habe das selbe problem mit dem Trojaner

jetzt versuche ich die ganze zeit schon die dataien zu endschlüsseln, das klappt natürlich bei mir nicht

habe mir eine veschlüsselte mp3 datai ausgesucht, hatte auf einen stickt noch die original mp3, größe der beiden dataien passt 100 % überein aber trotzdem endschlüsselt der mir die nicht

warum macht der das nicht ???

habe mal ein foto der beiden dataien gemacht

Danke

moin moin MarkK,

zuerst mal die Frage, wieviele der Beiträge in diesem Board zum Thema Verschlüsselungstrojaner hast Du vor Deinem Beitrag gelesen?
Bei allem Verständnis für die Lage, in der Du Dich befindest, aber bei durchschnittlichem Überfliegen der Beiträge wüsstest Du, dass bei der Verschlüsselungsvariante Deiner Dateien die acht Tools nicht helfen.
Im Gegenteil, je mehr an den Daten manipuliert wird, desto unwarschgeinlicher wird eine Restaurierung.

Eventuell wäre Dir bei der Lektüre auch aufgefallen, dass es für MP3s eine pragmatische Lösung gibt.

Das gilt natürlich für alle, die hier nur nach Hilfe rufen, ohne vorher zumindest den auf jeder Seite ganz oben stehenden Text lesen.

Beiträge wie:
"Hilfe, bin betroffen, was kann ich tun"
oder
"Wie kann ich den Trojaner zu euch schicken"
oder
"Meine Dateien lassen sich nicht entschlüsseln"

würden sich bei etwas Recherche erübrigen.

Da schreibt beispielsweise ein User:
"Meine Dateien sehen so aus RTGZHUgfhTZH mit welchem der Tools kann ich die Wiederherstellen?
Gleich darunter antwortet @markusg:
"Für diese Art der Verschlüsselung gibt es z.Z. noch keine Entschlüsselungstools"
Und gleich darunter schreibt ein Anderer:
"Habt ihr schon eine Lösung für RTGZHUgfhTZH verschlüsselte Dateien?"

100-fache Wiederholung der gleichen Beitragsinhalte machen die Themen nicht nur unübersichtlich, sondern nerven auch irgendwann, zumal wenn eine gewisse Lesefaulheit offentlichtlich ist.

Gruß Volker

MarkK 01.06.2012 09:18

Hallo

Also erstmal danke für die antwort, nur weiss ich selber nicht was ich machen soll die dataien sind für mich sehr wichtig zb. ich habe die ganzen fotos und videos meiner Tochter hierdrauf ....ich hatte die als sicherung auch auf einer externen festpatte aber die steckte zum zeitpunkt im pc ist also auch befallen.

also soll ich erstmal die finger davon lassen und warten ???

Gruß

markusg 01.06.2012 10:23

ja, und leute, bitte lest doch einfach mal 10 beiträge und ihr seht was momentan möglich ist und was nicht.
vor allem wüsstest du dann, das ich auch die infektionsquelle benötige, da können wir dann schon mal sehen ob ne entschlüsselung möglich ist :-)
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
markusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

Undertaker 01.06.2012 10:26

Zitat:

Zitat von MarkK (Beitrag 837197)
Hallo

Also erstmal danke für die antwort, nur weiss ich selber nicht was ich machen soll die dataien sind für mich sehr wichtig zb. ich habe die ganzen fotos und videos meiner Tochter hierdrauf ....ich hatte die als sicherung auch auf einer externen festpatte aber die steckte zum zeitpunkt im pc ist also auch befallen.

also soll ich erstmal die finger davon lassen und warten ???

Gruß

@MarkK,

ja, ich würde abwarten.
Natürlich kannst Du auch mal nachsehen, ob Du über die Schattenkopien Dateien rekonstruieren kannst.

Wie gesagt, bei etwas Recherche hier in den Diskussionsthemen wäre Dir auch das aufgefallen:

http://www.trojaner-board.de/115551-...e-version.html

Vielleicht kommst Du ja mit dem Shadow-Explorer weiter.
Du kannst auch das dort beschriebene JPEGsnoop ausprobieren, aber bitte mit Kopien der verschlüsselten Bilder.

Schau Dich in den Themen um, es gibt viele Hinweise des Teams und der Betroffenen selbst.

MarkK 01.06.2012 10:44

Hallo Markus

Hab dir die email geschickt die ich bekommen habe ....meldest du dich wenn du was gefunden hast ??

Gruß

29101984 01.06.2012 13:17

Hy Trojaner-Team!

Ich bin neu hier und bitte um Rücksicht, falls ich etwas falsch mache!

Habe schon mehrfach gesucht aber nichts gefunden zu meinem problem.

Eigentlich ist es fast das gleiche problem wie hier schon beschrieben ist, habe schon mit Decrypthelper und Avira ransom file unlocker ausprobiert aber nichts geht....der will immer eine"originaldatei" haben.....aber alle auf dem rechner vorhandenen dateien(zb.mp.3, pdf, jpeg usw.) sind verschlüsselt(wegen dem trojaner).

Jetzt weiss ich nicht wie ich das den beheben soll?:confused:

Mfg

markusg 01.06.2012 13:18

hi, bitte mir die mail zukommen lassen:
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
markusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.
2. wie sieht das chema der verschlüsselten dateien aus, umbenannt, wenn ja wie

Realjogi 01.06.2012 13:23

ist wohl doch angekommen

skss 01.06.2012 13:44

Moin zusammen,
Ich habe einige Einträge überflogen.
Wir haben von einem Kd nun auch ein XP NB mit dem Virus der die Dateien umbenennt und die Endung löscht.
Allerdings glaube ich nicht, dass er die Dateien verschlüsselt.
Bei dem NB kann ich z.B. ein Bild mit der Endung .jpg versehen und dann ganz normal öffnen, das gleiche geht für Favoriten.
Stellt sich nur die Frage, ob der Kunde jetzt jede Datei von Hand umbenennen muss oder ob es dafür auch schon ein entschlüssler gibt.
Die Standard Microsoft Favoriten kann ich gerne zur Verfügung stellen, falls jmd daraus ein Algorithmus entwickelt kann.

Zitat:

Zitat von 29101984 (Beitrag 837316)
Hy Trojaner-Team!

Ich bin neu hier und bitte um Rücksicht, falls ich etwas falsch mache!

Habe schon mehrfach gesucht aber nichts gefunden zu meinem problem.

Eigentlich ist es fast das gleiche problem wie hier schon beschrieben ist, habe schon mit Decrypthelper und Avira ransom file unlocker ausprobiert aber nichts geht....der will immer eine"originaldatei" haben.....aber alle auf dem rechner vorhandenen dateien(zb.mp.3, pdf, jpeg usw.) sind verschlüsselt(wegen dem trojaner).

Jetzt weiss ich nicht wie ich das den beheben soll?:confused:

Mfg

Guck mal Hier:
http://www.trojaner-board.de/114115-...tml#post820437
Zweiter Eintrag, da gibts die Original Windows Beispielbilder..

29101984 01.06.2012 14:09

Zitat:

Zitat von skss (Beitrag 837349)
Moin zusammen,
Ich habe einige Einträge überflogen.
Wir haben von einem Kd nun auch ein XP NB mit dem Virus der die Dateien umbenennt und die Endung löscht.
Allerdings glaube ich nicht, dass er die Dateien verschlüsselt.
Bei dem NB kann ich z.B. ein Bild mit der Endung .jpg versehen und dann ganz normal öffnen, das gleiche geht für Favoriten.
Stellt sich nur die Frage, ob der Kunde jetzt jede Datei von Hand umbenennen muss oder ob es dafür auch schon ein entschlüssler gibt.
Die Standard Microsoft Favoriten kann ich gerne zur Verfügung stellen, falls jmd daraus ein Algorithmus entwickelt kann.



Guck mal Hier:
http://www.trojaner-board.de/114115-...tml#post820437
Zweiter Eintrag, da gibts die Original Windows Beispielbilder..


danke für die antwort....aber wenn ich das mit dem decrypthelper 0.5.3 versuche, sagt er "datei unterschiedlich groß"


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:31 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131