|
Zitat:
Bitte versucht das mal und gebt Rückmeldung. |
Zitat:
Wenn du z.B. eine pdf-Datei mit dem Hex-Editor anschaust, siehst du, wie die beginnt: %PDF-1.4 (je nach Version). Bei den verschlüsselten Versionen steht nur Datenmüll drin; wenn ich auch nur das erste Byte durch ein Leerzeichen ersetze, ist es keine konforme pdf-Datei mehr. Ähh, Außerdem: Notepad zeigt (unter XP) bei pdf-Dateien eh nur Datenmüll an; daraus kann man nichtmal den Dateitypen ablesen. Joh |
Hallo, habe mir ebenfalls den o.g. Trojaner eingefangen. War mir nicht bewusst, dass meine Dateien durch den Trojaner verschlüsselt sind und habe einfach alle wichtigen Dateien (Dokumente und Bilder) im abgesicherten Modus auf einen USB-Stick gezogen und anschließend die Festplatte formatiert. Nachdem ich die Neuinstallation von Windows 7 abgeschlossen hatte, habe ich den Stick angeschlossen um die Daten wieder auf meinen PC zu ziehen. Erst jetzt bemerkte ich, dass die Dateien (Dokumente) nicht mehr zu öffnen sind. Bilder jedoch schon. Da ich die wichtigsten Dokumente schon vor der Infizierung auf einem anderen Stick gesichert hatte und im wesentlichen nur die Fotos retten möchte ist nun meine Frage: Sind die Daten, die ich auf den Stick gezogen habe alle ,,verseucht'' oder einfach nur nicht mehr zu öffnen? Kann ich mir die Bilder einfach vom Stick ziehen ohne mir weitere Sorgen machen zu müssen? O.g. Programme zeigen mir auch keine schädliche Software an. Vorab vielen Dank für eure Hilfe! |
Hallo, Zitat:
copy *.* + Hierzu mußt Du in der Kommandozeile in das Verzeichnis wechseln, in dem sich die entsprechenden Dateien befinden. Mit dem Befehl werden "ALLE" Dateien in dem Verzeichnis mit dem aktuellen Datum und der aktuellen Uhrzeit versehen. S-1-5-21 ist der eindeutige windowsinterne Schlüssel/Bezeichner... für deinen Benutzer. Genaueres dazu siehe hier: hxxp://de.wikipedia.org/wiki/Security_Identifier Stephan |
Moin zusammen! Ich reihe mich ein in die Liste der Betroffenen: Naja, eher passiv, da ich die Daten von Jemandem retten möchte; selbst blieb ich bisher verschont. Ich arbeite an einem der mit Version 1.150.1 Dateien werden verschlüsselt keine Umbenennung mehr betroffen ist. Naja, zum Glück keine Namensverschlüsselung, was? Jedoch kann bis dato keines der Tools erfolgreich entschlüsseln, ich werde heute zumindest für die Bilder die JPEG Recovery Tools testen. Bis dahin und überhaupt: Toi toi toi bei der Entwicklung einer Decrypter-Lösung! Grüße aus MD Jens |
@alle: So wie es aussieht gibt es was den Verschlüsselungs-Trojaner angeht keine Hoffnung mehr: Delphi-PRAXiS - Einzelnen Beitrag anzeigen - Verschlüsselungs-Trojaner, Hilfe benötigt Ich möchte hiermit die Administratoren bitten, das ab jetzt auch offen so zu kommunizieren, da es keinen Sinn macht, hier weiter Hoffnung zu Schüren, ohne dass es Aussicht auf ein Entschlüsselungs-Tool gibt. Die Analyse von Marcu stimmt mit meinen Annahmen überein und ich denke, eine Zusammenfassung mit Hinweisen zu ShadowCopy und sonstigen Reparaturmaßnahmen sollte als sticky gesetzt werden. |
schon sonderbar. Kann es sein, dass es mehrere Versionen dieses Trojaners gibt. Ich hatte ansonsten genau die selben Symptome: Indentischer Sperr-Bildschirm ("Ucash"), denselben Buchstabensalat bei den Dateinamen. Umbenennung fast aller Dokumente unter "Eigene Dokumente" (außer JPG und Videos). Trotzdem kann ich, nachdem ich den korrekten Dateityp identifiziert und wieder zugewiesen habe, die Dateien wieder öffnen. Soll ich mal ein Dateimuster schicken? Leider habe ich die sch... E-Mail nicht mehr. Es war die bekannte "Flirt-Fever"-Mahnung. |
Zitat:
Tja wen dem so ist Kann man wohl nix machen :headbang: ca 900 GB an Daten für die tonne :heulen: immerhin konte ich mit JPEG Recovery 95% meiner bilder Wiederherstellen. An der stelle Möchte ich Meinen Dank an alle ausprechen die es sich zur aufgabe gemacht haben den opfern zu helfen , Macht weiter so Vielleicht findet ihr ja irgendwan doch noch eine lösung ! Gruß Marcel |
Ich habe den Tronjaner auf meinem Rechner :headbang: von der flirt-fever.de email. Diese habe ich aber gelöscht. Gibt es irgendwie eine Chance meine Daten zu sichern. :applaus: Sorry, im Intenet surfen bekomme ich hin- aber son Technik schnick schnack ist mir zu hoch :pfeiff: Daher falls es eine Möglichkeit gibt, bitte auf eine gaanz einfache Art erklären. |
Hallo, habe mir leider auch diesen Müll auf dem Laptop eingefangen......... Habe das auch schon mit der CD probiert von meinem Zweit Rechner aus. Allerdings ohne Erfolg. Der Monitor bleibt schwarz........ Ohne CD fährt er hoch und das Bild kommt wieder........ Wer kann mir da weiter helfen???? |
Ich verfolge die Beiträge hier nunmehr seit einem Monat, denn ein Kunde von mir ist auch betroffen. Vielleicht habe ich es übersehen, aber ich glaube, es hat sich hier noch niemand gemeldet, der bezahlt hat und dann seine Daten wieder entschlüsseln konnte. Gibt es solche Fälle überhaupt und wenn ja, wäre einer dieser Rechner nicht sehr wertvoll für die Analyse? Vielleicht könnte man sogar einen Rechner absichtlich verschlüsseln lassen, zahlen und dann den Entschlüsselungsvorgang beobachten bzw. analysieren. Ich kann mir nicht vorstellen, dass die Personen, die zahlen nicht wieder ihre Daten zurückbekommen, denn wäre das nicht der Fall ist schnell bekannt, dass zahlen sinnlos ist. Das kann ja nicht im Interesse des Trojanerprogrammierers sein. Mann müsste nicht einmal wirklich Geld ausgeben, denn man kann die Zahlung, die meist über Paysafe oder ähnlich läuft, sofort wieder sperren lassen. Zumindest Paysafe kennt die Problematik und bietet Hand dazu. Vielleicht wäre das ein Ansatz, die Entschlüsselung doch noch zu erreichen. An dieser Stelle einen Dank an alle, die sich viele Stunden bemüht haben!! Grüsse, LMS |
ich denke der entschlüsselt die daten gar nicht. die paysafe daten werden abgefasst und fertig. was hat der programmierer davon die systeme wiederherzustellen. gar nix habe heute son nen ganz neuen gefangen. bitdefender kennt den noch nicht. hab schon ans board geschickt greetz |
Ich hab dann mal den vermutlich neuesten auf eine abgeschottete virtuelle Maschine losgelassen. Internet Verbindung hat sie, andere Rechner im Netz kann sie nicht erreichen, es wurden sicherheitshalber alle Freigaben auf meinem aktuellen Arbeits-PC (auch die Administrativen) abgeschaltet. Nach dem Start hat sich die Datei selber gelöscht, aktiv sollte sie also sein. Allerdings hat bisher keine Verschlüsselung eingesetzt. Weder im Benutzerordner, noch auf einer zusätzlichen Partition, die ich dafür extra eingebunden habe (natürlich auch virtuell). Vorher wurde ein Haufen Bilder in die entsprechenden Orte kopiert, damit er auch "was zu tun hat". Selbst nach einem Neustart tut sich bisher noch nichts, auch keine Zahlungsaufforderung, o.ä. erscheint. Der angemeldete Benutzer hat (eingeschränkte) Adminrechte und das Ganze läuft auf einer Win 7 Pro Version mit integriertem SP1 Update. Allerdings ist (absichtlich) kein einziges zusätzliches Windowsupdate eingespielt worden. Fragt sich nur, worauf er wartet... |
Jedes Mal wenn ich die Antimalware durchlaufen lasse, funzt es nicht mehr ... "Keine Rückmeldung" was kann ich jetzt machen? |
@LMH, das Eingabefeld wurde bereits mit Originaldaten gefüttert, eine Entschlüsselung erfolgte nicht. Dem Trojaner wurde auch schon soweit in den Rectus geschaut, dass man den Kehlkopf sehen konnte. Die Funktionsweise und die Routinen sind auch bekannt und nachvollzogen. Aber was rede ich hier, 5 Posts weiter zurück , #576, hat @pncberlin drei Links eingestellt, die tiefgreifende Informationen über die Arbeitsweise des Trojaners geben. Volker Zitat:
Zuerst werden drei Verbindungen zum Server aufgebaut und Daten bezogen, dann geht's erst rund. Volker Zitat:
Folge dem Link und erstelle Dein individuelles Hilfethema. Dann wird sich jemand um Dich kümmern und an die Hand nehmen. Hier im Diskussionsforum gehen Deine Hilferufe unter, und eine individuelle Hilfestellung ist unmöglich. Volker |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 11:22 Uhr. |
Copyright ©2000-2025, Trojaner-Board