![]() |
Hallo alle miteinander. Vielleicht könnt Ihr mir / uns helfen. Bei uns bei der Arbeit (Autohaus) hat sich der besagte Trojaner an einem Rechner verbreitet durch eine dubiose Email. Der Trojaner wurde entfernt und es funktioniert auch wieder alles. Nur nun haben wir das riesen Problem das er ein kompletttes Programmverzeichnis verschlüsselt hat das für den Fahrzeugverkauf dient mit dem gesamten Kundenstamm des Verkäufers. Das grösste Problem dabei ist das keine Sicherung des Programms oder Kundenstamm vorliegt :headbang: Wie soll ich weiter vorgehen? Habt ihr Tipps oder Lösungen? Wäre dankbar für Antworten. Sonnige Grüße Double D |
Welches Betriebssystem hast du? |
Windows XP SP3 |
Wie sieht die Verschlüsselung vom Muster her aus? Locked... + Endung oder Zufällige Buchstaben ohne Endung? Schreibe am Besten mal einen Dateinamen hier rein. |
Hier ein paar Beispiele: locked-bankWL21.wbd.tmlh locked-Cmct10.dll.kpwt locked-Cmll10ex.llx.oqnp locked-cmll1000.lng.rlzx locked-cull10o.ocx.cfyr locked-CW_ImportRunner.exe.rlza locked-CW_MitarbeiterBC.pdf.lzse locked-Dummy.txt.yyfh locked-MB_Card.jpg.nihu locked-WL21_ZM_800.bmp.aepk locked-wl21DbComp.exe.hino locked-wl21faq.html.urvn Jeder Datei hat eine andere Endung bzw Verschlüsselung :/ |
Dann solltest du Glück gehabt haben: :) Die Programme, die hier aufgelistet sind, sollten die Dateien wieder entschlüsseln können. Aber bitte vor jedem Verschlüsselungsvetsuch ein Backup der zu entschlüsselten Dateien machen. Hier findest du die Tools: http://www.trojaner-board.de/114783-...ubersicht.html Viel Glück :daumenhoc |
Aber ich hab ja keine Original Datein mehr :/ Lediglich nur noch die "locked" Dateien. |
wegen der mail einsendung, da ist alles beim alten geblieben, um die frage von der vorherigen seite zu beantworten: an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert. wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ: .eml einstellen. dann bitte lesen: makrusg - trojaner-board.de und mir die soeben erstellte datei zukommen lassen. wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders. bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen. sie können dann dorthin solche verdächtigen mails senden. diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig. |
@Sew can you send me the suspicious email you got with the dropper? makrusg - trojaner-board.de please klick the link, there you find the mail adress. have you try one of the tools we use in this forum, for exsample the tool we talking about in this topic? you can find it in the first post. |
@Jacqueline eröffne mal ein neues thema im bereich logfiles, dann gucken wir uns den pc mal an |
Zitat:
Gibt es eventuell mit Mail verschickte Dateien? Gibt es eventuell Bilder auf Handys, Kameras, Sticks usw.? Nutze jede mögliche Quelle, auf der Dateien zu finden sein könnten, die auch als locked-Variante auf dem Rechner sind, Steuerberater, Kunden, wie auch immer. Falls keine Originaldasteien aufzutreiben sind, lohnt eventuell ein Versuch mit dem Shadow Explorer. Dazu gibt es hier schon einige Beiträge. Nebenbei kannst Du Deinem Chef auch mal andeuten, dass es dem Sitz auf einem Pulverfaß gleichkommt, als Unternehmen die Unternehmensdaten nicht zu sichern. Es muß ja kein Virus sein, ein Plattencrash reicht. Gruß Volker |
@Double D Hast du denn die windowsbeispelbilder noch auf dem PC gehabt? Dann könntest du es darüber versuchen (Originaldateien zum Erstellen des Schlüssels findest du auch unter dem geposteten Link). Ansonsten: Hast du vll von dem PC aus eine Mail mit einer Datei versendet (Auftragsbestätigung etc.), die dir der Enpfänger zuschicken könnte um den Schlüssel zu generieren? Oder gibt es Dateien, die auf jedem Eurer Rechner drauf sind (Im Autohaus, z. B. Fahrzeugliste, Mitarbeiter, Vorlagen für spezielle Programme etc.) und die du dir von einem anderen Rechner zum Generieren des Schlüssels besorgen könntest? |
Hiho alle Zusammen, meine Freundin hat vorgestern den schweren Fehler gemacht eine Mail und ihren Anhang zu öffnen welche ihr zwar komisch vorkam da sie nichts bestellt hatte und der Absender ihr auch nichts sagte aber.... man kann ja mal klicken ... Es kam wie es kommen musste und als sich nach dem öffnen des Anhangs nix tat hat sie mich dann doch nochmal gerufen... natürlich zu spät. Es handelt sich hierbei um die Rechnung.exe - Variante welche die Dateien samt Dateinamen kodiert und die Dateiendung löscht :/ Ich habe beim weiteren Überfliegen jetzt nur heraus gelesen das es hierbei noch sehr schwer sein soll die Dateien wieder zu decrypten, ist das so richtig? Bei dem Laptop handelt es sich um ein Win7 home System. Ich habe mithilfe der Kaspersky Rescue Disk Zugang auf die Festplatte (immerhin muss ich die dann nicht ausbauen) und werde erstmal über eine USB-HDD ein komplettes Backup ziehen. Weiterhin habe ich geplant mehrere Dateien von meinem PC auf den Laptop zu kopieren um RansomCrypt noch ein bissel Spaß zu gönnen und mir mehr Original-Dateien zu verschaffen um den Schlüssel zu bekommen sofern bei diese Version immer noch für jeden PC der selbe Schlüssel verwendet wird. Danach hatte ich geplant den Unlocker der Rescue Disk auszuprobieren und ggf mal den ShadowExplorer zu testen (ich habe leider keine Ahnung ob bei dem Ding die Funktion für Schattenkopien aktiviert ist) und falls dies nichts bringt halt mein Glück mit den versch. Decryptern zu probieren. Hatte jemand schon positive Erfahrungen mit bestimmten Methoden/Decryptern bei dieser Version des RansomCrypts? @markusg: Wenn du möchtest kann ich dir dann sofern die Mail gerettet werden kann diese auch zuschicken damit du dich daran austoben kannst :P LG, duddz |
jo, alle solche verdächtigen mails ungefragt weiterleiten. probiere bitte erst den shadow explorer aus. falls sie vista oder höher hatt |
Hallo nochmal, ich hab es jetzt doch noch geschafft eine Original-Datei auszugraben, allerdings können die ganzen Decoder Tools die es hier so gibt damit nichts anfangen. Weiss jemand rat, eine Idee wie ich die Art der Verschlüsselung selber rausfinden kann oder jemand der die Art bzw den Schlüssel herausfinden kann? Die Dateien (Original und Verschlüsselt) schicke ich auf Wunsch natürlich gerne zu. |
Hallo Leute, bei mir wurden auch alle Daten (inkl. ca. 90 GB auf der angeschlossenen ext. FP) kryptifiziert. Ich habe bereits die beiden Entschlüsselungsprogramme DecryptHelper von Matthias und Avira Ransom File Unlocker versucht auf der ext. FP anzuwenden, jedoch kann kein Schlüssel generiert werden (habe es mit der Originaldatei Beispielbild Blaue Berge (28kb) versucht) - die verschlüsselten Dateien haben keine Extension und auch kein locked- vorne sondern nur Buchstabenkombinationen zB: GDKBZBDFBCOFMCP, befallen sind eigentlich hauptsächlich alle Office Dateien, die aber allesamt Ist das ggf. eine neue Variante des Trojaners mit einem neuen Verschlüsselungscode, sodass die o.a. Programme diesen noch nicht entschlüsseln können? - oder bin ich einfach zu blöd???? Ich wäre dir sehr dankbar wenn ihr mir auch diesbezüglich helfen könntet. Kira hat mir dankenswerter Weise bereits den PC wieder zum laufen gebracht mit einem OTL fix. |
Zitat:
|
Hallo, ich lese mir hier seit Tagen die Postings durch und hab auch schon alle Programme durchprobiert. Hab mir den Trojaner der neuen Variante am 18.05.2012 eingefangen und hatte alle Symtome wie bisher beschrieben. Über den abgesichterten Modus mit Netzwerkzugang hab ich Internetverbindung bekommen und mit dem Malwarebytes/Antimaleware, das Notebook (win7) wieder zum Laufen gebracht. Im Outlook hat er mir nichts verschlüsselt, alle Daten sind vorhanden und lesbar. Auf der Partition C hat er mir auch nicht eine Datei verschlüsselt, obwohl unzählige Bilder dort liegen. Nachdem ich mich hier etwas eingelesen hatte war ich schon glücklich, dass bei mir keine solchen Auswirkungen zu sehen waren. Ich hab dann des Kaspersky und nacheinander noch andere "Spürhunde" suchen lassen und den Rechner wieder sauber. Leider auch die ursächliche Mail gelöscht. 2 Tage später suche ich nach einer Datei und sehe, dass alle Musikdateien, alle Bilder und alle Worddokumente auf der Partition D wie vorher beschrieben verschlüsselt sind. Also ohne unlocked, sondern mit den Buchstabenfolgen z.B. eJalQOeTruXsXNDpuvsaN. Nur Groß und Kleinbuchstaben ohne Zahlen und ohne Dateiendung. PDFDateien und Ordner blieben unverschlüsselt. Ist das nun noch ein ganz anderer Schädling, der C verschont und D verschlüsselt? Bin zwar ratlos, aber auch geduldig, in der Hoffnung, dass man das hoffentlich wieder beheben kann, da leider noch nicht alle Daten gesichert werden konnten. |
Zitat:
Nachtrag: miniaturansicht funktioniert in der regel noch deshalb genau schauen! |
Zitat:
|
liegen die auf dem desktop oder im dokumenten ordner oder einfach in irgendeinem ordner¿ wenn letzteres der fall ist wo liegt dein dokumenten ordner auf LW D? |
Alles klar machen wir, bin allerdings bis Mittwoch weg vom PC. Wäre nett wenn du mir ggf. neue Infos zukommen lassen könntest |
Zitat:
Unter LW D ist die Einteilung ähnlich: Bibliotheks,- Dokuments,- Musik,- Pictures. Hab an der Ordneraufteilung nichts verändert, nur unter neue Ordner darunter angelegt. Die Ordnernamen sind auch unter D unverschlüsselt. |
Hi, bei mir liegen die Dokumente auf der 2. Partition (LW E:), weiters auf einer externen FP (LW G:) - sind allesamt verschlüsselt, nur die Ordner und unwichtige Dateien (zB. .ink)sind normal lesbar. |
welches betriebssystem nutzt ihr. wer vista oder höher nutzt, shadow explorer versuchen. bei mp3s und bildern ist es möglich das man einige files zum laufen bekommt wenn man die endung anhängt. |
Seltsam, dass bei jedem andere Auswirkungen da sind :confused: |
Ich habe da ein Win XP |
Zitat:
Ich hab ja eben auch schon erwähnt dass ich jetzt Original-Dateien und verschlüsselte Dateien zum Vergleichen habe. Hilft das vielleicht einem von euch (Entwicklern) weiter? Ich bin selber auch Java und C Programmierer, hab aber 0 Ahnung von Kryptographie, falls mich hier jemand anleiten kann dass ich selber etwas zur Lösung der Problematiken beitragen kann wäre ich sehr, sehr dankbar. Achja ... der betroffene Rechner ist ein XP System, aber ich arbeite zum Glück an einem Win7 Rechner. |
Hi Markus, hilft es dir etwas wenn ich eine Verschlüsselte Datei (zB blaue Berge Bild) poste? |
hi nein verschlüsselte dateien haben wir genug denke ich :-) |
bin leider auch drauf rein gefallen :( Einmal nicht nachgedacht !! Anhang auf einer Rechnung geöffnet und schon passiert !! :heulen: Habe diesen DecryptHelper 0.50.jar geladen. läßt sich aber leider nicht öffnen. hab win7. Er versucht es immer mit Nokia suite zuöffnen ! womit kann ich es öffnen ?? Bei mir ist alles verschlüsselt worden. sogar die Favoriten im Explorer sind verschlüsselt oder anders !! Brauche hilfe. kleiner fehler , hab den 0.5.3 jar geladen |
Hi, lad dir Java runter. Damit kannst du die Datei ausführen. |
Hallo, bei mir hat es mit Shadow Explorer geklappt. Vorher einen Scan mit Malwarebytes im abgesicherten Modus durchführen oder wenn das nicht geht mit Emsisoft Emergecy Kit probieren. Als aller erstes natürlich Daten sichern. fiedler-sm |
Mit java funktioniert es leider nicht. Hab´s nochmal runter geladen aber kann nicht geöffnet werden |
Guten Morgen, gestern hat mein Mann gleich drei der verseuchten Mails auf seinen Firmenrechner bekommen in einer neuen Variante. Es wurden Bestätigungen angeblich von Ebay über erfolgte Transaktionen verschickt. Gott sei Dank nicht geöffnet :-) Man muss echt verflucht aufpassen welche Mails man sich derzeit anguckt! |
Bei mir war es auch eine Rechnung. Hätte es normalerweise nicht geöffnet, kenne aber solche spielchen von meiner Ex. |
Liste der Anhänge anzeigen (Anzahl: 2) Einen Bekannten hat es jetzt auch erwischt, er hat vermutlich den Anhang geöffnet. Alle Dateien sind in Groß- und Kleinbuchstaben umbenannt und verschlüsselt. MP3-Dateien lassen sich aber abspielen. Ich habe einige Entschlüsselungsprogramme ohne Erfolg ausprobiert. Ich habe ihm den PC neu aufgesetzt, vorher aber alle verschlüsselten Dateien (Bilder, Musik, Dokumente) auf eine USB Festplatte gesichert. Was kann ich machen, bzw. sind die Daten wiederherzustellen? Im Anhang ein Screenshot wie die Mail bei Web.de aussah. |
moin moin an alle, die sich mit einem Virus der Nach-locked-Variante infiziert haben. Es bringt nichts, mit den Ranson-Tools zu experimentieren. Wer es doch nicht lassen kann, experimentiere bitte mit Kopien. Ich kann nur jedem empfehlen, sowohl die verschlüsselten Dateien, als auch den Dropper aufzuheben. Es ist nicht auszuschließen, dass bereits im Dropper ein Teil des Schlüssels enthalten ist. Wenn man sich so einen Plagegeist mal näher ansieht, dann findet man eigenartige Strings. Mal als Beispiel, hier eine Registrierung.pif, geschrieben in VB: http://due-m.de/Trojaner/vba1.jpg http://due-m.de/Trojaner/vba2.jpg http://due-m.de/Trojaner/vba3.jpg Oder hier ein beispiel einer Lieferschein.exe, geschrieben in Delphi: http://due-m.de/Trojaner/delphi2.jpg Sollte so ein String oder ein Teil davon Teil des Schlüssels sein, dann wäre es fatal, wenn die Profis eine Entschlüsselungsroutine finden und dann fehlt der Teil des Schlüssels, weil man den Virus ins Nirvana geschickt hat und ihn nicht wiederbekommen kann. Der Rat gilt natürlich nur für diejeneigen, die ihre Daten unbedingt wieder haben wollen. Wer darauf verzichten kann und sein System neu aufsetzt, der ist ohnehin aus dem Schneider. Bei der Gelegenheit möchte ich auch nochmal auf die Sicherheit von Backups hinweisen. http://www.trojaner-board.de/115678-...r-backups.html Gruß Volker |
genügt denn die mail, die den schaden verursacht hat oder muss es die pif. datei sein? |
Hallo, ich konnte meine Dateien entschlüsseln, nun sehen die Dateien auch wieder so aus wie vorher, richtige größe usw. nur wenn ich sie öffnen will kann man damit nichts anfangen. Hat das Problem noch jemand bzw. gibt es eine Lösung?! Danke und Gruß |
Zitat:
|
@benton18, Zitat:
Gruß Volker |
Hallo.. wir haben ja leider auch die "Lieferschein.exe" Sauerei eingefangen... Bei uns sind alle Daten auf D: verschlüsselt... auf C: nichts mehr , da hat es gereicht die Endungen wieder anzuhängen (jpg oder mp3...) Was aber auf D: nicht geht ... Den Virus haben wir mit Kaspersky gelöscht... Ist es sinnvoll das System (C:) neu aufzuspielen wenn das Problem auf Partition D: besteht oder ist es erstmal nicht ratsam..? p.s.: Win 7 Ultimate Liebe Grüße |
Hallo und Guten Abend Ich kann mir sicher vorstellen das uhr viel zu tun hast derzeit um so Leuten wie mir zu Helfen Ich weiß nur nicht mehr weiter und bin völlig fertig. Mein Mann und ich haben vor 3 Wochen Kirchlich Geheiratet,kurz davor kam meine Tochter zur Welt, und nun ist alles weg ...ich kann auf kein Foto nichts mehr zugreifen,alle versuche was mit euren Tools zu retten schlugen fehl, da steht dann immer wenn ich diese Beispiel Datei nehme von den Blauen Bergen...Dateien sind unterschiedlich groß.Auch die anderen tools gehen nicht da ich ja keine Orginal Datei habe. Was mach ich den nur, die Geburt meiner Tochter ist etwas was ich nie wieder bekommen werden,und bei jeden Foto ist sowas hier ggOOgOOggOggOggOgO und andere sachen...ich weiß wirklich nicht mehr was ich noch machen kann Bitte Helft mir Britta |
Hallo, habe auch gerade einen PC auf dem Tisch. Hier sind DOC, JPG usw. verschlüsselt. Die Dateinamen sind allerdings nicht verändert! Sie lassen sich einfach nicht öffnen. Tools greifen nicht. Auf der ext. Platte ist restlos alles verschlüsselt! Alle Dateien haben wilde Buchstabenfolgen ohne Erweiterung, also nicht nur JPG und co. Dummerweise ist auch die Sicherung betroffen. Gruss Micha |
Hallo, ja ich war auch so Blöd und habe die Zip-Datei angeklickt und nun sind meine Daten verschlüsselt. Habe über Norton den Trojaner zwar weg, aber die Daten sind noch nicht wieder frei. Über Eure Software kann ich keinen Schlüssel erzeugen. Dieser Text stand bei mir in der E-mail: Dritte Zahlungsaufforderung 754484997 Rechtsanwalt Guten Tag, in Bezug auf unsere Rechnung Nr.: 50096046 und unsere 1. sowie auch unsere 2. Mahnung mussten wir heute feststellen, dass Ihre Zahlung bei uns noch immer nicht gebucht ist. Dies bedeutet einen einseitigen Vertragsbruch Ihrerseits. Nach geltendem Recht könnten wir die offene Forderung bereits jetzt bei Gericht anmelden. Wir geben Ihnen jedoch trotzdem noch eine letzte Möglichkeit, Ihre vertragliche Verpflichtung zu erfüllen, indem Sie unverzüglich die ausstehende Summe in Höhe von 511.00 EURO an uns zur Zahlung bringen. Möglicherweise konnten wir Ihre Zahlung nicht zuordnen, weil z.B. der Verwendungszweck nicht korrekt angegeben wurde. Die Bestelleinzelheiten und die Rechnung können Sie in beigefügter Datei ansehen. Nach geltendem Recht sind wir befugt, die anfallenden Kosten geltend zu machen. Alle bereits angefallenen und noch entstehenden Kosten (Mahnkosten, Rechtsanwalts- und Gerichtskosten) gehen zu Ihren Lasten. Vermeiden Sie unnötigen Ärger und weitere Kosten und erfüllen Sie den mit uns abgeschlossenen Vertrag. Ceipe Elektro Online-Handel mit Sitz in Essen Vorstand: Peter Mayer, Josef Scholz Aufsichtsratsvorsitzender: Heinz Hahn Gesellschaftssitz: Hannover 71996 Anhang war eine Zip_datei 50KB groß mit dem Titel: Inkasso Wie kann ich denn hier mal eine orginale und eine verschlüsselte Datei einfügen? |
Zitat:
mir ist heute genau das selbe passiert. Ich habe eine Mail mit der Originalmail wie erklärt an euch weiter geleitet. Ich benutze Windows 7 Ultimate und habe den Trojaner mittels Microsoft Security Essentials entfernt. Bin mir sicher, daß die Originaldatei "dvm.dll" hieß und die verschlüsselte "lNavsOUnsAVoVExqU" heißt. Ich habe wenn benötigt noch mehr solche Beispiele. Würde mich über weitere Hilfe sehr freuen! |
ich habe sämtliche tools ausprobiert, obwohl ich eine originale datei und eine codierte habe, kann ich die dateien nicht entschlüsseln. kann man euch datein hochladen ? vielleicht mache ich ja etwas falsch bei der ANwendung... ich bin echt verzweifelt... lg chris |
@chris.k, Du hast im Thred, in dem die neue Variante des Trojaners beschrieben wird, gepostet, dass Du Dich auch damit infiziert hast. Du solltest also wissen, dass die Entschlüsselung mittels Dateipaaren da nicht greift. Hast Du schon mal nach Schattenkopien gesehen? http://www.trojaner-board.de/115551-...tml#post835551 Ich möchte auch nochmal darauf hinweisen, dass das hier ein Diskussionsforum ist und Logfiles, Hilferufe u. ä. hier fehl am Platze sind. Oben steht: Zitat:
Postings wie: "...bin verzweifeld...." oder "---gibts schon was Neues?..." sind einem Diskussionsthred nicht gerade zuträglich. Noch eine letzte Frage @chris.k War Dir der Bundestrojaner, den Du Dir im August vergangenen Jahres eingefangen hast keine Lehre? Gruß Volker |
Was mich hier unheimlich stört...es gibt 75 Prozent der Leute hier die wie ich kein Vista haben sondern nur XP...und es dreht sich zu 90 Prozent immer nur um Hilfe für Vista benutzer. Ich finde hier sollte auch ein bischen mehr wert auf die Xp Kunden gelegt werden...den bischer kam noch nicht ein einziger Hilfe vorschlag für den Trojaner ohne locked für XP nutzer |
@asoka das liegt daran, dass es für XP bisher noch nichts gibt, was soll dann gepostet werden?... Bei Vista und Win7 hast du die Shadow Volumes als Möglichkeit, mit der du evtl. deine Daten wiederbekommst. Dies wurde in XP von Microsoft eher rudimentär behandelt und ist somit unter XP nahe zu unbrauchbar |
Zitat:
estmal gilt es festzustelle, dass das hier ein Board ist, das von Kunden für Kunden betrieben wird. Desweiteren ist festzustellen, dass es weder für XP, Vista noch Win7 eine Lösung für die Nach-locked-Varianten gibt. Wenn hier Nutzer betriebssystemabhängige Möglichkeiten, Tools und Hintertüren posten, die es ermöglichen, zumindest Datenfragmente zu retten, dann gilt das auch für XP. Entweder nutzen XP nicht soviele Leute wie Du vermutest, oder es fällt keinem eine Möglichkeit für XP ein. Gruß Volker |
Hallo zusammen, jetzt muss ich mich auch mal melden, nach dem ich schon einiges von den zuvor genannten tools, etc. versucht habe und nichts geklappt hat. Ich habe eine Variante, die die Filenamen komplett gleich lässt, nur wenn man sie öffnen möchte, kann das Programm sie nicht öffnen. Das ist bei doc, xls, ppt jeg, etc. der Fall. Mit den verschiedenen Filepaaren ließ sich kein Schlüssel generieren, weder der von MarkusG noch anitvir. Ich habe Vista. Habe mir auch den shadow runtergeladen, weiß aber nicht, wie ich den nutzen soll??? Ich sehe die alte Dateien vor der Infizierung, aber was mach ich damit??? Ich krieg die nicht bewegt oder sonst was. Wie nutzt shadow? Glücklicherweise macht der Computer wöchentlich ein Backup. Daraus ließ sich einiges retten. Leider nicht alles, da ich nicht alle Platten habe screen lassen. Zu dumm. Noch mal für mich zum Verständnis: Für die neue Variante (Infizierungsdatum bei mir um den 21.05.) gibt es noch keine Hilfe? Dann die Frage woran erkenn ich, ob 4kb oder 12kb der Datei verschlüsselt sind? Habe mir auch einige Dateieigenschaften angeschaut: Es ist sowohl der 1601 dabei aber auch Dateien ohne jede Änderung, die sich nicht öffnen lassen. Werde euren Trött weiter verfolgen. Bedanke mich schon jetzt für den einen oder anderen Hinweis und gehe jetzt erstmal ins Bett ;-)) Beste Grüße seismo PS: Ach so das beste nach dem ich habe malware drüber fahren lassen, war die einizige auffällige Datei die mit Markus Programm??? Malwarebytes Anti-Malware (Test) 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.05.29.07 Windows Vista Service Pack 2 x86 NTFS Internet Explorer 9.0.8112.16421 Jörg :: HOME-PC [Administrator] Schutz: Aktiviert 29.05.2012 23:38:35 mbam-log-2012-05-30 (00-03-46).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 285010 Laufzeit: 17 Minute(n), 32 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 1 C:\Users\Jörg\Downloads\DecryptHelper-0.5.3.exe (Trojan.FakeAlert) -> Keine Aktion durchgeführt. (Ende) Wie shadow funktioniert, habe ich rausgefunden. Klappt bei allen Dateien. Gott sei Dank. Nur leider habe ich G: nicht dabei... Also bin weiter auf der Suche nach einer Lösung. |
Ich will mal die vielen Meldungen vom Virenbefall unterbrechen und nachfragen, ob schon ein Verdacht besteht, ob der neue Crypt-Trojaner die Dateien nach Zufallsprinzip verschlüsselt, oder ob wirklich irgendwo ein Keyfile in den Code geschrieben wird/wurde. Ich würde nämlich zu gern die befallene Festplatte killen und neu auflegen. Vorher will ich aber sicherstellen, das nicht dadurch die benötigten Files zum Entschlüsseln mit verschwinden. Es geht bei mir um ein Datenvolumen von 4TB. Den Datenmüll möchte ich ungern längere Zeit aufbewahren!! 2. Frage. Könnte der erstellte Dateiname mit dem Key was zu tun haben? Hat das von euch schon jemand getestet? BTW: Nur wenn man diskutiert kommt man der Lösung näher. Selbst der blödeste Gedanke kann helfen. Deshalb auch mein Beitrag:zunge: Gruß Stefan |
Shadow hab ich dann doch noch verstanden. Damit ließ sich C: komplett restaurieren. Leider wird meine weitere Festplatte mit jeder Menge Daten/Bilder nicht geback uped. Hier sind alle Dateien kodiert. Syntax des Filenamen: filename.ext. Nichts verändert. Das wird dann die neue Variante sein? Als ich seisnerzeit den zip-Anhang angeklict habe (um den 21.09.), ist eigentlich gar nichts passiert. Jedenfalls nicht bemerkbar. Aber einige Zeit danach ca. 30 min ist der Rechner eigenständig runtergefahren (schwarzer Bildschirm) und von selbst wieder hoch. Das ganze hat vielleicht 10 - 30 Sekunden gedauert. Alle Programme, die ich zu derzeit benutzt habe, liefen einwandfrei, so dass ich den Schaden erst 1-2 Tage später bemerk habe. Vielleicht hilft die Beschreibung, da ich so etwas hier noch nicht gelesen hatte. Gruß Jörg |
@timeagent: Es hat den Anschein, der Trojaner schreibt einge Tempfiles und legt auch nochmal eine Sicherheitskopie von sich selbst ab. Vondaher wäre es nicht gut, wenn du deine C: jetzt ohne Backup schredderst, wenn wenn, dann liegt der schlüssel ev tatsächlich in den Zusatzfiels. Alles nur Vermutungen;-) |
Dann kann ich nur hoffen, das der Kaspersky nicht diese Files selbstständig gelöscht hat, anstatt in Quarantäne zu schicken. Ich hab gerade die beiden Platten auf die Netzwerkfestplatten gespiegelt, bzw. rüberkopiert. Vieleicht ist der "Müll" noch zu retten. Die Zeit wird es zeigen. Und wenn Sie nicht gestorben sind....:heilig: Gruß Stefan |
hi, ich hab eine Frage zum Tool an sich. Ist es zwingend nötig eine unverschlüsselte Orginaldatei zu haben? Mein Verstand meldet, dass es ohne diese gar nicht gehen kann einen Key zu erzeugen, aber vllt übersehe ich ja was. ich habe jede Menge verschlüsselte Dateien im "Eigene Dateien"-Ordner... habe ich Chance auf ein decrypt, wenn ich an keine Backup mit Orginaldateien rankomm? liebe Grüße |
Zitat:
|
Zitat:
Werde einige Dateinamen posten, Reihenfolge vollkommen zufällig. aDtqNjdrfnTEXJ AnyVXJGfLJEtJGjsqDgd asvvAeeGggqpUUQLL AxQQyDDtrrATVVJooexx dGusyDOqNXdafnvE ohne Dateiendung, so wie Sie sind...zw. 20 und 30kb waren mal Word Dateien, wenn ich mich nicht irre. |
Zitat:
Mir ist klar, dass man aufgeregt und verärgert ist wenn man betroffen ist. Aber wenn wir hier zig mal das selbe sagen müssen, ist das auch nicht schön :kloppen: Also bitte immer erst lesen und dann drauf los ;o) |
Zitat:
|
nein du musst dich nicht entschuldigen es ist ja auch nicht böse gemeint aber ein bischen lesen wäre schon schön *g* |
Ich hab ne Frage! Sowas solls ja geben Mir ist beim kopieren aufgefallen, das der Virus die Ordnerstruktur unberührt gelassen hat und nur die Dateien verändert. Aber halt nicht jede Datei. Den Windows Ordner kann ich ja noch verstehen, aber auch die ganzen Programme laufen noch. Ich hab ein Programm drauf, welches eine SQL Datenbank über den MSDE nutzt. Jene Datenbank, welche offen war wurde in Ruhe gelassen und jene die geschlossen war wurde gecryptet. Heißt für mich, das das Misstteil nur jene Dateien befällt, welche es über einen "Editor" öffnen kann. Und das geht nur bei unbenutzten Dateien. Was die Verschlüsselung angeht, so konnte ich feststellen, das die Dateien nur am Anfang umgeschrieben wurden. Wenn ich die Dateien vom Schluss her vergleiche, ist keine Verschlüsselung zu finden. Gibt es ein Proggy, womit ich die Codes von zwei Files miteinander vergleichen kann? Verschlüsselt sind ja nur die ersten 100 Codezeilen oder so. Zumindest in den Excel Dateien die ich verglichen habe!!! VON HAND |
Zitat:
|
Weil der obere Teil wirklich anders ist klappt das nicht. Ich will auch nur diesen Teil mit mehreren anderen Dateien vergleichen. vieleicht hab ich ja Glück und finde übereinstimmungen in den verschiedenen Dateien. Wäre zumindest ein Anhaltspunkt für die Position des Schlüssels oder? |
Hi, auch ein geschädigter.... habe auf dem Notebook meiner Frau unter folgendem Pfad C:\ProgramData\Microsoft\Crypto\Keys 2 Dateien entdeckt 84ab8a235f6ccbcac90b9c99ec9a1b5b_1a0007b4-e239-4b86-8870-b72086789fd4 ist ca. 1h älter seit dem öffnen des Anhangs und wird als Systemdatei mit 2kb deklariert Datum 28.05.2012 19:11Uhr vGjeTDpeaxftUGfgJ ist schon 8 Monate alt wird als Datei mit 2kb deklariert Datum 05.11.2011 08.04Uhr zusätzlich gibt es in diesem Pfad C:\ProgramData\Microsoft\Crypto\ die Ordner DSS\MachineKeys\ --> leer RSA\MachineKeys\ --> viele Systemdateien ohne Endung wie obriges Beispiel RSA\S-1-5-18\ --> einige Systemdateien und Dateien ohne Endung helfen evtl. diese weiter.... Gruß Wastel |
Hallo, gibt es denn schon eine Möglichkeit die Dateien zu entschlüsseln, die mit dem neuesten Trojaner verschlüsselt worden sind? Ich hab mir den nämlich auch eingefangen. :headbang: Grüße |
ich bin zwar kein Mod oder Helfer hier ,aber das ewige Gefage, obwohl auf der selben seite die Antwort erwähnt wird, dass es zu dieser Verschlüsserlung noch nix gibt, nervt langsam, nichts für ungut. Auf der anderen Seite beweist es, dass es nachwie vor geschädigte gibt und die trojaner nach wie vor aktiv sind. |
Laut WDr siind rund 40000 strafanzeigen geszellt worden...ich werde meine jetzt online machen...sind die daten weg hab ich nen mega schaden |
Habe auch diese Probleme mit verschlüsselten DAteien. Mein Rechner war heute beim Techniker-ohne Erfolg. Ein Kollege der Programmierer ist, sagt, das das ein sehr hohe Verschlüsslung sei, knapp unter einer Militärischen VAriante-Hmm. Sieht schecht auch für meine Bilder der Kids.:-( aber ich zähle auf euch, dass ihr was findet und bleibe auch selbst am BAll.... |
Hoi miteinander, klar, dass immer mehr frustriert, geschädigte User das Forum überrollen und das die Beiträge oft von unvollständigen und nicht gerade von orthografie geschönigten Beiträge überfüllt sind. Ich wäre auch froh eine Rechtschreibprüfung zu haben. Von daher sollte man sich vielleicht auch mal überlegen, ob ein Forum wirklich die richtige und geeignete Massnahme ist? Eine andere Möglichkeit wäre, wenn man etwas mehr über die Arbeit an diesen Trojaner berichtet - vielleicht ist es aber auch kontroproduktive? Ich habe auch eine Beitrag gelesen, dass man Anzeige erstatten kann, aber wie und wo - es war ein Abkürzung drin, so was ist nicht hilfreich? Diese Typen sollen man mal einen Besuch mit eine Baumschere absolvieren? Auch wenn dies jetzt nur ein Frustaussage ist - ich bin viel zu schwächlich, behindert für solche Dinge? Aber es ist wichtig, dass sich so viel wie möglich Geschädigte zusammenschließen und niemals aufgeben. Es gibt immer Möglichkeiten, dass sich sogar Militärrechner/-angehörige zusammentun um eine Verschlüsselung zu knacken und solchen Leuten die Finger zu brechen/beschneiden. Grüessli Wolfgang |
Ich bin ziemlich sichr, dass es nur eine Frage der Zeit ist, bis die Daten entschlüsselt werden können. Behaltet die verschlüsselten Daten alle auf, am Besten auf eine externe USB Plattet damit, mitsamt der trojaner mail die ihr bekommen habt. Wenn wir die Hochzeitsbilder oder die der Kiddies in einem Jahr wiederbekommen, ist doch auch noch recht. Am besten noch den gesamten Inhalt des Windows-Verzeichnisses 1:1 auf die USB dazugeben, dort befinden sich laut unbestätigten Meldungen Files, die der Trojaner abgelegt hat (schlüssel, bzw wichtige teile davon) Mehr könnt ihr im Moment nicht machen, leider. |
Genau so siehts aus, abwarten, alles sichern, extern. Dann hier immer wieder nachlesen wie der Stand ist. PC neu installieren, Geduld haben. Habe heute einer Bekannten ihren gesamten Datenbestand wieder einspielen können, nach Bereinigung, das konnten die anfänglichen diversen Decrypter bisher nicht sauber. ....die locked-Variante... Somit hat sie sich das nachtragen von Kundendatensätzen durch Datenrücksicherung für ein halbes Jahr erledigt, hat doch was .... Danke ans Team der vielen die hier mitarbeiten die Anke |
moin moin, was man aufheben und/oder sichern sollte, ist schwer zu sagen, solange nicht exakt bekannt ist, welche Informationen letztendlich den Schlüssel bilden. Die Leute hier, wie beispielsweise @markusg oder @pcberlin und die Leute von Delphi-Praxis sind ja dem "Schlüsselmacher" schon auf der Spur. Wir dürfen nicht vergessen, dass die Wühlerei in den Eingeweiden des Übeltäters zeitintensiv ist und neben der regulären Arbeitszeit durchgeführt wird. So müssen Ergebnisse oder Vermutungen verifiziert und ausgetauscht werden und einen Debugger hat auch nicht jeder immer am Laufen. Desweiteren hat sich der Trojaner seit Mitte April in unterschiedlichen Varianten gezeigt, sodass es garnicht mal sicher ist, dass eine Schlüsselroutine, wenn sie denn mal exakt gefunden wird, für die Version 1.150.1 auch auf Version 1.140.1 angewendet werden kann, obwohl das Schadensbild identisch scheint. Wenn ich die Ausführungen bei Delphi-Praxis richtig interpretiere, dann besteht sogar der Verdacht, dass die Seriennummer der HDD einen Teil des Schlüssels liefert. Wenn dem so sein sollte, dann ist eine Sicherung der Daten auf ein anderes Laufwerk, ohne Sicherung der HDD-Serial des Sorcelaufwerkes auch nicht ausreichend. Ein Optimum wäre der Ausbau der HDD, aber wer macht das schon. Höchstens diejenigen, für die der Datenbestand existenziell wichtig ist, aber die haben sicherlich ohnehin recht aktuelle Backups. Ich möchte in diesem Zusammenhang nochmal darauf hinweisen, dass relativ sichere Backups für jedermann möglich sind, ohne dass man sich finanziell ruiniert. Siehe http://www.trojaner-board.de/115678-...r-backups.html Gruß Volker |
Das Problem mit den Backups ist ja nicht das Programm mit dem es erstellt wird, sonder vielmehr die Tatsache, das die wenigsten eine Spiegelplatte mit der gleichen Größe auf dem System haben. Somit hat man immer die Wahl zwischen Pest und Cholera. Außerdem sind es meist die Benutzer welche die Mühen der Admins wieder zunichte machen indem Sie die Sicherungen geschickt umgehen ohne zu wissen was Sie das anrichten. So war es bei uns auch. Mein Chefe hatte den aktuellen Kaspersky auf dem Rechner und wäre geschützt gewesen, wenn er nicht mit einem Klick die Sicherung deaktiviert hätte. Und das nur weil ich nicht dran gedacht habe, das man so blöd sein könnte. Mitlerweile hab ich überall den Kennwortschutz eingeschaltet. Dazu kam noch, das er extrem viele Daten auf dem Desktop abgelegt hat anstatt auf dem Netzwerkserver, der regelmäßig gesichert wird. Den hat der Virus nicht angegriffen zum Glück. Wie gesagt Glück, das sich das Teil nur mit lokalen Datenträgern begnügt. Was mich aber wieder zum Schluss führt, das ganz gezielt kleine User und keine Firmen abgezockt werden sollen. |
Zitat:
Wer schaltet schon das Backup NAS aus nachdem die Sicherung gemacht wurde. Also meine Automatik ist raus und das NAS wird immo nur noch manuell gestartet und nach der Sicherung wieder entfernt. Man weiß ja nie was noch so kommt leider. |
Dann hattest du echt Pech. Bei mir hingen an dem befallenen Rechner 5 Clients, welche über den Server verbunden waren. Der befallene Rechner hat hat es aber nicht geschafft zum SBS Server zu gelangen, obwohl der im Intranet ziemlich offen da steht. KORREKTUR STAND. Ich konnte aber noch nicht ausmachen, durch was der vor dem Server gestoppt wurde. Im Ereignisprotokoll ist auch nix zu finden. Auch die USER Files sind alle unberührt geblieben. Es könnte vieleicht daran liegen, das alle direkten Zugang zum Netz haben und nicht der Internetverkehr erst über den Server umgeleitet wird, was ja vermeintlich sicherer wäre. Ich hab zum Glück kein NAS was betroffen gewesen wäre. Der Server hat genügend Kap. um eigentlich alle Rechner zu sichern. 2 Tera reichen normalerweise dicke aus bei uns im Unternehmen |
@timeagent, das Backup was ich meine, zielt gerade auf die "kleinen Leute", Hobbyfotografen, Laienmusiker und weiß-der-Geier wer alles größere Datenbestände und individuell konfigurierte Software auf dem Rechner hält. Ein Backup des eingerichteten Systems und ein turnusmäßiges Backup der Daten (manuell oder zeitgesteuert) hilft nicht nur bei Schadsoftware. Auch eine HDD selbst hat nicht das ewige Leben. Es ist dann beruhigend zu wissen, in relativ kurzer Zeit sein System wieder in den Zustand von vor dem GAU versetzen zu können. Wenn die Backups dann noch auf einer für das System nicht sichtbaren Partition liegen, ist das schon einigermaßen beruhigend. Übrigens, meine Versuche mit einer externen HDD, verbunden über einen USB-Port, ergaben bisher keinerlei Probleme, obwohl Acronis von einer Secure Zone auf USB-HDD abrät. Bei manchen kann man aber reden wie mit einer Wand und Ratschläge sind sinnlos, selbst bei Chefs. :) Wenn sich jemand, beispielsweise, im August 2011 durch öffnen eines Anhangs den gefakten Bundestrojaner an Land zieht und neun Monate später wieder über den Verschlüsselungstrojaner jammert, dann muß man sich schon fragen, ab wann Hopfen und Malz verloren ist. Gruß Volker |
Ich hab mir grade eben schnell noch ein neues NAS bestellt. Das kommt dann an die USV beim Server dran. Iss nur ein günstiges Seagate Black Armor. wird aber im Zusammenhang mit dem genannten Backup System seinen Zweck erfüllen. Das wären dann zwei gestaffelte Systeme. Am Server hab ich mir ein Raid 1 System eingestellt und das NAS wird dann sowas ähnliches Was die Haltbarkeit von Festplatten angeht, so liegt es eher an dem ständigen ein und ausschalten der Teile, sei es durch Energiesparmaßnahmen oder das abendliche runterfahren. Dauerhaft laufende Systeme halten eindeutig länger. Aber frei nach Murphys Gesetzt würde eh die Sicherungplatte den Geist aufgeben, in dem Moment wenn Sie mal gebraucht würde.:rolleyes: Ist mir schon passiert!!! War ein super Gefühl nach 5 Stunden Arbeit. |
Zitat:
Die Erweiterung als Sicherungsmedium ist natürlich ne feine Sache, sofern die Leute tatsächlich auf rund 50% (mit Komprimierung auch weniger) ihrer Festplattenkapazität verzichten können und wollen. Meine Sicherung läuft mit Novabackup auf ein Buffalo Raid1 NAS nur wie gesagt zur Zeit manuell, da ich nie sagen würde "mir kann nichts passieren" :zunge: Ich denke aber, dass es bei den meisten Leuten die Bequemlichkeit ist sich keine Gedanken über das "was ist wenn..." zu machen. Und wenn das Kind in den Brunnen gefallen ist, dann kommen im schlimmsten Fall auch noch dumme Kommentare wie Bitfox es geschrieben hat und Schuld sind immer die anderen. |
Hallo Ersteinmal meinen vollen Respekt an die Leute, die sich hier die Arbeit machen, um allen zu helfen. Dann habe ich jetzt aber auch eine Frage: Kann es sein, das es schon wieder eine neue Variante von dem Trojaner gibt? Ich habe im Bekanntenkreis schon 2-3 PC´s dank der guten Anleitungen hier wieder flottbekommen, dochjetzt habe ich einen, wo sich mir ein Problem auftut. Es kam die Meldung, das der Versclüsselungstrojaner drauf ist, und mal sollte halt die 100 Euro zahlen (leider habe ich kein Bild davon), aber die 100 Euro standen in beiden Feldern. Diese Geschichte lies sich relativ einfach entfernen, Windows bootet wieder, aber.. Ich sehe die Dateien, sie haben alle ihren normalen Namen, Bilder kann ich mir auch in der Windowsvorschauansicht anschauen, aber wenn ich versuche Sie zu öffen, klappt das nicht.. Da kommt dann die Meldung: Bei Bildern: Bild kann nicht geöffnet werden, möglicherweise ist die Datei beschädigt, oder das Format wird nicht unterstützt. Bei Textdateien: Works stürzt ab, OpenOffice sagt, es fehlt die persönliche Konfigurationsdatei Bei PDf: Das gleiche wie bei Bildern... Hat da jemand ne Idee zu ? Ich habe noch nicht versucht die Dateien zu entschlüsseln, wollte erstmal fragen, ob dies auch schon jemand so hat ? Gruß Nachtrag: Habe jetzt mal versucht mit dem ShadowExplorer zu Arbeiten, und was soll ich sagen, sieht vielversprechend aus. Ich kann die Daten wieder öffnen.. |
Hallo seeadler, ist doch prima, wenn Du Schattenkoien zurückholen kannst. Das von Dir beschriebene Verhalten, Dateiname bleibt, Inhalt aber Schrott, ist in den Posings hier schon mehrmals erwähnt. Zu den Varianten der Nach-locked-Versionen soviel: Ich habe hier zu Versuchszwecken einen Vertreter der Versionen 1.140.1 und 1.150.1 @pcberlin hatte einen der Version 1.170.1 am Wickel. Das macht es ja auch so schwer bis unmöglich, ein universelles Heilmittel zu finden. Ich denke mal, wir haben da noch einiges zu erwarten. Aus diesem Grunde ist es auch wichtig, dass so viele Leute wie möglich, Bekannte, Verwandte usw. warnen. Ach, und nochwas: Oben unter Hinweise ist ein Link "Sendet uns die Viren!". @marcusg nimmt die Übeltäter in Empfang. Gruß Volker |
Zitat:
Jetzt habe ich soviel gelesen... Aber irgendwie immer nur die locked oder die Buchstabensalaltvariante gelesen... Ist dann wohl untergegangen.. Sorry... Und ja.. Ich warne auch immer alle.... Ist ja momentan die einizige Möglichkeit, da es die Virenprogramme wohl nicht ganz schaffen :( |
hi bitte bei den warnungen auch unsere aufforderung zur mail einsendung beachten. an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert. wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ: .eml einstellen. dann bitte lesen: markusg - trojaner-board.de und mir die soeben erstellte datei zukommen lassen. wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders. bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen. sie können dann dorthin solche verdächtigen mails senden. diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig. auf der vorhergehenden seite wurde gefragt, wie man eine anzeige stellen kann, das geht meist vor ort. einfach die mail so wie beschrieben abspeichern und mit nehmen, da hat man schon mal was. evtl. benötigen die leute auch eine sicherung des pcs, da nimmt man trueimage zb. @diese meldung weiter verbreiten. ein vor redner hatte gefragt ob das produktiv währe, sicher wäre es das, um die leute zu sensibilisieren, obs nützt ist die zweite frage. |
Hallo, ich habe auch en solches Problem. Ich habe ebenfalls eine eMail mit einer angehängten Rechnung bekommen. Leider habe ich diese geöffnet und dann war es passiert. Es kam die Aufforderung 100 EURO zu zahlen und ich konnte keine Dateien mehr öffnen. Ein guter Freund hat es sich angeschaut (da ich mich nicht wirklich gut auskenne) und den Trojaner entfernt. Da ich die meisten meiner Dateien als Sicherungskopie hatte, hat er diese nun wiederhergestellt. Einige wenige (Fotos) fehlen aber. Habe nun mit dem Programm von Matthias versucht, die Dateien zu verschlüssen, aber irgendwie klappt das nicht richtig. Ich würde die email auch gern an euch schicken (habe sie aber nur noch als gesendete/weitergeleitete Datei. Aber das mit dem Markieren und rechte Maustaste drücken klappt nicht. Ich nutze t-online. Vielleicht habt ihr noch einen Tipp. Ansonsten werde ich die verschlüsselten Dateien halt alle löschen - die meisten hatte ich ja wie geagt als Sicherungskopie. Vielen Dank! |
hi, was hat er womit gelöscht, poste das bitte im bereich logfiles. allgemein leitest du so weiter: an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert. wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ: .eml einstellen. dann bitte lesen: markusg - trojaner-board.de und mir die soeben erstellte datei zukommen lassen. über einen browser, die mail einfach öffnen und dann weiterleiten. bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen. sie können dann dorthin solche verdächtigen mails senden. diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig. |
anscheinend bin ich zu blöd das programm anzuwenden :-( kann das hier nochmal jemand detailliert aufschreiben??? danke schon im voraus! |
hi, wie sind deine dateien aufgebaut? also umbenannt zb, wenn ja wie? |
Liste der Anhänge anzeigen (Anzahl: 1) Hallo Habe das selbe problem mit dem Trojaner jetzt versuche ich die ganze zeit schon die dataien zu endschlüsseln, das klappt natürlich bei mir nicht habe mir eine veschlüsselte mp3 datai ausgesucht, hatte auf einen stickt noch die original mp3, größe der beiden dataien passt 100 % überein aber trotzdem endschlüsselt der mir die nicht warum macht der das nicht ??? habe mal ein foto der beiden dataien gemacht Danke |
Zitat:
zuerst mal die Frage, wieviele der Beiträge in diesem Board zum Thema Verschlüsselungstrojaner hast Du vor Deinem Beitrag gelesen? Bei allem Verständnis für die Lage, in der Du Dich befindest, aber bei durchschnittlichem Überfliegen der Beiträge wüsstest Du, dass bei der Verschlüsselungsvariante Deiner Dateien die acht Tools nicht helfen. Im Gegenteil, je mehr an den Daten manipuliert wird, desto unwarschgeinlicher wird eine Restaurierung. Eventuell wäre Dir bei der Lektüre auch aufgefallen, dass es für MP3s eine pragmatische Lösung gibt. Das gilt natürlich für alle, die hier nur nach Hilfe rufen, ohne vorher zumindest den auf jeder Seite ganz oben stehenden Text lesen. Beiträge wie: "Hilfe, bin betroffen, was kann ich tun" oder "Wie kann ich den Trojaner zu euch schicken" oder "Meine Dateien lassen sich nicht entschlüsseln" würden sich bei etwas Recherche erübrigen. Da schreibt beispielsweise ein User: "Meine Dateien sehen so aus RTGZHUgfhTZH mit welchem der Tools kann ich die Wiederherstellen? Gleich darunter antwortet @markusg: "Für diese Art der Verschlüsselung gibt es z.Z. noch keine Entschlüsselungstools" Und gleich darunter schreibt ein Anderer: "Habt ihr schon eine Lösung für RTGZHUgfhTZH verschlüsselte Dateien?" 100-fache Wiederholung der gleichen Beitragsinhalte machen die Themen nicht nur unübersichtlich, sondern nerven auch irgendwann, zumal wenn eine gewisse Lesefaulheit offentlichtlich ist. Gruß Volker |
Hallo Also erstmal danke für die antwort, nur weiss ich selber nicht was ich machen soll die dataien sind für mich sehr wichtig zb. ich habe die ganzen fotos und videos meiner Tochter hierdrauf ....ich hatte die als sicherung auch auf einer externen festpatte aber die steckte zum zeitpunkt im pc ist also auch befallen. also soll ich erstmal die finger davon lassen und warten ??? Gruß |
ja, und leute, bitte lest doch einfach mal 10 beiträge und ihr seht was momentan möglich ist und was nicht. vor allem wüsstest du dann, das ich auch die infektionsquelle benötige, da können wir dann schon mal sehen ob ne entschlüsselung möglich ist :-) an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert. wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ: .eml einstellen. dann bitte lesen: markusg - trojaner-board.de und mir die soeben erstellte datei zukommen lassen. wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders. bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen. sie können dann dorthin solche verdächtigen mails senden. diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig. |
Zitat:
ja, ich würde abwarten. Natürlich kannst Du auch mal nachsehen, ob Du über die Schattenkopien Dateien rekonstruieren kannst. Wie gesagt, bei etwas Recherche hier in den Diskussionsthemen wäre Dir auch das aufgefallen: http://www.trojaner-board.de/115551-...e-version.html Vielleicht kommst Du ja mit dem Shadow-Explorer weiter. Du kannst auch das dort beschriebene JPEGsnoop ausprobieren, aber bitte mit Kopien der verschlüsselten Bilder. Schau Dich in den Themen um, es gibt viele Hinweise des Teams und der Betroffenen selbst. |
Hallo Markus Hab dir die email geschickt die ich bekommen habe ....meldest du dich wenn du was gefunden hast ?? Gruß |
Hy Trojaner-Team! Ich bin neu hier und bitte um Rücksicht, falls ich etwas falsch mache! Habe schon mehrfach gesucht aber nichts gefunden zu meinem problem. Eigentlich ist es fast das gleiche problem wie hier schon beschrieben ist, habe schon mit Decrypthelper und Avira ransom file unlocker ausprobiert aber nichts geht....der will immer eine"originaldatei" haben.....aber alle auf dem rechner vorhandenen dateien(zb.mp.3, pdf, jpeg usw.) sind verschlüsselt(wegen dem trojaner). Jetzt weiss ich nicht wie ich das den beheben soll?:confused: Mfg |
hi, bitte mir die mail zukommen lassen: an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert. wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ: .eml einstellen. dann bitte lesen: markusg - trojaner-board.de und mir die soeben erstellte datei zukommen lassen. wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders. bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen. sie können dann dorthin solche verdächtigen mails senden. diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig. 2. wie sieht das chema der verschlüsselten dateien aus, umbenannt, wenn ja wie |
ist wohl doch angekommen |
Moin zusammen, Ich habe einige Einträge überflogen. Wir haben von einem Kd nun auch ein XP NB mit dem Virus der die Dateien umbenennt und die Endung löscht. Allerdings glaube ich nicht, dass er die Dateien verschlüsselt. Bei dem NB kann ich z.B. ein Bild mit der Endung .jpg versehen und dann ganz normal öffnen, das gleiche geht für Favoriten. Stellt sich nur die Frage, ob der Kunde jetzt jede Datei von Hand umbenennen muss oder ob es dafür auch schon ein entschlüssler gibt. Die Standard Microsoft Favoriten kann ich gerne zur Verfügung stellen, falls jmd daraus ein Algorithmus entwickelt kann. Zitat:
http://www.trojaner-board.de/114115-...tml#post820437 Zweiter Eintrag, da gibts die Original Windows Beispielbilder.. |
Zitat:
danke für die antwort....aber wenn ich das mit dem decrypthelper 0.5.3 versuche, sagt er "datei unterschiedlich groß" |
Alle Zeitangaben in WEZ +1. Es ist jetzt 17:31 Uhr. |
Copyright ©2000-2025, Trojaner-Board