C:\\Dokumente und Einstellungen\****\Eigene Dateien\****\Mangelanzeige NG Schornstein.pdf
C:\\Dokumente und Einstellungen\****\Eigene Dateien\****\UqGEVjtrDQpOevTNDQpUy

C:\\Dokumente und Einstellungen\****\Eigene Dateien\****\Mengenermittlung Bodenplatte.acp
C:\\Dokumente und Einstellungen\****\Eigene Dateien\****\DQXOsvEfjsnUEfj

C:\\Dokumente und Einstellungen\****\Eigene Dateien\****\Mengenermittlung Bodenplatte.bak
C:\\Dokumente und Einstellungen\****\Eigene Dateien\****\rlQXOEfjtndqxEf

C:\\Dokumente und Einstellungen\****\Eigene Dateien\****\N.G. Mangelanzeige.pdf
C:\\Dokumente und Einstellungen\****\Eigene Dateien\****\tvarDupgsvaNldqGo

C:\\Dokumente und Einstellungen\****\Eigene Dateien\****\Nachtag HA Tür.pdf
C:\\Dokumente und Einstellungen\****\Eigene Dateien\****\qGEVAtndqxosvTrDu

C:\\Dokumente und Einstellungen\****\Eigene Dateien\****\Nordosten.BAK
C:\\Dokumente und Einstellungen\****\Eigene Dateien\****\dqxofjtLUQpOeJTNDu

C:\\Dokumente und Einstellungen\****\Eigene Dateien\****\Nordosten.PLA
C:\\Dokumente und Einstellungen\****\Eigene Dateien\****\yxofLUqxEVgeJaNDuX

C:\\Dokumente und Einstellungen\****\Eigene Dateien\****\Nordosten_autosave.BAK
C:\\Dokumente und Einstellungen\****\Eigene Dateien\****\OevTrlsnUqGEtnd

C:\\Dokumente und Einstellungen\****\Eigene Dateien\****\Nordosten_autosave.PLA
C:\\Dokumente und Einstellungen\****\Eigene Dateien\****\TNDupOaNluXgyxofjt

C:\\Dokumente und Einstellungen\****\Eigene Dateien\****\NT Grundstückszufahrt.pdf
C:\\Dokumente und Einstellungen\****\Eigene Dateien\****\evaNltndyxofjt

C:\\Dokumente und Einstellungen\****\Eigene Dateien\****\Plan Aussparungen.acp
C:\\Dokumente und Einstellungen\****\Eigene Dateien\****\TNlQXOTrlupgyxE

C:\\Dokumente und Einstellungen\****\Eigene Dateien\****\Prüfauftrag Meyer.pdf
C:\\Dokumente und Einstellungen\****\Eigene Dateien\****\AsLUyGEVjsnUQXgev

so sieht die Txt-Datei dann aus. Somit kann man zumindest schon die Namen rekonstruieren.

Gruß Peter

Moin auch ich habe so ne mail bekommen und passe schon immer auf wenn solche uminösen Mails ein anhang haben wenn ich alle mails die ich von verschiedenen firmen denen ich angeblich geld schulde wäre das ein betrag von gut und gerne 10k Euro den ich allen firmen angeblich schulde da merkt man diese trojaner sind nur noch schlimm geworden unbekannte wollen sich an unschuldige bereichern

solche leute die tojaner per mail verschicken gehören in einen sack gesteckt und :aufsmaul: man trifft nie den falschen :lach:

gibts auch ne lösung für dummis.....mein gott ich hab alles versucht aber nichts klappt
kenn mich da zwinig aus und mach glaub alles nur noch schlimmer

@DJ_Paulchen
solche dubiosen mails immer an uns weiterleiten bitte

Auch an dich..
Es steht alles oben ON TOP über dem Thread was du machen kannst..
Wenn nix klappt, kannst nur abwarten und Tee trinken ob jemals nochmals ne Lösungen kommen wird...

Hi zusammen,
haben hier einen Kunden mit dem gleichen Problem, also den verschlüsselten Dateien ohne locked-.
Wir haben den Rechner jetzt bereits komplett neu installiert, natürlich nicht ohne vorher eine Kopie der verschlüsselten Daten zu ziehen. Der Kunde kann nun erstmal wieder auf seinem PC arbeiten.
Allerdings hat ihm das Virus zusätzlich zum Buhl-Kaufmann (auf D:!!!) auch die entsprechenden Kaufmann-Sicherungen verschlüsselt. Sicherungen auf einen USB-Stick oder ähnlichem hat er (natürlich) nicht gemacht...
Da wir seinerzeit jede Menge Anpassungen an diesem System für ihn vorgenommen hatten (Druckformulare, Datanorm-Importe mit Strukturanpassungen usw.) wäre es schon toll, wenn wir irgendwann diese ein, zwei Sicherungsdateien wenigstens wieder entschlüsseln könnten.
Das hat sicherlich ein, zwei Monate Zeit aber es würde uns halt helfen, wenn es klappte.

Die 8 Entschlüsselungsprogramme haben nicht gegriffen, Volumenschattenkopien sind wohl leider keine vorhanden.

Ich könnte Euch, wenn Ihr möchtet, eine saubere Datei und deren verschlüsseltes Gegenstück schicken.

Denkt Ihr da geht noch was?

Danke Euch (und Riesen-Applaus für Eure Hammer-Arbeit!!!)
Sascha

da das ganze IMHO gezippt wird, sollten sich die Sicherungen wiederherstellen lassen. Ein paar Dateien Verlust, aber mit Glück unwichtige.

Gruß
Joh

Du meinst die Datei (verschlüsselt) einfach entzippen?
Meine Frage war eigentlich auf eine funktionierende Version eines Decrypters für die neuen Varianten ausgerichtet, so dass ich die entsprechenden Dateien wieder entschlüsseln kann, aber wenn das auch anders geht, dann gerne.
Die fraglichen DaSi-Dateien sind in dem Fall *.BPS Dateien.


Danke
Sascha

wenn du die fghDSsmgddryagvDD - Dateinamen hast, wird ein entschlüsseln nicht funktionieren.

Steht das nicht alles in den obigen Hinweisen? :pfeiff:

jaa, aber die liest ja scheinbar keiner.
Oder andersrum, man liest es und probiert trotzdem den rettenden Strohhalm.

Außerdem hat tafkaz noch nicht gesagt, welchen Trojaner er drauf hat.

aber er schrieb:
daher mein nachhaken

Hallo Sascha,

Das verstehe ich nicht ganz, was heißt "wohl"?
Entweder Ihr habt nach Schattenkopien gesehen oder nicht und da weiß man mit Sicherheit, ob welche da sind oder nicht.
Das sieht so aus, als hättet Ihr den Rechner erst platt gemacht und nehmt an, dass keine Shadows da waren.
Wenn dem so ist, dann war das ein grober Fehler.

Wenn Du da auf einnen Decrypter hoffst, eher nein.

Einfach entzippen wird wohl nix.
Es kommt halt darauf an, wie die Daten komprimiert sind.
Wenn, dann helfen möglicherweise nur Reparaturtools für gepackte Dateien.

Was sagt denn der Hersteller, ich glaube SAGE, dazu?
Vielleicht sehen die eine Möglichkeit der Wiederherstellung von BPS-Dateien.

Einen Decrypter wirst Du mit an Sicherheit grenzender Wahrscheinlichkeit zu Lebzeiten nicht mehr sehen.
Da Du wahrscheinlich mit der Systempartition auch die *.$0x-Dateien gekillt hast, wird die Entschlüsselung nahezu unmöglich.

Volker

Schon klar,
wir haben natürlich VORHER nachgesehen, ob da Schattenkopien da waren.
UND wir haben für den Ernstfall auch noch ein Festplatten-Image gezogen, wir könnten also auch jederzeit wieder zurück...

Also:
Das "wohl" nehme ich hiermit zurück, es waren keine Schattenkopien zu sehen.
Welche Variante ich habe, dachte ich mit gesagt zu haben.
Ich weiss allerdings nicht genau, welche Varianten-Version das ist. Eben die mit den DsnnssJnfjApVOAXpO Dateien.

Ich habe den Virus (inkl. Mail) hier, eine saubere Datei und das verschlüsselte Gegenstück und bin bereit, wie auch immer zu helfen.

Und ich hab mich nicht wirklich an einen rettenden Strohhalm gehangen mit meiner Frage und nicht genau gelesen, was oben steht, sondern wollte eigentlich nur erfahren, ob man mit einem Decrypter noch rechnen kann.

Die Idee mit der Herstellerfirma ist nicht verkehrt, da könnte man mal nachhaken!

Wie gesagt...wenn ich helfen kann, gerne!

Danke
Sascha

OK, sind also doch noch ein paar Fachleute unterwegs. :daumenhoc
Dein Posting war da etwas irreführend.

Den Dropper schicke bitte an @markusg, der Link steht in meiner Signatur.
Das Dateipaar hilft wenig, da jede Datei ihren eigenen Schlüssel besitzt.
Das Verschlüsselungsprozedre und wo die Verknüpfungen zwischen Originaldatei, verschlüsselter Datei und Schlüssel zu finden sind, ist bekannt, nämlich in der *.$02, zu finden im Temp-Verzeichnis des Benutzers.
Allein der Schlüssel für diese Datei befindet sich nicht auf dem Rechner, sondern auf irgend einem C&C Server, wenn er überhaupt gespeichert wird.

Volker

Ok prima! :-D
Dann schick ich das gleich mal raus, wenn ich ein paar Minuten hab.
Sieht also nicht so aus, also ob man da irgendwann eine Datei entschlüsseln können wird, was?

Sch*****...

Nunja...weiss ich Bescheid.

Danke
Sascha