Ist es eigentlich auch ok, wenn ich die "Biester" einfach per weiterleiten wegschicke? Weil das mit dem Speichern unter .eml funktioniert bei mir irgendwie nicht. Und macht es Sinn, verschlüsselte Dateien und die dazugehörige Originaldatei an euch zu senden, könnt ihr damit was anfangen?
Auf jeden Fall ein großes Lob an euch für die Hilfe und das Bemühen. Ich werde heute noch bei der Polizei Anzeige gegen die Email-Versender erstatten, bringt vielleicht nicht viel aber irgendwas muss man ja tun..

Speichern unter funktioniert nur mit E-Mail Programmen (Outlook, Thunderbird etc) wenn du einen Webmailer benutzt leite die Mail über den entsprechenden Button weiter.
Gruß DevilTH

Der Schadcode muss ausgeführt werden. Die ZIP selbst ist kein Schadcode, eine ZIP ist auch nicht ausfühbar.
Nur durch das Öffnen bzw. das Hineinsehen in eine ZIP wird nichts passieren, erst wenn man die ausführbare Datei die in der ZIP steckt auch doppelklickt/ausführt hat man ein Problem :pfeiff:

Erzähl du es uns dochmal :)
Warum wird hier zig Mal die selbe Frage gestellt und warum werden hier Hinweise von vielen konsequent ignoriert? Dutzenfach werden hier Hinweise wiederholt wenn man wieder jmd die Regeln und Hinweise sind nur Deko und man müsse sich nicht regelkonform verhalten, auf Hinweise pfeifen und möglichst alle relevanten Infos weglassen :headbang:

Normalerweise passiert beim Entpacken des Archives noch nichts.
Trotzdem ist das Entpacken per Klick oder Doppelklich gefährlich.
Das gilt vor Allem , wenn die Option "Durch einfachen Klick ausführen" aktiviert ist.
Es kann beispielsweise vorkommen, dass eine Taste prellt und der zweite Klick zum Start des Inhaltes ausgelöst wird, ohne dass es beabsichtigt war.
Dann spielen da auch noch die Einstellungen der Doppelklick-Geschwindigkeit mit rein.
Am sichersten ist, unerwartete Mails, vor allem wenn sie einen Anhang besitzen, ungesehen zu löschen.
Wenn man denn doch die Begierde hat in den das angehängte Archiv zu sehen, dann bietet sich an, per Rechtsklick und "Entpacken nach" zu wählen.
Damit kennst Du den Ort wohin entpackt wird.
Das geht natürlich nur, wenn Du den Packer im Kontextmenü hast.
Ansonsten den Packer starten und "Datei öffnen", dann siehst Du den Inhalt des Archives auch.

Ich glaube aber, bei vielen ist es Unwissenheit, bei manchen Ignoranz und bei Anderen vielleicht der Nervenkitzel.

Gestern habe ich einen Beitrag über U-Bahn Surfer gesehen. und mich auch wieder gefragt, warum manche Menschen das tun, was sie tun.

Gruß Volker

ne noch nicht werde ich aber gleich noch machen wenn ich nach her wieder komme

OT: ist das nicht in einer Produktivumgebung das Selbe wie Virenanhänge zu öffnen:zunge:

OT:
@DevilTH,
Ähnlichkeiten mit lebenden oder toten Personen sind rein zufällig und keinesfalls beabsichtigt. :zunge:

Hallo Trojaner Board.

Bin neue in Forum. hbae viel gelesen. Verstehe aber Sachen nicht.

Mein Kumpel hat sich den neuen Trojaner Version 1.170.1 per Email einfangen Win Xp Sp 3. Am Desktop erscheint eine Botschaft bitte lesen.txt:

Sehr geehrte Damen und Herren,

anscheinend wurde das Update Programm vollständig unterbrochen. Jetzt kann das Virus nur manuell beseitigt werden. Dies brauchen Sie um Ihre Dateien benutzen zu können. Falls Sie also die gesperrten Daten brauchen, senden Sie uns bitte 200 Euro Ukash Code an die Email: security-center@inbox.lt, so bald dieser Code geprüft wurde, erhalten Sie ein Update Programm. Falls Sie Ihre Daten nicht brauchen raten wir Ihnen dringend Ihren Computer zu formatieren um den Virus vollständig zu entfernen. Ukash können Sie an einer beliebigen Tankstelle erwerben und auch in mehreren Internetcafes in Ihrer Nähe.

mfG Ihr Security Team

Taskmanager geht nicht. Abgesichter Modus auch nicht. Fotos Dokumente sind Verschlüsselt.

Ich soll das System mit Malwarebytes Anti Malware scannen. der infizierte Rechner soll nicht ins Internet oder? Also soll Malwarebytes auf eine CD brennen oder auf einen USB Stick ziehen und manuell updaten?

Es gibt noch keine Lösung die Daten wiederzustellen wenn ich das richtig lese in diesem Forum

Vielen Dank in Voraus für euere Hilfe.

Gruß Suele

Hallo
war jetzt schon länger nicht mehr on
gibt es mittlerweile ein programm zur entschüsselung von datein die so verschüsselt sind: dhfjfiehfjsdbfi
danke Gruß Ice

Habe mal ne dumme frage obwohl dumme fragen gibt es ja bekanntlich nicht :zunge:

Ich bin ja auch von dem Windowsverschlüsselungstrojaner der 2 Version befallen....
ist es möglich sich die erste Version des Trojaners zu laden also da wo die datein locked heißen und die dinger so wieder umzubenennen und dann zu entschlüsseln mit den Tools ?

Hallo zusammen,

Also ich bin nun auch ratlos. Habe von einem bekannten ein Rechner bekommen, die genau das selbe bild darstellt wie im ersten post.

Rechner kann ich starten, anmelden dann nach etwa 15-20 sekunden wird der rechner gesperrt, und ich kann nichts machen. Keinerlei abgesicherten modi sind verfügbar - es kommt nur ein bluescreen und startet neu. Win XP repair geht anscheinend auch nicht.

Eigentlich dachte ich ich wäre nicht schlecht in solchen sachen, aber diesesmal komm ich nicht drumherum jemanden zu fragen der sich auskennt.

Wie kann ich überhaupt irgendwelche programme benutzen wenn ich nicht mal in windows reinkomme? Kann ich evtl durch linux eine neue benutzer anlegen?

Ich bin für jede hilfe sehr dankbar.

mfg

Jeremy

@flimbo,
das wäre die Lösung, falls man dann noch Originale für den Schlüssel findet. :applaus:

Nein, mal im Ernst.

Wenn wir mal alle andern Umstände beiseite ließen, die beiden Varianten verschlüsseln unterschiedliche Bereiche einer Datei, so dass selbst eine zufällige Korrektur unmöglich ist.

Gruß Volker

Hallo Jeremy,
Zugriff auf das System bekommst Du beispielsweise mit einer BootCD.
Wenn die dann noch als RettungsCD eines Antivirentool Anbieters kommt, kann man das Problem eventuell gleich mit beheben.

Du kannst auch den obigen Hinweisen folgen und ein Thema an richtiger Stelle erstellen, dann wird Dir hier ganz individuell geholfen.

Egal was Du tust, stelle Dich darauf ein, dass Dein Bekannter seine Daten nicht mehr nutzen kann. Sage ihm das vorher, nicht dass Du dann dafür verantwortlich gemacht wirst.

Gruß Volker

Also Orginale datein hätte ich ja das wäre nicht das Problem...

Also, ich habe mit TRK und ClamAV versucht irgendwas zu machen, Clam hat allerdings nichts gefunden, sollte ich über linux und ein andere AV versuchen vielleicht?

Sonst habe ich etliche PCWelt CDs, möglicherweise da was drauf?

Danke :daumenhoc

Mit der aktuellen Kaspersky Rescue Disk + Update der Datenbank findet er die Viren und entfernt diese, damit kann man dann wieder Problemlos ins Windows booten.
Die Daten selber sind dann noch locked...

srry bin ganz neu hier und weiß nicht ob damit was anzufangen ist bzw ob ich überhaupt richtig bin... Ich hab noch 2 vorher- nachher Datein von einem Kumpel.(Welcher im Moment ziemlich angepisst ist da seine noch nicht fertige Thesis betroffen ist...) Können solche auch gebraucht werden oder sind nur die versendeten .exe interessant? Wenn ja lass ich euch die Daten gerne zukommen! Ist eine pdf und eine doc Datei jeweils mit gecryptem Gegenstück. Beim öffnen der gecrypten mit Notepad ist mir aufgefallen dass auch noch Textteile unverschlüsselt geblieben sind(falls das iwas hilft/Aussagt^^) Die eine Datei folgenden Namen: rXtOoDVLeUQjpvyTsgLGr .
Also bitte bescheid geben falls ich die zuschicken soll! Will nur helfen ;-)

Oder gibts auch hierfür schon ne möglichkeit die daten zu enschlüsseln? mit Decrypthelper, Ransom File Unlocker und Scareuncrypter ging nichts...

Lade grad die ISO und USB recorder - danke, das werde ich gleich ausprobieren


Die verschlüsselte dateien dann mit die anderen tools mal versuchen, ja?

Ja, mit den anderen Tools habe ich schon versucht die locked Daten zu "entschlüsseln" klappt leider nicht.

Hallo habe das selbe Problem mit dem Trojaner. Habe ihn mit malware beseitigt jedoch sind alle Bilder Text u.s.w verschlüsselt und zwar einfach irgendein Buchstaben Salat. Gibt es eine möglichkeit die Bilder zu retten? Bitte um Hilfe

Hi - habe wie so viele andere auch diesen Sch.. Anhang aufgemacht und im selben Moment gecheckt ,was ich da grad erwischt hab - direkt alle Stecker raus.Ja ich weiß -ist nicht die Ideallösung hat mich aber vorm kompletten Datenverlust gerettet.Bin danach mit der Windows-Cd hochgefahren und hab den letzten Systemwiederherstellungspunkt gewählt.damit hab ich zwar wieder Zugriff auf den Rechner bekommen und konnte diesen Mist beseitigen (hoffentlich) aber es hat doch einige Dateien erwischt. Ein umbennen oder Dateiendung anhängen funktioniert nicht.ich hab mal alle betreffenden Dateien gesichert,traue mich aber nicht den Rechner neu zu installieren-nicht das der Speicherort wichtig für ne erfolgreiche entschlüsselung wichtig ist.Also harre ich der Dinge und sag den Admins hier schon mal schönen Dank,falls sie es hinkriegen :killpc:

Wie aktuell sind die Dinger?
Nimm die OTLnet, wie von uns beschrieben und laß Dir individuell helfen.
Du kannst Dir auch eine aktuelle RettungsCD von Kaspersky oder Avira runterladen und brennen.
Die starten den Rechner mit einem Minilinux mit Netzzugang.
Lasse dann den Scanner aktualisieren und bereinige das System.

Volker

also gibt es bis jetzt noch nichts um die dateien wiederherzustellen oder???????

@ice2000
denke es gibt momentan nur eine möglichkeit bei look dateinamen die wiederherzustellen.

@imi811

Bei Deiner Verschlüsselungsvariante kann Dir momentan nur das helfen:

http://www.trojaner-board.de/115551-...e-version.html

Gruß Volker


PS: @all
Aber ich möchte Euch alle doch nochmals darum bitten, dass Ihr est mal hier etwas lest, bevor Ihr das erste mal postet.
Eure Fragen sind bereits hundertfach beantwortet.
Könnt Ihr Euch vorstellen dass das nervt, Schallplatte zu sein und als Endlosschleife zu laufen?

Hallo zusammen...

Auch ich bei mir sind große Datenmengen von dieser neuen Version verschlüsselt worden. Da ich XP drauf hab, geht nichts mit Schattenkopien, also wart ich schon einige Tage und lese hier mit....

Nun hab ich mir mal meine betroffenen Ordner näher angeschaut und 2 Dinge sind mir aufgefallen:
zum einen sind thumbnaildateien nicht verschlüsselt worden, vielleicht weil sie vom System versteckt wurden?

Ich habe ich eine exe Datei gefunden, die wohl mit dem Virus in Verbindung steht. Deren Name lautet stopgpcode2.exe. Ich vermute, dass in dem Ordner gerade verschlüsselt wurde, als ich den Reset Knopf drückte. Denn der Unterordner ist nicht mehr verschlüsselt. Hab die Datei mit KAV und Malware gescannt, aber da wurde nichts gefunden...Weiß vielleicht jemand was es damit auf sich hat?

Außerdem finde ich es merkwürdig, dass in der Mail ein Benutzername verwendet wird, den ich schon Jahre nicht mehr benutze.

Na ja... das sind meine Beobachtungen. Falls Interesse an dieser komischen exe besteht, kann ich die gerne zuschicken.

Und dann noch ein dickes Lob an alle die sich hier so engagieren. :applaus: :applaus: :applaus:

Danke @ Undertaker.
Leider ist das finde ich alles etwas kompliziert erklärt gibt es ne anleitung für win 7 64 bit

Ich habe heute folgende Email erhalten und mein Windows wurde sofort runtergefahren kann nur im abgesichterten Modus online gehen und bin was Computer Technik anbelangt absoluter Laie! Ich danke für die Hilfe.

PS Ich hatte bereits an Markus eine Email gesendet ! Lieben Dank im voraus!


Das ist die erhaltene Email

ich hab bei flirt fever angerufen, die haben dort den Server auch befallen.

Sehr geehrter Kunde Hundemama73,

wir mussten leider feststellen, dass unsere Rechnung ID: 9702382913 für den Nutzer Hundemama73 immer noch nicht ausgeglichen wurde. Dies bedeutet einen einseitigen Vertragsbruch von Ihnen. Nach geltendem Recht könnten wir die offenen Rechnungen bereits jetzt durch Gericht anmelden. Wir geben Ihnen jedoch noch eine letzte Chance, Ihre Verpflichtung zu erfüllen, indem Sie sofort die ausstehende Summe in Größe von 587.00 EURO an uns überweisen.

Die Bestelleinzelheiten und die Rechnung können Sie in beigefügter Datei ansehen.

Bitte beachten Sie, die Folgen des Verzugs bestehen vor allem in der Regresspflicht des Schuldners sowie in einer verschärften Haftung.


Flirt Fever Ltd mit Sitz in Hamburg

Gericht: München
Geschäftsleiter: Helmut Schwarz, Karin Gruber

Nun, so kompliziert ist das garnicht.
Gehe ins Internet.
Suche nach Shadow Explore.
Lade das Progamm runter und installiere es.

Wenn bei Deinem Rechner die Option "Schattenkopien anlegen" aktiv ist, was bei einer Standardinstallation für das Laufwerk C: so sein sollte, dann werden Dir alle verfügbaren Dateikopien mit Datum angezeigt.
Nun kannst Du einen Datenstand, der vor der Infektion angelegt wurde, wiederherstellen.
Das hat hier schon vielen geholfen.
Wenn die Oprion bei Dir nicht aktiv sein sollte, dann war's leider nix.
Einen Versuch ist es allemal wert.

Volker

Hallo paschi73,

Ohne dass Du irgendwo draufgeklickt hast?
Das glaube ich nicht, Du hast doch die Datei im Ahang geöffnet und wiolltest sehen was drin steht.

Wenn Du Laie bist, dann klicke oben auf den Link Thema erstellen unter Hinweise.

Folge den Aweisungen und erstelle Dein individuelles Hilfethema.
Ein Helfer wird Dich dann Schritt für Schritt zu einem sauberen Rechner verhelfen.

Hier ist ein notwendiger Dialog mit Informationsaustausch nicht möglich da es das Diskussionsforum ist.

Gruß Volker

Moin Moin,

ich habe gerade auf 2 Rechnern von bekannten das gleiche problem. Auch ich würde mir ein wenig PC Kenntniss zugestehen. Allerdings weiß ich nicht mehr so richtig weiter. Booten von CD geht nicht..Booten von USB..Abgesicherter Modus geht nicht...Der einzige mini Zugriff den ich habe ist wenn ich kurz auf die Austaste drücke und er den PC herunterfahren will. dann komme ich für 2 Sekunden in das Ausführen fenster. Könnte ich hier das Herunterfahren stoppen?


PS: Boot Sequence ist immer entsprechend umgestellt und er lädt auch die CD einen moment schreibt ein paar zeilen der CD und startet dann denoch Windows. Sowohl bei UMBD wie auch bei OTL und bei Knoppix..

LG Lars

@ undertaker danke leider geht das nicht. Habe gemerkt
Das die dsteien keine Endung mehr bei mir haben z.b. jpg.
Habe nun bei ein paar dateien eine Endung hinzugefügt und
Siehe da die Bilder sind wieder vorhanden. Gibt es evtl ein Prof.
womit man die Endung mehrerer Dateien auf einmal ändern
kann?

moin moin oopepe,
sowas hatte ich auch schon mal bei einem Notebook.
Ursache war letztendlich, dass der PC den Rohlingtyp, auf den ich die BootCD gebrannt habe, nicht annehmen wollte.
Ich wollte auch erst an mir zweifeln.
Erst nachdem, probehalber, von einer normale Windows-Installations-CD der Bootvorgang klappte, kam ich auf den Trichter, dass es an der CD liegen könnte.
Ich hatte da noch eine RW-DVD auf die ich dann das Image erneut gebrannt habe und siehe da, der Bootvorgang erfolgte anstandslos.

In die Shutdownsequenz kannst Du zum Zeitpunkt der kurzzeitigen Anzeige des Originaldesktops nicht mehr eingreifen, die Steuerung liegt da allein beim System.

Gruß Volker

@ Markus

Ich habe gerade 2 Verseuchte E-Mails an
virus@trojaner-board.de gesendet.

Beide sind angeblich von FLirt Fever....

LG

Kleene

Und weils so schön war,gleich noch mal eine von meinem anderem Account gesendet....

Ich hoffe du kannst damit etwas anfangen....

Hallo, ich habe auch dieses Teil, der die Dateien in diesen Buchstabensalat verwandelt und bei mir sind alle Dateien (.txt, .pdf, .doc, .rar, .mp3, .jpg, .avi, .mpeg usw.) in der Partition D: befallen. C: habe ich wiederhergestellt, da war auch nix wichtiges drauf.

Ich habe versucht eine E-Mail mit dem Schädling zu schicken, aber die wird nicht versandt.

GMX-Virenschutz sagt:
"Liebes GMX Mitglied,
in einer von Ihnen verschickten E-Mail wurde ein Virus gefunden.
...
Die E-Mail wurde nicht an den Empfänger weitergeleitet."

Jemand 'ne Idee, wie ich die Datei dennoch versenden kann?

An die Fachleute: Viel Erfolg und Danke. Ich hoffe ihr findet was, wie ich diesen Wahnsinn rückgängig machen kann. Das Schlimmste sind die Fotos...oh man...

edit: Ich bin noch blöder, als ich annahm. Ich habe die E-mail versucht mit GMX zu versenden, obwohl sie an die freenet-Adresse kam. Nun ist sie wohl raus.

Bilder erfolgreich recovert.

Filename so oder so ähnlich :-)
"EnojffVfysnEEo"
ohne Extension ohne locked also einfach nur merkwürdige Buchstabensuppe als Dateiname.

So nach ein paar Tagen hin und her probiererei habe ich folgendes Tool gefunden welches mir die Bilder zumindest mal ALLE wieder herstellen konnte.
Es hat eine Batchfunktionalität mit Subfolder Scan so das man im Prinzip nur die Platte auswählt und auf Feuer frei klickt.
Es ist kein umbenennen notwendig (also jpg Extension anhängen) noch benötigt das Tool eine Vergleichsdatei (Orginaldatei).


Warum dieses Tool so hervorragend damit klar kommt ist mir ein Rätsel welches vielleicht von den Profis hier im Board erklärt werden könnte (oder von meiner Verschwörungstheorie weiter unten ;-).

ABER BITTE!!!!Probiert es erst mit der Demoversion aus!!!!
Ich habe die Proversion ausprobiert.
Diese hinterläst ein Wasserzeichen.
Dateinamen können meist aber nicht wieder hergestellt werden.
(Ich denke das liegt an zerstörten Exif Informationen im JPEG File)


Workaround für extrem akute und wichtige Dateien. (so wie in meinem Fall für einen Fotografen der 6 Bilder aus einem Fotoshooting brauchte ;-)
Die Proversion hat auch einen Editor dabei der das Bild in voller Auflösung ohne Wasserzeichen darstellt.
Daraus wiederum könnte man einen oder mehrer (je nach Auflösung passt ja nicht alles auf den Monitor) Screenshots (also ohne Wasserzeichen) erstellen und im Photoshop wieder zusammenbasteln und dann abspeichern.

Ich habe mir die Version noch nicht gekauft weil mir dazu im Moment einfach die Kohle fehlt.

hxxp://www.hketech.com/JPEG-recovery/download.php

@ll Trojaner-Board-Kracks
Vielen tausend dank für all die Mühe die Ihr euch macht!!!


P.S. Dies soll keine Werbung für das Produkt sein!!!
(Ich hab da eher so eine kleine Verschwörungstheorie im Hinterkopf die mit dem Virus und dem Softwarehersteller zusammenhängt ;-)

P.S.S. Bitte kurzes Feedback geben wem das Tool noch hilft so das die Admins hier das Tool mit in ihre Liste aufnehmen können.

THX

Auch die Basic Version setzt ein Wasserzeichen. Für 40€ mit Einzelplatzlizenz würde ich zumindest erwarten, dass auch der Dateiname wieder hergestellt wird.

http://www.abload.de/img/unbenanntxzko8.png

Danke RoDoDo fürs testen.

Ja das mit dem Dateinamen ist schade aber das ist jemandem der 5 Jahre an Fotos verloren hat (Hochzeit, Geburt des Kindes, etc.) vermutlich ziemlich egal.

Ich wollte hier nur meine Erfahrungen weitergeben.
Desweiteren kann man nun davon ausgehen das die Dateien nicht wirklich verschlüsselt sind sondern einfach nur die Dateien merkwürdig durcheinander gebracht wurden.
Was wiederum eine wichtige Erkenntnis für die Kracks hier vom Board sein könnte.

Mit 7-zip packen. Die scheint gmx nicht entpacken zu können.
Steht aber auch so in der Anleitung.

Gruß
Joh

Du irrst, die ersten 3KB sind verschlüsselt, was aber bei .JPG Dateien nicht so viel ausmacht wie bei .MP3 oder Video-Dateien. Deshalb können einige Fehlerresitentere Bildbearbeitungsprogramme auch die Verschlüsselten Dateien mit einfach angehängter .JPG Endung bewerkstelligen.
Gruß DevilTH

Funktioniert aber mit den wenigsten Versionen des Trojaners!

Hallo zusammen,

da sich dieser Trojaner ja nicht nur über E-Mail Attachments verbreitet, sondern auch über entsprechend präparierte Webseiten, stelle ich gerade eine Liste zusammen, die solche Seiten enthält.

Von daher würde ich mich freuen, wenn ihr mir per PN den oder die Links jeweils zuschicken könntet. Innerhalb einer vom normalen Netzwerk entkoppelten virtuellen Maschine überprüfe ich dann den aktuellen Stand der Seite (ob sie mittlerweile noch eine Gefahr darstellt oder nicht) und füge den entsprechenden Link zur Liste hinzu.

Danke im voraus für alle, die dabei mithelfen.

Gruß,
Highend

Auch ich habe jetzt diesen Trojander Hab ihn mit Malewarebytes schon entfernt aber meine Persönlichen Daten, Bilder, Outlook Kontakte, Office Dokumente sind alle verschlüsselt :headbang:
Wie kann ich die verschlüsselung wieder rückgängig machen???
Hab schon einiges gelesen und probiert aber funktioniert leider nichts!

Ps: bin leider ein totaler Pc anfänger.

habe einen Screenshot von den verschlüsselten Dateien gemacht der ist im anhang.

Danke schonmal.

Mehr Angaben wie Betriebssystem, welche Version des Trojaners etc. wären hilfreich!
Bei Windows7 und Vista ist in vielen Fällen der ShadowExplorer hilfreich!
Gruß DevilTH

Das Einzige, was er herstellt sind 640x480 große Thumbnails und auch nur, wenn man den entsprechenden Haken bei "Extract Thumbnails" setzt.

Tut man das nicht, stellt er gar nichts wieder her.

Das stimmt nicht, ich habe das Tool auch getestet und die Auflösung war über 1500 x zzzz.
Es reduziert die Auflösung zwar auf 30%, also aus einem 3MB Original wird ein 1MB Recover, aber das kann auch an der Demo liegen.

Wenn Du 640 x zzz erhältst, dann war das Original wahrscheinlich nicht größer als 2000 x zzzz.

Gruß Undertaker

Ich habe jetzt mal vorher alle Bilder per rename Befehl in der Console in jpgs umbenannt. Siehe da... dann funktionierts.

Also... man muss wohl vorher die Bilder trotzdem in JPGs umbenennen.

Das ist wohl logisch.
Ohne passende Extension scannt das Teil meine Ordner jedenfalls auch erfolglos.

Naja, ich hatte sie vorher nicht umbenannt und er hat immerhin Objekte nach dem Scannen gefunden aus denen er dann (immerhin) Thumbnails extrahiert hat.

Hat diese Repair Geschichte mal jemand mit anderen Dateitypen und Programmen ausprobiert?

Sprich mal eine PDF oder DOC durch so ein Repair Programm gejagt?


PST Dateien waren ja bei der locked-Variante problemlos mit Scanpst wiederherstellbar...

Wie das bei der neuen Variante des Virus aussieht, weiß ich leider nicht....

Die Dateigröße verändert sich vermutlich durch das entfernen der EXIF Informationen aus der Datei. Ich konnte kein downsizing der eigentlich Auflösung erkennen.

Auch die FAQ sagt das kein re-compression stattfindet.

Q. Will JPEG Recovery modify my original data in the photo or picture?
A. JPEG Recovery will not modify any data in your photo or picture. JPEG Recovery also will not perform any compression nor re-compression to your picture.

Thus, all data in your original photo or picture (for example dimension, color, quality, precision, quantization, progressive or not) will be identical to the original one. In some occasions we may remove the Exif/IPTC data, however, this will not affect the quality of your original photo or picture.

No re-compression is important because JPEG is a "lossy" compression and the picture will lose some quality each time it is re-compressed (for example, open it in Paint, make some changes and save it).

Aber als Nachtrag hier noch mein offizielles "mea culpa" für die Aussage das die Dateien nicht umbenannt werden müssen. Ich hatte vergessen das ich bereits ein Batch über die Dateien laufen lies um Sie umzubenennen.

Sorry dafür.

@Duke,
danke für die Aufklärung.
Ich hätte nie gedacht, dass 60% der Dateigröße von Informationen belgt werden, die keine direkten Bildinformationen sind.
Da sieht man mal, was man so alles rumschleppt und was Traffic verursacht, ohne das optische Ergebnis zu verbessern.

Volker

Hallo,

mal eine blöde Frage. Hat jemand eigentlich die 100€ schonmal gezahlt und die Dateien komplett wiederbekommen ?

Grüße
Stephan

hallo @all

habe heute auch so eine mail bekommen ....habe sie auch leider auf gemacht da ich früher da kunde war ...und nu hab ich den scheiss ...wie werde ich das los....brauche dringend hilfe...komme auch nicht mehr an meine dokumente ran da die alle verschlüsselt jetzt sind :(

hilft mir bitte

lg


ps .. sorry wenn es an falsche stelle gepastet hab ...bin neu hier

moin moin derhunne,

Wobei brauchst Du Hilfe?
Dein System scheint ja wieder zu gehen.
Was ist Dir bei den bisher hier, zum Thema Verschlüsselungstrojaner geposteten Möglichkeiten unklar?

Ich gehe mal davon aus, dass Du hier schon etwas gründlicher gelesen hast, oder irre ich mich da?

Bitte etwas konkreter!!!

Volker

Mit dem Programm JPEG Recovery 4 kann man seine bilder zimlich gut wieder herstellen,mit der Vollversion davon sogar ohne wasserzeichen.Hab es mir mal im netz gesucht und getestet , ich würde wen interesse besteht das programm zur verfügung stellen damit man zumindest seine bilder wieder hat . Ich weis ist nicht die feine art so ein tool auf diesem wege zu benutzen aber ich denke bei sonem notfall kann man da doch nen auge zudrücken :-) wen ich darf stell ich auch einnen link für das programm hier rein ( wie gesagt wen ich darf und es keinen ärger gibt )

Nein, darfst Du nicht, ich wette das gibt Ärger.

Volker

Hallo,

das JPG Recovery Pro 5 kann keine meiner verschlüsselten Dateien wiederherstellen.

pDDTaTeepppDDDTTe 104kb
IMG_1497.jpg 104kb (Original, aus Outlook pst extrahiert)

Der Unterschied der Dateien ist nur am Dateianfang festzustellen.
Exakt die ersten 12kb sind verschlüsselt.

Es existieren aber auch komplett verschlüsselte Dateien! Das konnte ich feststellen als ich diese mit dem "notepad.exe" öffnete. Drinnen kann man nach Stringmuster suchen und die verschlüsselte mit der unverschlüsselten Datei vergleich. Exakter ist das selbstverständlich mit einem HEX-Editor, für nicht IT-Pro's aber einfacher mit notepad.

LG
mm350

Versuch mal am Ende des Dateien namens .jpg dranzuhängen und nochmal mit JPEG Recovery dan solte es eigentlich gehen ! Zumindest bei mir mit der 4er version klappt es so !

PS:Wenn du aber keine Vollversion von dem Program hast haut er dir in das Bild ein Wasserzeichen !

Hast Du's mal mit pDDTaTeepppDDDTTe.jpg versucht?

Volker

nein, das .jpg anhängen an die verschlüsselte Datei hilft nicht.
Habe es nun auch mit Jpeg Repair 4 versucht. Geht leider nicht.

Anmerkung: Ich versuche die Reparatur auf einem andren PC, nicht dem verseuchten. Eventuell geht es aber auf der "original"-HDD?

Könnte das jemand verifizieren?

LG
mm350

Hmm , ich will nicht sagen das es daran ligen könte da ich absolut kein Fachman bin in der sache , aber ich mach es auf der Original HDD wo die veränderten JPG´s sind und wie gesagt bei mir klappt es nen versuch ist es wert es mal auf der originalen zu versuchen zu verliren haste ja nix ! Ich werd trotzdem mal die bilder auf ne andere schiben mal sehen obs dan immernoch geht !

PS: Klappt trotzdem auch wen ich die dateien auf eine andere HDD copiere !

Moin Moin =)

Bin auch infiziert, hab alles ausprobiert, meine verschlüsselten Daten, Emails und und und zu entschlüsseln, aber es klappt nicht.... Hab auch alle Schritte hier befolgt und so...

Auch Schlüssel erstellen klappt bei mir nicht, da die Dateien wohl nie zusammenpassen.... habs mit Windows-Original-Beispielbildern und Bildern von mir versucht.... jeweils verschlüsselt und Orig.

Also noch abwarten bis es überholtere Versionen der Reparatur-Softwares gibt -.-

Mir tun auch schon die Augen vom ganzen lesen hier weh^^ Bei so viel kommt man ja ganz durcheinander =D Hab auch allerdings noch nix bzgl betroffener Emails gelesen....

Bei einem Reparaturversuch mit Jpeg Repair kommt bei mir kommt immer "Image header corrupt (error 1004)".

@mm350,
sind Deine Bilder alle so klein (104k)?
Vielleicht liegt es daran, dass bei so kleinen Dateien 10% verschlüsselt sind und das selbst für ein tollerantes Tool zuviel ist.
Hast Du größere Bilddateien und kannst damit JPEG Recovery testen?

Falls es für den einen oder anderen von Interesse ist, meine Musik konnte ich wieder herstellen, indem ich einfach an den "Kuddel-Muddel-Namen" der datei das .mp3 angehängt hab. Klappt aber leider bei Bildern, Docs;Videos usw nicht, aber immerhin...


EDIT: Sehr nice! Alle Dateien wieder da, dank ShadowExplorer. Also jedenfalls alle, die ich bis jetzt kontrolliert habe! :)

Hier zum Tool jpeg recovery pro 5, welches von DukeD als Alternative genannt wird.

Bei meinen verschlüsselten Bildern ( Dateinamen ala: rLdrlsnarAsJTVAevof ) funzt es leider nicht. Alle Dateien habe ich mithilfe der freeware "1-4a rename" mit ".jpg" erweitert.
Mit viel Glück bringt recovery ein (1) thumbnail mit 6 KB.

Für mich gilt, wie für viele andere auch --> abwarten, bis die Lösung kommt.

Grüße
Helmut

Hallo Helmut,
wie groß sind denn die Bilder im Urzustand, also verschlüsselt.

Ich habe das Tool mit einem 3MB Bild getestet und es hat mir ein brauchbares Bild mit 1500 x 1200 Pixel recovert.

Gruß Volker

In Anbetracht des grossen Schadens und der Geldforderung, welche diese Malware stellt werde ich das den Beamten des BKA übergeben.
Ich bin IT-Pro und kein Spurensucher. Schliesslich bekommen die dafür bezahlt.
LG
mm350

viel glück dabei, je mehr anzeigen eingehen desto besser, da höhere priorität etc.

Ich finde auch, dass das behördlich verfolgt werden sollte und die Verursacher dafür zur Rechenschaft gezogen werden sollten, sofern man sie aufspüren kann.

Der Schaden ist doch schon beträchtlich, der da angerichtet wird.

@Undertaker: Die verschlüsselten Bilder sind im Urzustand zwischen 800 und 1200 KB groß.
Vielleicht magst mir "deinen" walk through mal posten. Kann ja sein, dass ich irgendwo nen Fehler gemacht habe, wobei es da nicht soviele Möglichkeiten gibt :o/

Hallo an Alle,also ich verfolge schon seit mehreren Tagen dieses Forum und habe mich heute registriet.
Bei mir war es auch so,wie hier schon 1000mal beschrieben. Trojaner eingefangen,mit ESET davongejagd,Dateien verschlüsselt.
Meine Frage ist,ob es eine Möglichkeit gibt, von Dateien das Erstellungsdatum zu ändern,da bei den verschlüsselten Dateien folgendes Datum auftaucht:
13.Februar 1601 9:28:18. Es ist zwar schon 2mal erwähnt worden,aber niemand
ist weiter darauf eingegangen.Desweiteren ist mir aufgefallen,das bei diesen Dateien folgende oder ähnliche Eintragungen vorhanden sind:
Unter Eigenschaften-Sicherheit sieht man unter Gruppen-oder Benutzernamen
sowas wie S-1-5-21-1614895754-1958367476-839522115-1004.Vielleicht könnt
ihr ja was damit anfangen.Ich benutze Win 7 Ultimate 32bit. Das oben erwähnte
betrifft übrigens nur Dateien, deren Namen original geblieben sind.
Gruss Rainer

Ich habe bei meinen "verschlüsselten" Dateien mal mit Notepad nachgesehen, um was es sich handelt. Danach umbenannt und den korrekten Dateityp zugewiesen und siehe da: Ich konnte die Dateien wieder öffnen, egal ob excel, elfo, word, pdf usw.

Bitte versucht das mal und gebt Rückmeldung.

Dann hast du nicht den Trojaner, der verschlüsselt.
Wenn du z.B. eine pdf-Datei mit dem Hex-Editor anschaust, siehst du, wie die beginnt: %PDF-1.4 (je nach Version).
Bei den verschlüsselten Versionen steht nur Datenmüll drin; wenn ich auch nur das erste Byte durch ein Leerzeichen ersetze, ist es keine konforme pdf-Datei mehr.

Ähh, Außerdem: Notepad zeigt (unter XP) bei pdf-Dateien eh nur Datenmüll an; daraus kann man nichtmal den Dateitypen ablesen.

Joh

Hallo,

habe mir ebenfalls den o.g. Trojaner eingefangen. War mir nicht bewusst, dass meine Dateien durch den Trojaner verschlüsselt sind und habe einfach alle wichtigen Dateien (Dokumente und Bilder) im abgesicherten Modus auf einen USB-Stick gezogen und anschließend die Festplatte formatiert.
Nachdem ich die Neuinstallation von Windows 7 abgeschlossen hatte, habe ich den Stick angeschlossen um die Daten wieder auf meinen PC zu ziehen. Erst jetzt bemerkte ich, dass die Dateien (Dokumente) nicht mehr zu öffnen sind. Bilder jedoch schon. Da ich die wichtigsten Dokumente schon vor der Infizierung auf einem anderen Stick gesichert hatte und im wesentlichen nur die Fotos retten möchte ist nun meine Frage: Sind die Daten, die ich auf den Stick gezogen habe alle ,,verseucht'' oder einfach nur nicht mehr zu öffnen? Kann ich mir die Bilder einfach vom Stick ziehen ohne mir weitere Sorgen machen zu müssen? O.g. Programme zeigen mir auch keine schädliche Software an.

Vorab vielen Dank für eure Hilfe!

Hallo,
Das Dateidatum und die Uhrzeit bekommst Du auf der Kommandozeile mit folgendem Befehl geändert:

copy *.* +

Hierzu mußt Du in der Kommandozeile in das Verzeichnis wechseln, in dem sich die entsprechenden Dateien befinden. Mit dem Befehl werden "ALLE" Dateien in dem Verzeichnis mit dem aktuellen Datum und der aktuellen Uhrzeit versehen.

S-1-5-21 ist der eindeutige windowsinterne Schlüssel/Bezeichner... für deinen Benutzer.
Genaueres dazu siehe hier: hxxp://de.wikipedia.org/wiki/Security_Identifier

Stephan

Moin zusammen!

Ich reihe mich ein in die Liste der Betroffenen:

Naja, eher passiv, da ich die Daten von Jemandem retten möchte; selbst blieb ich bisher verschont.

Ich arbeite an einem der mit

Version 1.150.1
Dateien werden verschlüsselt
keine Umbenennung mehr


betroffen ist. Naja, zum Glück keine Namensverschlüsselung, was?

Jedoch kann bis dato keines der Tools erfolgreich entschlüsseln, ich werde heute zumindest für die Bilder die JPEG Recovery Tools testen.

Bis dahin und überhaupt:

Toi toi toi bei der Entwicklung einer Decrypter-Lösung!

Grüße aus MD

Jens

@alle:

So wie es aussieht gibt es was den Verschlüsselungs-Trojaner angeht keine Hoffnung mehr:

Delphi-PRAXiS - Einzelnen Beitrag anzeigen - Verschlüsselungs-Trojaner, Hilfe benötigt

Ich möchte hiermit die Administratoren bitten, das ab jetzt auch offen so zu kommunizieren, da es keinen Sinn macht, hier weiter Hoffnung zu Schüren, ohne dass es Aussicht auf ein Entschlüsselungs-Tool gibt.

Die Analyse von Marcu stimmt mit meinen Annahmen überein und ich denke, eine Zusammenfassung mit Hinweisen zu ShadowCopy und sonstigen Reparaturmaßnahmen sollte als sticky gesetzt werden.

schon sonderbar. Kann es sein, dass es mehrere Versionen dieses Trojaners gibt. Ich hatte ansonsten genau die selben Symptome: Indentischer Sperr-Bildschirm ("Ucash"), denselben Buchstabensalat bei den Dateinamen. Umbenennung fast aller Dokumente unter "Eigene Dokumente" (außer JPG und Videos). Trotzdem kann ich, nachdem ich den korrekten Dateityp identifiziert und wieder zugewiesen habe, die Dateien wieder öffnen. Soll ich mal ein Dateimuster schicken? Leider habe ich die sch... E-Mail nicht mehr. Es war die bekannte "Flirt-Fever"-Mahnung.

Tja wen dem so ist Kann man wohl nix machen :headbang: ca 900 GB an Daten für die tonne :heulen: immerhin konte ich mit JPEG Recovery 95% meiner bilder Wiederherstellen.

An der stelle Möchte ich Meinen Dank an alle ausprechen die es sich zur aufgabe gemacht haben den opfern zu helfen , Macht weiter so Vielleicht findet ihr ja irgendwan doch noch eine lösung !

Gruß Marcel

Ich habe den Tronjaner auf meinem Rechner :headbang:
von der flirt-fever.de email.

Diese habe ich aber gelöscht. Gibt es irgendwie eine Chance meine Daten zu sichern.

:applaus: Sorry, im Intenet surfen bekomme ich hin- aber son Technik schnick schnack ist mir zu hoch :pfeiff:

Daher falls es eine Möglichkeit gibt, bitte auf eine gaanz einfache Art erklären.

Hallo,
habe mir leider auch diesen Müll auf dem Laptop eingefangen......... Habe das auch schon mit der CD probiert von meinem Zweit Rechner aus. Allerdings ohne Erfolg. Der Monitor bleibt schwarz........ Ohne CD fährt er hoch und das Bild kommt wieder........

Wer kann mir da weiter helfen????

Ich verfolge die Beiträge hier nunmehr seit einem Monat, denn ein Kunde von mir ist auch betroffen.
Vielleicht habe ich es übersehen, aber ich glaube, es hat sich hier noch niemand gemeldet, der bezahlt hat und dann seine Daten wieder entschlüsseln konnte. Gibt es solche Fälle überhaupt und wenn ja, wäre einer dieser Rechner nicht sehr wertvoll für die Analyse?
Vielleicht könnte man sogar einen Rechner absichtlich verschlüsseln lassen, zahlen und dann den Entschlüsselungsvorgang beobachten bzw. analysieren.

Ich kann mir nicht vorstellen, dass die Personen, die zahlen nicht wieder ihre Daten zurückbekommen, denn wäre das nicht der Fall ist schnell bekannt, dass zahlen sinnlos ist. Das kann ja nicht im Interesse des Trojanerprogrammierers sein.
Mann müsste nicht einmal wirklich Geld ausgeben, denn man kann die Zahlung, die meist über Paysafe oder ähnlich läuft, sofort wieder sperren lassen. Zumindest Paysafe kennt die Problematik und bietet Hand dazu.

Vielleicht wäre das ein Ansatz, die Entschlüsselung doch noch zu erreichen.

An dieser Stelle einen Dank an alle, die sich viele Stunden bemüht haben!!

Grüsse, LMS

ich denke der entschlüsselt die daten gar nicht. die paysafe daten werden abgefasst und fertig. was hat der programmierer davon die systeme wiederherzustellen. gar nix

habe heute son nen ganz neuen gefangen. bitdefender kennt den noch nicht. hab schon ans board geschickt

greetz

Ich hab dann mal den vermutlich neuesten auf eine abgeschottete virtuelle Maschine losgelassen. Internet Verbindung hat sie, andere Rechner im Netz kann sie nicht erreichen, es wurden sicherheitshalber alle Freigaben auf meinem aktuellen Arbeits-PC (auch die Administrativen) abgeschaltet.

Nach dem Start hat sich die Datei selber gelöscht, aktiv sollte sie also sein.

Allerdings hat bisher keine Verschlüsselung eingesetzt. Weder im Benutzerordner, noch auf einer zusätzlichen Partition, die ich dafür extra eingebunden habe (natürlich auch virtuell). Vorher wurde ein Haufen Bilder in die entsprechenden Orte kopiert, damit er auch "was zu tun hat".

Selbst nach einem Neustart tut sich bisher noch nichts, auch keine Zahlungsaufforderung, o.ä. erscheint.

Der angemeldete Benutzer hat (eingeschränkte) Adminrechte und das Ganze läuft auf einer Win 7 Pro Version mit integriertem SP1 Update. Allerdings ist (absichtlich) kein einziges zusätzliches Windowsupdate eingespielt worden.

Fragt sich nur, worauf er wartet...

Jedes Mal wenn ich die Antimalware durchlaufen lasse, funzt es nicht mehr ... "Keine Rückmeldung" was kann ich jetzt machen?

@LMH,

das Eingabefeld wurde bereits mit Originaldaten gefüttert, eine Entschlüsselung erfolgte nicht.

Dem Trojaner wurde auch schon soweit in den Rectus geschaut, dass man den Kehlkopf sehen konnte.
Die Funktionsweise und die Routinen sind auch bekannt und nachvollzogen.

Aber was rede ich hier, 5 Posts weiter zurück , #576, hat @pncberlin drei Links eingestellt, die tiefgreifende Informationen über die Arbeitsweise des Trojaners geben.

Volker

Vielleicht sind die CC Server down?
Zuerst werden drei Verbindungen zum Server aufgebaut und Daten bezogen, dann geht's erst rund.

Volker

ganz oben steht unter Hinweise: Thema starten


Folge dem Link und erstelle Dein individuelles Hilfethema.
Dann wird sich jemand um Dich kümmern und an die Hand nehmen.

Hier im Diskussionsforum gehen Deine Hilferufe unter, und eine individuelle Hilfestellung ist unmöglich.

Volker

Nope, die CC Server sind noch aktiv. 20 Minuten hat es ungefähr gedauert, dann hat er zugeschlagen. Das Bild setz ich mir jetzt als neuen Desktophintergrund :headbang:

Ich meine nicht das Dateidatum sondern das Erstellungsdatum,das vom Trojaner verändert wurde,und diese S-1-5-21 Zahlenfolge tritt nur bei den Dateien auf,die eben von diesem Trojaner verändert worden sind. Sie haben zwar alle die Originalnamen,sind aber nicht ausführbar.Im Vergleich zu den verschonten Dateien wurde weder das Datum verändert,noch gibt es diese Zahlenfolge.Mir ist noch aufgefallen,das bei den Zahlenfolge noch ein Fragezeichen im dem Bildchen ist,also unbekannter Benutzer.
Ergo,hat der Trojaner auf zwei Arten verschlüsselt.

Hoffendlich passiert das alles in der VM, oder, warum sonst das headbang?

So schnell gebe ich nicht auf,es sind zu viele wertvolle Daten,die ich nicht löschen werde. Bisher hat es immer eine Lösung gegeben,manchmal dauert es halt etwas länger. Die Software-Firmen arbeiten ja auch an diesem Problem.
Also Kopf hoch und Geduld haben:pfeiff:

Sicher, ich bin ja nicht völlig irre^^ Das mit dem Desktophintergrundbild sollte ironisch gemeint sein, von daher die "Akzentuierung" per headbang. Ich wollte damit keine Verwirrung stiften ;)

Nur dass Leute daran arbeiten, heißt ja dummerweise nichts. Wenn die Verschlüsselung per AES (und seien es nur 128Bit) durchgeführt wurde und so sieht es wohl derzeit aus und man an den notwendigen Schlüssel nicht ran kommt, dann kannst du deine Daten auch nicht in 100.000 Jahren entschlüsseln. Wirklich nicht, so leid es mir tut.

Als Referenz zur Berechnungsdauer bei 128 Bit Schlüsseln: hxxp://www.heise.de/security/meldung/Erster-Kratzer-fuer-Kryptoalgorithmus-AES-1324532.html

Einzug 07.06.2012 .com - Trojan-Dropper.Win32.Injector.fbii

Die Datei wird mit den aktuellsten Anti Viren Signaturen erkannt.

Mit freundlichen Grüßen Kaspersky Lab


und bitdefender erkennt den virus von heute morgen jetzt auch als
trojan.generic.kdv. 642884

greetz

Du scheinst ja von den Leuten,die daran arbeiten nicht viel zu halten.Schwarzsehen bringt nix.Ausserdem halte ich die 256 Bit Verschlüsselung für einen Bluff. Der wer so einen Trojaner schreiben kann,hat ganz andere Möglichkeiten Kohle zu machen,z.B. Banken infizieren oder so.
Und ausserdem sind die Leute keine Amateure,die an diesem Problem arbeiten.
Deswegen haben auch die Jungs hier meine Hochachtung.

Dein Dank in Ehren aber lies mal => http://www.delphipraxis.net/1169769-post147.html

Ich will keine falsche Hoffnungen wecken.
Man hat jedoch damals bei der WEP Verschlüsselung für WLan auch gesagt, das sei nicht zu knacken, das würde Jahre dauern. Wir haben es alle geglaubt und es stimmt sicher auch zu der Zeit. Jetzt gibt es jedoch überall Software dafür. Es gibt kaum einen Bereich, wo die Entwicklung so schnell geht wie in der IT und Sachen, die gestern undenkbar waren heute schon selbstverständlich sind. Es ist lediglich eine Frage der Zeit. Nur: Wieviel Zeit? Das wissen wir leider nicht. Es kostet glücklicherweise heute nicht mehr so viel, einfach die betroffenen Festplatten beiseite zu legen und das Sytem mit neue Platten neu aufzusetzen. Der Rest ist warten und hoffen....

Hy ich habe den Trojander auf meinem Laptop und bin gerade via anleitung den trojaner zu entfernen.
habe jetzt aus neugier eine andere emailadresse von mir reingeschaut und siehe da ich habe auch da eine Dubiose email wie ich am laptop hatte.
ich habe die datei nicht geöffnet aber die email mal noch da behalten.
ich kopiere mal den Inhalt:


Sehr geehrte/r Tobias Psst,

Danke für ihren Vertrag mit cosmochic GmbH, nachfolgend finden Sie Ihre Antragsbestätigung.

Deine Auftragsnummer: 537434406097
Bestellung: BareBone 7704859573 6956,19 Euro
Rechnung auf den Namen: Tobias Psst
Zahlungsmethode: Bank-Konto

Lieferadresse und genaue Zahlungsaufforderung finden Sie wegen Securitymassnahmen in beigefügter Datei.

Die Buchung wurde autorisiert und wird innerhalb 2 Tage abgeschrieben.
Rechnungseinzelheiten und Widerruf Hinweise finden Sie im zugefügten Ordner.


Dein Verkaufs-Team

Lange GmbH
Bleckering 86
96706 Potsdam

Telefon: (+49) 757 4385160
(Mo-Fr 11.00 - 20.00 Uhr, Sa 11.00 bis 17.00 Uhr)
Gesellschaftssitz Stuttgart
Steuer-ID: DE610216254
Geschäftsleiter: Leon Frank

(emailende)
Natürlich ist Telefonnummer und SteuerID Nicht richtig, bzw nicht vergeben.
Wollte fragen wie ich jetzt weiter verfahren soll oder ich euch helfen kann und ihr vielleicht die email "verwenden könnt" um besser zu helfen.

Es geht dabei schlicht und ergreifend darum, ob man den Algorithmus angreifen kann. AES in seiner Grundform existiert seit etwa 1997/98. Zum Standard wurde es iirc 2000 erhoben. Das ist mittlerweile 12 Jahre her. Sehr viele erfolgreiche Attacken gab es bisher nicht. Bei AES-256 konnte man die mögliche Schlüssellänge auf 2^99 verkürzen, damit ist es theoretisch sogar unsicherer als die 128 Bit Verschlüsselung (die auch schon reduziert werden konnte). Diese letzte Attacke ist aber auch schon 3 Jahre alt.
2^99 berechnen zu lassen... Ich fürchte deine zur Seite gelegten Festplatten werden diese Zeit nicht überdauern.

Hallo,

bei meiner besseren Hälfte waren "glücklicherweise" nur wichtige JPEGs betroffen. Den Rest konnten wir verkraften bzw. hatten Backups auf dem zweiten Rechner.

Diese konnten wunderbar mit JPEG Recovery wieder hergestellt werden da bei unseren verschlüsselten Versionen nur der Dateianfang verschüsselt war.

Demo-Version gibts kostenlos zum Download um zu testen ob es funktioniert.

Vielleicht schon mal eine Hilfe für die Leute, welche um Ihre Bilder fürchten.

War zwar nicht kostenlos, aber das waren uns die Bilder wert. Nun haben wir wieder ein Backup und die Backup-Platte liegt im Schrank :)

Grüße
Forrest74

Hallo,

ich habe auch das Problem, dass sämtliche Fotos, die ich auf einer externen Festplatte gespeichert habe, verschlüsselt sind, die Dateien heissen jetzt z.B.
ggguQuuQQrNNNNNvvvvJ usw. Für mich stellt das eine mittlere Katastrophe dar, da diese Fotos für mich einen sehr hohen persönlichen Wert haben. Kann mir einer von Euch ein JPEG- Recovery Programm empfehlen, mit dem ich die Daten wieder herstellen kann?
Vorab schonmal vielen Dank für Eure Hilfe!!

Nein, denn dafür gibt es aktuell und wie weiter oben beschrieben auch wahrscheinlich zukünftig kein Entschlüsselungsprogramm.

@George1701

Meine Dateien hatten auch alle solche Namen.. Du kannst dir entweder "JPEG Recovery" runterladen oder mir mal ein Foto zukommen lassen und ich versuche es mal wieder herzustellen.

Meld dich zur Not einfach per PN und wir bequatschen das.

Grüße