Das Programm arbeitet sensationell gut, das hätte ich nicht für möglich gehalten, alle Dateien sind wieder korrekt zu öffnen, einfach klasse. Was mir ein wenig Probleme bereitet hat, waren die spärlichen Dienstanweisungen, weshalb ich hier nochmal für alle Ungeübten beschreiben möchte, was ich gemacht habe, um die durch den Verschlüsselungs-Virus verseuchten Dateien zu retten.

Ich habe mir vorher eine Virus-verschlüsselte Datei auf den Desktop geladen, dann habe ich mir die Selbe (noch heile) aus einem alten Backup von einer CD ebenfalls auf den Desktop kopiert. In meinem Fall waren es PDF Dateien, die aber auch Texte und Fotos enthielten. Dann habe ich das Programm gestartet und die beiden Dateien als Transskriptions-Vorlage für eine Entschlüsselung genutzt. Mehrere Probedateien ließen sich problemlos zurückholen. Nach Erstellung von Sicherungskopien ganzer Verzeichnisse entschlüsselte ich gleich mehrere Verzeichnisse erfolgreich.

Mir ist noch aufgefallen, dass es offensichtlich "verschlüsselungsresistente" Dateien gab, also solche, die durch den Virus nicht befallen worden waren. Es handelt sich dabei um Screenshots von Fotos aus dem Internet.

Kurzum, ganz tolles Datenrettungsprogramm - wenn man bedenkt, was ich hier alles an Daten über Jahrzente gesammelt hatte und von vielen Dateien keine Sicherungskopien (mehr) hatte. Meine gesamte Firmenbuchhaltung von 10 Jahren, irrsinnig viele historische Dokumente, die ich (mühsam) eingescannt hatte. Familienfilme, die ich schon bearbeitet hatte, aber noch nicht gesichert.

Ich habe jetzt viel daraus gelernt. Immer müssen Sicherungskopien gemacht werden, nicht alle Aufgaben sollte an einem Computer alleine bearbeitet werden, Buchhaltung und Hobby sollten getrennt werden. Emails sind noch viel vorsichtiger zu behandeln, denn hier kam der Virus über einen PDF-Mailanhang. Ich habe zwar seit 1984 einen Computer und hielt mich schon für sehr schlau, aber das hier war das Beschissenste, was ich je erlebt habe. Danke, danke, danke. Ich werde spenden....

Hallo zusammen,

danke für eure Hilfe.
Ich habe es mit dem DecryptHelper0.5 hinbekommen. Text-, Tabellen- und Bilddokumente konnte ich alle wieder herstellen!

Gruß
Martin

noch mal an alle, es reicht nicht, die files zu entschlüsseln, ihr müsst noch eure pcs hier prüfen lassen!

mal ein hinweis.
der upload channel ist für angeforderte uploads da, nicht einfach was auf verdacht hochladen.
es ist natürlich in ordnung, hier ne problem beschreibung zu erstellen, und dann einen upload zu machen, so können wir zeitnahe reagieren.

@ hkhkl
du hast mir jetzt verschlüsselte files hochgeladen, aber ich benötige ein original + evtl. die von avira erstellte key datei.

hi
@mtx430
mal avira rückfrage:
> Wurden alle Bilder im gleichen Pfad infiziert?
> Die Datumsangaben von den locked Files in dem Archiv stimmen mit denen auf dem
> infizierten Rechner überein, oder?
> Wurde der Rechner vielleicht während des Lockens schnell ausgemacht und dann rebootet?
> Dann hätte er mit dem Crypten weitergemacht und eventuell einen anderen Schlüssel bekommen.

Super Programm !

Ich habe mit deiner Version 0.5 die Masse der Daten wiederhergestellt, da der Rechner zwischenzeitlich ausgeschaltet wurde und wieder hochgefahren wurde, war der letzte Tip mit den anderen Schlüsseln Gold wert. Ich kann das also aus dieser Erfahrung nur bestätigen, der Code wird, wenn der Rechner neu gebootet wird, verändert - Abhilfe schafft natürlich eine Sortierung nach Änderungsdatum und dann mit unterschiedlichen Schlüsseln arbeiten.

1.) Deswegen kann ich nur voll zustimmen, eine Sicherung / ein Arbeiten mit Kopien der verschlüsselten Dateien ist unerlässlich!

2.) Die Software funktioniert fehlerfrei mit allen von mir wieder hergestellten Dateien!

(Anmerkung: das entfernen der Malware erfolgte vorab mit Malwarebytes wie von euch beschrieben)

kleiner Tip: oftmals existieren auf den Rechnern heruntergeladene Bilddateien aus dem Internet die eindeutige Bezeichnungen aufweisen, so wie hier: hxxp://www.malvorlagen.cc/images/malvorlage/Geschenk_1-671319.jpeg
diese Originaldateien sind leicht zu finden und dank markus steht somit einer Wiederherstellung nichts mehr im Wege...

Ein ganz großer Dank aus dem sonnigen Schwarzwald, nach einer durchgemachten Nacht ist die euphorie dank der gelungenen Datenrettung an einem Geschäftsrechner perfekt !

MfG

MerlinIR

Guten Morgen,

Nun hab auch ich diesen "tollen" Trojaner... nachdem mein Laptop nun soweit wieder hergestellt ist, das die Aufforderung 50€ zu zahlen für einen Code nicht mehr auftaucht, bleibt das Problem der verschlüsselten Dateien.
Den Avira Ransom File Unlocker hab ich installiert. Doch gelingt es mir nicht áuch nur eine Datei zu entschlüsseln. Wenig Sinn macht doch wenn ich eine Verschlüsselte Datei (oder Ordner) in ein und die Original- Dateien ins andere Feld einfügen soll, oder? Wenn ich die Dateien noch im Original hätte, bräuchte ich die "alten" nicht zu entschlüsseln. Es geht ins besondere um Bilder, die ich so nicht wieder bekomme.

Was mach ich falsch? Wie muss ich vorgehen?

Herzlichen Dank schon mal im Voraus

Dubsch

hi,
natürlich macht das sinn, wenn du zb sicherheitskopieen anderer daten hast, kannst du die dann nutzen, um einen schlüssel zu erzeugen.
findet avira keine vergleichsdatei automatisch bei dir?
hast du nen zweiten pc mit möglichst dem selben betriebssystem?

nächste frage.
ich bin an der infektionsquelle interessiert, meistens e-mail
wenn du die über ein mail programm erhalten hast, öffne die mail, datei speichern unter, dann bei typ zb
.eml
einstellen.
neue mail an:
http://markusg.trojaner-board.de
dort die so eben gespeicherte mail anhängen.
falls du nen webmailer nutzt teile mir mit welchen.

Hi Markus,

habe dir zwei Mails von unserer Buchhaltung weitergeleitet. Sind am Wochenende gekommen. Kommt von d***@n***.com

Hi,

das heißt also, ich kopiere (über durchsuchen) einen verschlüsselten Ordner (mit Bildern) in die erste "Spalte" und irgendwelche (evt. aufm Stick) vorhandenen Originalbilder (die inhaltlich nicht den verschlüsselten entsprechen) in die Zweite Spalte?

Ja es war ne Mail mit Anhang einer "Rechnung" zip. genau wie überall beschrieben... Leider habe ich diese Mail nicht mehr...:-(

Wobei, sehe gerade dass folgende Mail schon von 1und1 geblockt wird.



-------- Original-Nachricht --------
Betreff: Kunde Firmenname GmbH, Nr26272222
Datum: Fri, 27 Apr 2012 13:05:26 -0400
Von: bernhardbeckerle@freenet.de
An: Firmenname GmbH <xxx@xxx.com>



Sehr geehrter Firmenname GmbH,

Herzlichen Glückwunsch, Ihr Premiumemail Upgrade ist registriert worden.
411,59 Euro für Jahres Anmeldebeitrag werden Ihnen in kürze von Ihrem Bankkonto abgebucht. Kontrollieren Sie die Vertragsdetails bitte dem Anhang, dort finden Sie auch die Erklärung über die Lastschriftabbuchung.

mit freudlichen Grüssen
Ihr Kundenservice

danke @Qinjify
wenn ihr mehr solchen unsinn bekommt, mahnung, rechnung, telekom-secure, staatsanwaltschaftliche ermittlungen, sind so die mir bekannten variannten, dann her damit :-)

hi, nein, du suchst ein bild, was dir ver und entschlüsselt vor liegt.
diese bilder trägst du dann in die jeweiligen spaleten ein, über durchsuchen zb und anhand dieses paares wird ermittelt welchen schlüssel das tool verwenden muss um die restlichen daten zu entschlüsseln

Hi,

ok. sollte also dann problematisch werden wenn ich keines der verschlüsselten Bilder im Original habe, oder ein Original nehme, allerdings ein falsches verschlüsseltes, denn es ist ja weder das Bild noch die Benennung zu sehen.

Trotzdem könnte es gelingen ein Originalbild aufzutreiben, welches verschlüsselt auf dem Lap. vorliegt.

Sobald ich das probiert habe melde ich es... Vielen Dank markusg