|
es hieß ja ein teil des schlüssels sei wieder auf einen server gewandert und ohne dem geht nix. Weiters hieß es, jede datei sei extra verschlüsselt. Dumme Frage aber: Hat schon mal wer dran gedacht, dass der Buchstabensalat einer jeden Datei der "fehlene"Teil ist? Is nur so ein Gedanke, vielleicht denken alle zu kompliziert;-) |
Hallo, habe heute den zweiten Angriff in dieser Woche bekommen: Verehrte(r) Philipp, Danke für Ihren Auftrag bei mygall.de, nachfolgend finden Sie Ihre Antragsbestätigung. Deine Auftragsnummer: 007873688351 Bestellung: CompuCase 0014607131 6260,74 Euro Rechnung auf den Namen: Philipp Zahlungsmethode: Visa Adresse und detaillierte Vertragseinzeilheiten finden Sie zwecks Vorsichtsgründen im Anhang. Die Zahlung wurde autorisiert und wird innerhalb 2 Tage abgebucht. Artikeleinzelheiten und Stornierung Mitteilung finden Sie im zugefügten Ordner. Ihr Kundenberater Graf Ltd. Culinstrasse 93 29664 Hannover Telefon: (+49) 333 8015768 (Mo-Fr 7.00 - 16.00 Uhr, Sa 10.00 bis 15.00 Uhr) Gesellschaftssitz Amäneburg Steuer-Id: De959919805 Geschäftsleiter: Dominic Hoffmann |
Zitat:
Fakt ist: Jeder weiß eigentlich man muss wichtige Daten extern sichern Fakt ist aber auch: jeder meint ein Computer ist so einfach handzuhaben wie ein Toaster, eine Mikrowelle oder Backofen, wer macht da noch Backups bei so unbequemen Größen von internen 2TB Platten?? |
Hi, das wiederherstellen der Bilder funktioniert jetzt bei mir optimal. ich habe nur noch ein problem. in ordner Bilder sollten unterordner sein mit bildern drin. da sind aber nur noch verschlüsselte daten. kann ich die ordner irgendwie wieder so hinbiegen das die wieder aufgehen? |
falscher thread, poste im reparatuer-Thread nebenan |
das ist doch der thread für den Verschlüsselungstrojaner..... |
Zitat:
|
Hallo einmal wieder, die Untersuchung der HDD mit dem forensischen Programm war mehr oder weniger erfolgreich. Es wurden alle *.doc Dateien in ein Verzeichnis extrahiert. Ich habe dann mit einem Skript einen Grössenvergleich mit den originalen, verschlüsselten gemacht und die Kandidaten, die in Frage kommen in ein Unterverzeichnis des Ursprungsverzeichnisses kopiert. Ebenfalls habe ich ein grep auf Schlagwörter, wie Namen etc. gemacht, und diese dann ebefalls in ein Verzeichnis kopiert. Es sind definitv Dateien dabei, die verschlüsselt sind/waren. Also ich konnte nun einen Großteil der Daten wieder herstellen. Wie im anderen Beitrag erwähnt, habe ich es mit DOCs gemacht.:taenzer: EDIT: Die Dateien sehen nach der Wiederherstellung wie folgt aus: 16768530.doc Gruß Keks5 Zitat:
|
vor 2 tagenb hatte meine bekannte diesen virus draufgehabt hab windows 7cd rein gelegt und auf system wiederherstellung gegangen danach normal aufgefahren und anschliessend virenscan durch geführt trojana gefunden und vernichtet und alle undifinierbare code gelöscht wie uudddeemmssnn der rechner schnurt wieder wie ne 1 troj/isys.8501. heist der trojanar die daten stehen in appdatei ganz unten. Ps soll nicht heißen das es bei jeden so klappt |
Hola Gestern hats mich nun auch erwischt... Mail hab ich leider gelöscht, der Inhalt war aber halbwegs identisch wie bei allen anderen, bei mir handelte es sich um eine Bestellung auf trendshop.de bzw .com! Rechnung im Anhang geöffnet, nach ca 2 Minuten wurde der PC autom. runtergefahren. Nach dem Neustart erschien dann das Fenster wie auf Seite 1 Beschrieben. Selbst neu gestartet und im abgesicherten Modus hochgefahren, alle Datein die auf dem Desk neu waren gelöscht und nochmal neu gestartet. Schien alles in Ordnung, 2-3 Scanner drüber laufen lassen und bereinigt war der PC, hoffe ich jeden Falls :) Ein paar Verknüpfungen auf dem Desk wurden unbrauchbar, Alle Bilder,Dokumente,Videos UND installierte Spiele wurden verschlüsselt (3 Festplatten) Weder ein Backup noch die Shadogeschichte sind bei aktiviert, seit 10 Jahren PC Besitzer und noch nie gebraucht, Spams lass ich normalerweise auch immer geschlossen...naja einmal ist...^^ Ich hatte auf dem Handy noch ein Bild deren Quelle ich auf dem PC kannte, wenn ich das Bild auf dem PC nun umbennene, also wieder in den Orginalnamen, dann wird das Bild als Vorschau angezeigt, das wars aber auch schon, öffnen nicht möglich! Orginal: IMAG0313(jpg) Verschlüsselt: pNxuVUadTXTpjg Alle Programme die angeboten werden können mit diesem Schlüssel nix anfangen... Blöde Frage, statt nun für die verschiedenen Dateiarten entschlüsselungen zu schreiben, wäre es nicht einfacher den Virus umzuschreiben? :) Oder man hofft darauf das Matthias den DeCryptHelper auf die neue Verschlüsselung patchen kann :) (Schlüssel konnte nicht bestimmt werden) Ich belasse mein PC wie er ist, nur ein Spiel wird neu installiert, wenn ich was neues hab, sag ich bescheid, andernfalls freu ich mich von euch zu hören! |
@Uni87, ich würde weder was installieren noch deinstallieren und die Daten so lassen, wie sie sind. Neue HDD rein, und fertig. Es sei denn es sind unnütze Dokumente etc. Es werden sonst Bereiche im Filesystem überschrieben, wo evtl. nocht die Urdokumente vorhanden sind. Gruß Keks5 |
Hab ich mir auch eben gedacht ;) Ich werd einfach alles so lassen und hoffen, das man bald nen entsprechenden Decrypter dazu raushaut! Ne neue HDD rein weil? Also ich hab 3 (1. System, 2. Spiele, 3. Datein) Da das System ja soweit läuft wollt ich eigentlich nix neu aufsetzen, erst wenns ne Lösung zum entschlüsseln gibt, so dringend brauch ich die verschlüsselten Datein zum Glück nicht, alles wichtige landet eh auf CDs :) |
Zitat:
Das setzt natürlich voraus, dass man vor dem Post etwas liest, dann hättest Du Dir die Arbeit mit den Schlüsseln sparen können. Zitat:
Zum Rest folgende Fragen: Was weißt Du vom Virus und seiner Arbeitsweise? Was sind konkret Deine Ansatzpunkte? Oben stehtwas, fängt mit Diskussionsforum an. Volker Volker |
Zitat:
Daraufhin die angebotenen Programme ausprobiert, ohne Erfolg, was darauf schließen lässt, wie bei anderen auch, das es sich um eine neue Verschlüssellungvariante handelt... Zum Thema Virus selbst... Ich kenn mich nicht wirklich aus, aber erstellt werden diese Dinger auch nur von Menschen Hand... Ich kann mir gut vorstellen das es genügend Helle Köpfe gibt, die diesen Virus "lesen" können bzw so modifizieren können, das er genau das selbe tut, halt nur umgekehrt... Das wird doch tagtäglich so gemacht, User senden Viren an XY, diese lesen ihn aus und entwickeln nen Gegenvirus bzw wie in meinem Fall benötigt, DecrypterProgramme... Oder versteh ich deine Aussagen falsch? |
Zitat:
Wie sagt man so schön: Lesen bildet! (Allerdings auch nur dann, wenn man es auch wirklich tut, und nicht nur vorgibt, es getan zu haben.) |
Zitat:
das es sich bei meinem Virus um den neuen handelt??? Hätte doch noch genauso gut einer der alten Varianten sein können... Ich habe weder um Hilfe noch sonst was gebeten, wollte mein Geschehen einfach nur Teilen und da ich ein wohl Aktuelles Virenproblem geschildert habe, werden die neuen Leser/Betroffenen nun besser Bescheid wissen, hat doch auch was :zunge: |
Hallo zusammen, ich muß auch kurz was zum Thema beitragen... Ich habe gestern morgen auch diese dämliche Email von Flirt Fever bekommen und daraufhin unüberlegter Weise den Anhang entpackt. Nachdem ich dann hier gestern den ganzen Tag mit Beiträgen lesen verbracht habe, habe ich heute morgen im abgesicherten Modus den Malwarebytes Anti-Malware drüberlaufen lassen und zwei betroffene in die Quarantäne geschickt. Danach ebenfalls im abgesicherten Zustand Avira Anti Vir und Sybot Search and Destroy drüber und neu gestartet. Alles noch da, nix verschlüsselt.. ob das reicht? |
@ uni87 Du hast nichts Neues geschildert. Dieser Thread basiert seit über 3 Wochen auf dem Trojaner, der die Dateien in diesen wirren Buchstabensalat verwandelt und in diesem Thread steht mehrfach (auch verlinkt), dass es kein Tool gibt, um das rückgängig machen zu können und wahrscheinlich auch nie geben wird. Wenn du also auch diesen Buchstabensalat hast, dann kannst du davon ausgehen, dass dich ebenfalls diese Variante erwischt hat, dann liest man etwas weiter und stellt schnell fest, dass die vorhandenen Tools nichts bewirken können. Das hast du offensichtlich nicht getan, willst uns hier aber jetzt weismachen, du hättest etwas Aktuelles entdeckt (lol). |
Zitat:
Du schreibst selbst, wie Deine verhunzten dateien aussehen. Orginal: IMAG0313(jpg) Verschlüsselt: pNxuVUadTXTpjg Sieht das etwas so aus? locked-IMAGE0313.jpg.hzrf Es steht hier bis zum Erbrechen, dass die Tools nur bei locked. Dateien helfen. Für die neue Variante gibt bes Umwege, aber das steht hier auch bis zum Abwinken. |
Wo ist das Probelm??????????? Ich habe die Programme ausprobiert, festgestellt das sie nicht gehen und mir dann den Rest durchgelesen, festgestellt es ist einer der neuen... Damit sich keiner nochmal alle Seiten durchlesen muss, und die Mail nun mal aktuell war, hab ichs einfach nochmal geschildert... Jeder neue undbelesene wird sich drüber freuen |
Zitat:
Dann hat er wahrscheinlich ein Kommunikationsproblem mit dem C&C Server gehabt. Jetzt bist Du ja wieder normal angemeldet, also mit Deinem Benutzernamen. Obwohl malwarebytes das erledigt haben sollte, würde ich nochmal einen Scan machen. Taskmanager und regedit gehen, oder bist Du irgendwo noch ausgesperrt? Volker Zitat:
Die haben sowohl personell als auch materiell ganz andere Voraussetzungen als wir. Vielleicht sind die aber zu dem selben Ergebnis gekommen wie unsere Coder. |
@ Undertaker, ja, sehr kurios die Geschichte, also ich hatte genau das gleiche Bild auf dem Schirm nachdem ich den Anhang entpackt habe. Als ich mich dann heute morgen nach Durchlauf der Programme wieder normal angemeldet habe, war auch die Email nicht mehr im Eingang sondern in den Papiekorb verschoben. Ich werde aber - sobald ich wieder vor MEINEM Pc sitze noch mal Deinen Rat befolgen, ob alles läuft oder ich noch irgendwo ausgesperrt bin. Im Voraus auf jeden Fall schon mal ein dickes Lob an dieses Forum, bin absoluter Laie in Sachen PC und habs augenscheinlich doch geschafft.... |
Auch wenn es schon ein paar Mal erwähnt wurde: Bei der Verschlüsselungsvariante mit ddGGssqqVVsssA als Namen gibt es inzwischen verschiedene Rettungsmöglichkeiten für Bilder: Windows: * JPEG Recovery (kostenpflichtig, siehe http://www.trojaner-board.de/115551-...e-version.html funktionierte bei mir) * JPEG Snoop (kostenlos, siehe gleiche Link wie bei JPEG Recovery, funktionierte bei mir _nicht_, bei den zwei von mir verwendeten Bildern!) Linux (kostenlos): * recoverjpeg (kam glaube ich in diesem Thread, klappte bei mir bei den 2 von mir getesten Dateien nicht, weiss nicht ob es bei anderen Bildern klappen würde) * foremost (kam auch schon irgendwo, vielleicht auch in diesem Thread, er läuft grade und findet definitiv Sachen, wobei ich nicht sagen kann, ob er die eigentlichen Dateien "wiederherstellt" oder einfach gelöschte findet, da er ja die gesamte Festplatte scannt) PS: an alle die denken man kann den Virus einfach "rückwärts" laufen lassen.. äh nein. Er könnte aus dem Internet einen Schlüssel temporär bekommen und den anschließend wieder vergessen oder noch perfider einfach einen zufälligen generieren und diesen dann natürlich vergessen. Ohne den Schlüssel kannst du nix rückgängig machen. Cheers, Savar |
@Savar, danke dass Du nochmal darauf hingewiesen hast. Du gehörst zu den 20%, die sich die Mühe machen zu lesen. :daumenhoc Volker |
Hi, wollte mich auch mal zu diesem Trojaner äussern. Es hat so den Anschein, als würde er als key zum verschlüsseln eine ID der Partition des befallenen Rechners hernehmen, diese dann mit md5 hashen und das dann als endgültigen Key nehmen. Also da ist mit Rückwärts machen net so viel. Das doofe ist dann auch wenn man die verschlüsselten Daten sichert sein System neu installiert und darauf hofft die Daten später wieder decrypten zu können hat wohl auch pech, denn die ID der Partition ändert sich beim reinstall. Also auch hier gilt "besser man hat ein Backup". |
Ein paar Fragen: Was vermutet ihr, versprechen sich eigentlich genau die Entwickler dieses Schädlings davon? Hoffen sie darauf, dass jemand die 100 Euro zahlt oder gar diese horrenden Summen aus den Mails überweist (obwohl, wohin eigentlich?)? Oder machen die das einfach nur, weil sie soviel zerstören wollen, wie möglich? Aber was bringt denen das dann genau? Sitzen die mit 'nem breiten Grinsen vorm Bildschirm und freuen sich 'nen Ast, wenn sie lesen, dass andere Leute viele schöne Erinnerungsfotos, oder Studienarbeiten, oder Filmarbeiten oder oder oder verloren haben? Wie habe ich mir das vorzustellen? Meine Meinung: Wenn man schon soviel Computerwissen hat, dann kann man doch ganz legal damit sehr viel Geld verdienen, also warum dann diesen Weg wählen? |
Hi sonshice, also einige Kunden von uns z.B. haben wirklich die 100€ gezahlt, passiert ist dann natürlich nichts. Die Autoren solcher Malware haben dann natürlich auch die Kontrolle über die befallenen Rechner und können damit dann z.B weitere Malware in Umlauf bringen oder DDoS auf Webserver fahren, oder ein Botnetz aufbauen usw. gruß -icaros |
ich weiss nicht mehr weiter, bitte um hilfe das der rechner wieder läuft. wie kann ich den mist loswerden? bitte um eine einfache gute für einen der wenig ahnung vom pc hat anleitung ;):) danke Log entfernt //cosinus |
@Blackvision, sowas haben wir nun schon hundertfach gesehen. Was willst Du uns mit dem Inhalt der mail sagen? Dass Du den Anhang geöffnet und ausgeführt hast? Wenn ja, warum? Oben steht: Diskussionsforum: Neue Verschlüsselungs-Trojaner Variante im Umlauf. Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches. Störer werden "sanft aus dem Raum begleitet" |
ich weiss nicht mehr weiter, bitte um einen rat das der rechner wieder läuft. eine einfache gute für einen der wenig ahnung vom pc hat anleitung ;):) danke ich will nicht spammen oder einen hilfe ruf absetzten, nur ich lese seid std hier im forum und weis nimmer weiter was nun zu tun ist :(:balla: Fullquote entfernt //cosinus |
@Blackvision, Du hast doch schon ein Thema unter "Plagegeister" gestartet. Warte doch erst mal ab, bis sich ein Helfer darauf meldet. Auch wenn Du das Logfile hier noch 10 mal postest, was übrigens nicht den Regeln entspricht, wird das nicht besser. Mache erstmal mit Deinem Helfer das System sauber. So wie ich das im Log sehe, ist das noch komlett zu. Volker |
Hallo, habe nun von einige Membern hier schon Bilder geschickt bekommen. Stand der Dinge (gilt hier nur für JPGs) : JPEG Recovery ist noch die beste Lösung, wenn auch Kostenpflichtig. Die Linux-Lösung scheint ähnlich gute Ergebnisse zu bringen, dann wohl auch kostenlos. Habe leider nicht die Zeit das zu testen, evtl. müsste man mit Keks mal ein paar Bilder tauschen und schauen wieviel die jeweiligen Programme wieder herstellen. User1 : Bei ihm konnte ich mit einem Schwung konnte ich auf Anhieb ca. 200 von 600 Bildern wieder herstellen. (Warte auf Referenz-Bild für den Rest) User 2 : Hatte selber schon Bilder von 2 Kameras selber wieder hergestellt. Die Bilder von der 3. Kamera waren nicht wieder herzustellen. Daraufhin habe ich es geschafft auch diese 3 Test-Bilder der Kamera mit einem Referenz-Bild von dieser Kamera wieder herzustellen. User 3 : Konnte nicht wieder hergestellt werden, evtl. mit Referenz-Bild User 4 : Test-Dateien die geschickt wurden konnten wieder hergestellt werden. nur ein Auszug :) Daher müssen alle die sich jetzt noch melden etwas Wartezeit einplanen. Alles eingehenden Bilder werden gespeichert und, wie es die Zeit erlaubt, bearbeitet. wie man sieht ist JPEG-Recovery nicht DIE Lösung aber es stellt zumindest schon mal einige Bilder wieder her was diverse andere Programme nicht geschafft haben. Den Rest kann man denke ich mal mit Referenz-Bildern (wie bei User 2) wieder herstellen, daran arbeite ich aber noch. Evtl. wir daraus ein kleines Tool welches in Verbindung mit JPEG-Recovery genutzt werden kann. Aber genaueres dann die Tage. Jetzt müssen wir nur noch Lösungen für Word und Exel-Dateien finden :) Aber ich kümmer mich jetzt primär um die JPEG-Sachen. Grüße |
Hallo, wie es ein User ein paar Seiten vorher schon beschrieben hatte, bin ich bei meinen "Kundenarbeiten" ebenso schon zum 2ten oder 3ten Mal auf diese Variante gestoßen die zwar die bekannte "Achtung_lesen.txt" (o.ä.) auf dem Desktop hinterlegt und auf die Verschlüsselung hinweist - eine Verschlüsselung ist dann aber jeweils nirgendwo auf dem Rechner zu entdecken gewesen. Es könnte sich hierbei also tatsächlich wohl um eine "neue" Variante handeln. Warum diese aber nur so einen nervigen Screenblocker erstellt und nichts sonst verursacht, das weiß ich natürlich (leider nicht). Nur eine Vermutung: Das Teil könnte es ja in ein Script-Kiddie Baukastensystem geschafft haben und da so modifizierbar sein das es "keinen Schaden" anrichtet. Denkar?! :confused: Grüße, Wavetable |
@wavetable ich habe den Befehl "file" auf die verschlüsselten Dateien los gelassen. Als Ergebnis kam "data". Das ganze habe ich, mal wieder, unter Linux gemacht und der Befehl "erkennt" die Dateitypen nicht an Hand der Endung wie ein Windows. Wenn es sich um ein jpg handelt, als Beispiel, wird es angezeigt, auch wenn das irgendwas.jpg hanszuzu heisst. Aber, es gibt viele Versionen des Trojaners, wenn Dich so etwas befallen hat ist es "nur" halb so wild. Ich kann eh gerade nicht schlafen, daher möchte ich nochmal einen Gedanken los lassen. Das Verschlüsseln funktioniert, imho so, dass der Algorithmus die Datei nimmt und in einen Container Packt und das Original "löscht". Modifizier Datum, rechte usw. werden an den Container übergeben. Da löschen nicht gleich löschen ist, sollten alle Dateien noch auf dem Dateisystem erhalten sein. Habe ich hier einen falschen Gedankengang? Gruß Keks5 |
Zitat:
Alle Laufwerke werden nach Datei durchsucht. Zu jeder gefundenen Datei wird ein neuer, zufälliger Dateiname festgelegt ( Groß- und Kleinbuchstaben) ohne Extension. Jeder Datei wird ein zufälliger Schlüssel zugeordnet. Originalname, Zufallsname und Schlüssel zur Datei werden in einer Datenbank zusammengefaßt. Die ersten 12k der Dateien werden gelesen, der Reihe nach mit dem dazugehörigen Schlüssel + einer immer gleichen Zeichenfolge verschlüsselt und geschrieben. (on the fly, da wird nix gelöscht) Diese Datenbank wird abschließend 2 mal verschlüsselt und im Temp der Festplatte als Rechner-ID.$02 abgelegt. Der Schlüssel für diese Datei wird an den C&C Server übertragen und ist auf dem Rechner nicht mehr vorhanden. Volker Zitat:
Ich vermute eher, die Gangster haben Schwierigkeiten mit dem Handling der Server, so dass die Kommunikation nicht gesichert werden kann. Seit Version 1.140.1 hat sich da nichts grundlegendes geändert. Volker |
Hallo zusammen, auf dem (XP) PC meiner Mutter hat mein Bruder leider auch diesen netten Trojaner hier erwischt. Gott sei dank, konnte ich dank euren Tipps die Outlook.pst retten und andere Dateien waren zu einem großem Teil Gott sei dank gesichert. Es gibt ja nicht mehr viel Hoffnung auf Rettung der restlichen nicht gesicherten Dateien, aber ich habe bei mir zuhause mal alle ihre Dateien gesichert. Außerdem werde ich heute noch versuchen die $02 zu kopieren und vielleicht lässt sich ja noch die $03 wiederherstellen. Nur mal so aus Neugierde, ich kenne mich da ja auch nicht so aus und vielleicht kann mir das jemand erklären. Wieso werden den die original Dateinamen und deren Schlüssel in dieser $02 gespeichert und wieso wird diese $03 verschickt, wenn eine Bezahlung der geforderten Summe eh keine Entschlüsselung auslöst? Zumindest habe ich jetzt schön öfter gehört, dass auch nach eine Bezahlung nichts entschlüsselt wurde. Dann ist doch eigentlich egal wo was liegt. Und wozu wird dann auch noch mit dem Server kommuniziert? Der Trojaner könnte doch selber auch eine zufällige Verschlüsselung durchführen ohne den Server. Danke noch an alle die Leute die sich hier wirklich soviel Mühe geben. Ich würde denke ich manchmal echt die Lust verlieren wenn schon mehrfach Erklärtes eins zu eins ein paar Fragen weiter wieder gefragt wird. Helfer stecken verdammt viel Zeit rein und manche Hilfesuchende wollen nicht suchen oder lesen sonder eine Frage stellen und sofort eine passende Antwort. Es sind inzwischen schon über 70 Seiten ja, aber wenn nicht ständig das gleiche gefragt oder gepostet würde wären man jetzt vielleicht bei 40 und das ganze wäre schon sehr viel übersichtlicher. |
Zitat:
Man kann also nur darüber spekulieren. Es weist aber einiges darauf hin, dass eine Entschlüsselung tatsächlich vorgesehen ist oder war. Bei der ersten Kommunikation mit dem C&C Server werden mehrere Bitmaps geladen. In Kurzform sagen die folgendes aus: Bild1 -->l Der bekannte Ucash-Hinweis. Bild2-4 --> ähnlich wie Bild1 aber mit Hinweisen über falschen Ucas-Code (3 Versuche). Die gehen also davon aus, dass der Betroffene einen gültigen Ucash-Code eingibt. Ist der Code strukturell in Ordnung erscheint Bild 5 --> Der Hinweis, dass der Code in Ordnung ist und geprüft wird. Ist die Prüfung in Ordnung erscheint Bild6 --> Entschlüsselung läuft, Rechner soll am Netz bleiben. Insofern macht die .$02 also Sinn. Ich spekuliere mal: Die haben selbst nicht damit gerechnet, dass sie die Server nicht richtig im Griff haben. Vielleicht sind die auch nur highjacked oder die Verschleierung im Web funkt dazwischen, oder oder oder. Volker |
hi hi liebe community habe hier viel gelesen aber da der thread etwas unübersichtlich geworden ist, wollte ich mal fragen (vielleicht wurde das schon 1000x gefragt) gibt es eine möglichkeit den gegen 04.05.2012 erschienen trojaner die dateien zu entschlüssen. habe hier leider nix gefunden. |
Zitat:
Entscheidend ist nicht das Datum, sondern die Versionsnummer. Das ist doch nicht Dein ester Beitrag zum Thema und Du hast sogar verschlüsselte Files hochgeladen. Danach ist es noch die "alte" Version. Suche nach Dateien die der Größe nach identisch sind und aus denen Du Schlüssel bilden kannst. Bisher sehe ich nur ein einziges, Autumn Leaves.jpg, alle anderen sind nicht gleich groß. Wenn Du nix findest, bleiben nur die Wege, die im Thema Reparaturanleitungen genannt sind. |
Eine Frage, nämlich ist dies einer Freundinn passiert, wo sich dessen Schwester vorher an einem anderen PC infiziert hat (per Link und Download in fremder Mail), hat ihr dann seinen PC geliehen und die hat sich da auch wieder infizieren lassen, behauptet aber nicht den selben Fehler wieder begangen zu haben.. Kann es sein, dass danach das simple einloggen in das betroffene E-Mail Account von nem anderen Pc aus den Virus weiterleiten kann? Muss auch nicht sein dass sie di Wahrheit gesagt hat.. Ich habe übrigens ein Systemabbild (mit Dateien und allem) von vor 2 Wochen von dem LapTop, kann ich dieses Abbild sofort benutzen oder muss ich vorher noch andere Sicherheitsschritte durchgehen (z.b. die Standardschritte von hier)? Das Lap Top läuft wieder (Systemwiederherstellung auf früheren Zeitpunkt), aber die Dateien sind eben noch geändert. Dann wären die Neuesten Dateien zwar verloren aber dagegen kann man anscheinend ja noch nichts tun.. Vielen Dank im Vorraus und danke für die starke Arbeit. |
Zitat:
1.) man muss die Mail wieder aufmachen 2.) nochmal auf den Text reinfallen mit Rechnung und so 3.) ZIP im Anhang aufmachen 4.) (und erst dann man den salat =>) man muss die ausführbare Datei die als zB PDF getarnt ist auch noch ausführen http://cosgan.de/images/midi/boese/a040.gif |
Hallo zusammen, habe heute wieder soeine Email bekommen, anderer Absender (betty-hair@rogers.com) zwar, aber die Masche ist die gleiche. Hier das geschriebene: Verehrte(r) Benutzer daB?ng, Besten Dank für Ihre Bestellung bei kirschkernkissen GmbH, nachfolgend finden Sie Ihre Antragsbestätigung. Ihre Gebotsnummer: 439427329041 Bestellung: Toshiba 8566473425 6455,43 Euro Zahlungsmethode: Konto-Einzug Adresse und detaillierte Rechnung finden Sie zwecks Sicherheitsmaßnahmen im Zusatzordner. Die Zahlung wurde autorisiert und wird innerhalb 3 Tage abgeschrieben. Artikelauflistung und Widerspruch Erklärung finden Sie im Zusatzordner in der E-Mail. Ihr Email-Support Hofmann AG Billufer 71 72204 Dortmund Telefon: (+49) 823 6548870 (Mo-Fr 7.00 bis 20.00 Uhr, Sa 10.00 bis 17.00 Uhr) Gesellschaftssitz Aichach Umsatzsteuer-ID: AT235801912 Leiter: Mathilda Schnittke Wenn ihr Interesse am restlichen Inhalt habt, gebt mir eine Email Adresse, und ich leite das fiese Teil weiter. Ich hatte vor kurzem auch den Fehler gemacht und den Anhang geöffnet, aber mit Eurer Hilfe mein System retten können. Wenn ich aber trotzdem auf nummer sicher gehen will und Euch mal drüber gucken lassen will, soll ich einen neuen Thread aufmachen oder hier weiter posten? |
Warum soll eigentlich alle 2 Seiten neu erklärt werden, was zu tun ist? Warum kann man sich nicht selber mal die Mühe machen, nachzulesen, wie man vorzugehen hat? Es geht mich ja eigentlich nichts an, da ich hier kein Admin bin, aber auf die Dauer nervt das einfach nur noch beim Lesen. Diese Mails und deren immer gleicher Aufbau habe ich hier schon gefühlt 30 mal gelesen. |
verschlüsselte Dateien - mp3's sind abspielbar!! Hallo, ich bin mir ja nicht sicher, ob folgende Lösung hier schon kommuniziert wurde, aber sämtliche kryptisch verschlüsselten Dateien lassen sich über zB. Winamp ("öffnen mit") abspielen! Man muss anschließend nur noch die betroffende Datei umbenennen! Ähnlich wird es sich mit Fotos/Bildern verhalten. Viele Glück, André |
Sämtliche Dateien? Also .avi und .mpeg o.ä. gehen schon mal nicht. Bei mir hat nur .mp3 geklappt. Würde mich wundern wenn es bei dir anders wäre. Und das mit den Bildern wurde hier schon endlos besprochen. Kurzform: Einfach umbenennen klappt nicht, man braucht dafür ein (kostenpflichtiges) Tool. |
'Tschuldigung, das war mißverständlich meinerseits. Stimme Dir zu, sämtlich Filmdateien lassen sich leider nicht abspielen. Lediglich die Musikdateien. Was aber -wie bei mir&einer Riesenmusiksammlung- schon mal ein Fortschritt ist.... |
Hallo, habe gerade auf den Virus getroffen und alle meine Bilder sind umbenannt, brauche sehr dringend eine Lösung um die Bilder wieder zuretten? Bitte um Hilfe Vielen Dank |
Zitat:
Lese etwas, z.B. hier im Thread, dann verstehst Du, dass Deine Annahme: "Ähnlich wird es sich mit Fotos/Bildern verhalten." so nicht funktionieren kann. MP3 Sammler sind insofern besser dran als Andere. Außerdem haben die ja ohnehin die Original CDs und nur Sicherheitskopien auf dem Rechner. :crazy: Volker Zitat:
Wenn Du dann noch Fragen hast, dann poste wieder. Ich bin es leid, Lesefaulheit und Bequemlichkeit zu unterstützen. Volker |
Hallo Volker, das habe ich in der Tat aber schaffe das einfach nicht! habe auch das DecryptHelper-0.5.3.exe probiert, habe jedoch keine Originaldatei die verlangt wird. Werde mein System formatieren jedoch sind die Bilder mir sehr wichtig. Gibt es denn keinen Trick dafür um die Bilder öffnen zu können? |
Zitat:
|
Zitat:
ohne einer Endung hinten |
Zitat:
Nix hast Du gelesen. Du wüsstest sonst, dass der decrypthelper und die anderen Tools nur bei der locked- Version helfen und bei FGHtzDrTVGBnhj unwirksam sind. Weiterhin hättest Du auch den Reparaturthread für die neue 12k-Version bemerkt und etwas über JPEG-Recovery gelesen. Das ist alles schon hundertmal beschrieben. Vielleicht verstehst Du nun, dass einem das ständige Widerkauen zum Halse raushängt, nur weil die Leute zu faul sind, sich über das Machbare für ihr selbstverschuldetes Problem zu informieren und die Lieferung auf dem silbernen Tablett erwarten. Volker |
Hallo Volker, was erwartest Du? Die Personen, die alles gelesen haben haben die Email mit der Schadsoftware wohl auch nicht richtig gelesen und können keine Zusammenhänge deuten. Hab etwas Mitleid ;-). |
Bei mir ist es jetzt auch zu spät. Ich habe vorhin einen Antivir-Scan gestartet und dann das Kiew-Spiel geguckt. Als ich zurück an den Rechner kam, zeigte er nur das Bild von links oben an und nichts ging mehr. Neu gestartet. Das ging. Mein Benutzeravatar war verändert. Ein Blick auf den Desktop: Ettliche Dateien umbenannt! Anxt! Panik! Ich habe nichts wertvolles auf meinem Rechner, aber zwei Sourcecodes die mich viele, viele Arbeitsstunden gekostet haben. Beide noch da und in Originalzustand, gleich gesichert (waren in Programmordnern). Es scheint als wären nur Dateien vom Desktop und den darauf befindlichen Ordnern betroffen. hier schreibt einer mit MS Security Essentials kriegt man das Problem in den Griff?! Das versuche ich gerade. Wird die Nacht durchlaufen. Was mich interessieren würde: -Wird der Troj noch weiter um sich greifen, sprich mehr Dateien massakrieren? -Wird irgendwann auch der Punkt erreicht, wo sich das System nicht mehr kontrollieren lässt? Also im Moment kann ich noch surfen, Programme starten, usw... aber später? Hab übrigens XP 32 Bit. An eine zwielichtige Mail kann ich mich nicht erinnern. Ich surfe allerdings öfter auf, sagen wir mal: Seiten mit netten Filmchen :nono:. Ist bekannt wie viel Zeit von der Infektion bis zum Aktivwerden des Trojaners vergeht? |
Zitat:
Zitat:
ich bin neu hier. Es liegt mir eigentlich total fern, mich gleich mit dem ersten Beitrag zu beschweren, denn ich finde es ganz große Klasse, dass es hier Menschen gibt, die ihre Zeit dafür opfern Lösungen für Probleme zu finden, die Andere durch ihr unbedachtes Handeln fabriziert haben. Aber wenn ich solche Antworten lese wie von Volker oder Sven, dann muss ich ehrlich gestehen, dass ich mich schon gar nicht mehr traue mein Problem zu schildern. Mein PC wurde auch von diesem scheiß Trojaner befallen und ich sitzte hier seit mehr als 6 Stunden - lese das Forum rauf und runter - habe sämtliche Tools ausprobiert - habe das Internet nach weiteren Möglichkeiten durchforstet - alles leider ohne Erfolg. Meine Daten bleiben verschlüsselt. Aber keine Sorge, ich werde nicht alles nochmal widerkäuen, ich fasse mich in Geduld und hoffe, dass es demnächst auch ne Lösung für das " FGHtzDrTVGBnhj" Problem gefunden wird, denn mir ist mit einer Formatierung und Neuaufspielen des Betriebssystems nicht geholfen. Ich brauche meine Daten zurück !! Von mir aus kann mein Post jetzt auch wieder sanft hinaus begleitet werden, aber ich musste es einfach los werden. Sorry |
Zitat:
Solltest Du Volumenschattenkopien schon immer aktiviert haben ist nach einer Desinfektion Shadow Explorer vielleicht für dich eine Hilfe. Zu den Seiten mit netten Filmchen: überlege dir einen etwas sichereren Browser zu benutzen, z.b. den neuen Chrome mit Sandbox Technik. Oder eine virtuelle Maschine, ohne Werbung machen zu wollen, in der letzten com! Zeitschrift, 7.2012 steht beschrieben wie man die handhabt. Der Firefox ist anfällig, habe ich schon genug infizierte Laptops in der Hand gehabt. |
Hi, ich habe mal eine technische Frage. Warum ist es denn so viel einfacher eine durch diesen Trojaner verschlüsselte JPEG-Datei wiederherzustellen, als eine DOC-Datei? Danke euch schon mal für meine Erleuchtung. EDIT: Kann man eigentlich noch irgendwie nachvollziehen (ohne die Original Datei zu kennen) um welchen Dateityp es sich handelt? Gruß |
Zitat:
genau das unterscheidet Dich von den von mir angesprochenen Betroffenen. Zitat:
Du weißt dass das "Problem" einer universellen Entschlüsselung für diese Art der Dateiverschlüsselung besteht und nicht durch Dateipaare a la locked- zu lösen ist. Vielleicht kannst Du auch nachvollziehen, dass einem manchmal die Hutschnur platzt, wenn man schlimmstenfalls angemacht und beschimpft wird, dass man Unsinn faselt, weil die Tools nicht helfen. Auch ist es nicht nachvollziehbar, dass viele das Angebot der individuellen Hilfe nicht nutzen. Einzige Erklärung für mich, sie wissen es nicht, weil sie es nicht nachlesen. Für die FGHtzDrTVGBnhj Dateien gibt es ja zumindest Teilerfolge, abhängig von der Dateiart. So sind MP3s ohne Probleme zu retten und für viele JPGs gilt das gleiche. Der Shadow-Explorer ist ja auch ein mächtiges Werkzeug, solange die Option der Schattenkopien aktiv war. Gruß Volker |
Hallo Leute, ich bin neu hier aber ein "alter" Forumserfahrener. Also ist stelle keine fragen ohne vorher zu lesen! Egal, Themawechsel :pfeiff: Seit 2 Tagen bin ich in diesem Thema am lesen und halte die Füße still. Möchte aber auch etwas beitragen können: Habe gerade eine Mailfrische Mail erhalten die ich naturlich nicht geöffnet habe!:nono: Sehr geehrter Rainer Kuck, Sicher ist es Ihnen entgangen, dass die Zahlungsfrist der nachfolgenden Rechnung abgelaufen ist. Auf unsere Mahnungsschreiben haben Sie ebenfalls nicht reagiert. Artikel: Nikon IDK CD Artikelnummer: 3478090118981 Stück: 2 Zwischensumme: 544,58 Euro Aufgrund zusätzlicher Kosten anlässlich des Ausgleichs von Gebührenforderungen erheben wir Mahngebühren und Einschreibegebühren in der Höhe von 10.- Euro inkl. MwSt. Wir bitten Sie, den ausstehenden Rechnungsbetrag in den nächsten 7 Tagen zu überweisen. Ansonsten sehen wir uns leider gezwungen, ein Betreibungsverfahren in die Wege zu leiten und ein Inkasso Unternehmen für die weiteren Massnahmen zu beauftragen. Sollte sich dieses Mahnungsschreiben mit der Bezahlung des ausstehenden Betrags zeitlich überschnitten haben, so betrachten Sie dieses Schreiben bitte als gegenstandslos. Beilagen: - Zahlschein - Bestellung Mit freundlichen Grüßen FOTO THUN GMBH Avira hat nichts gefunden! Bin mir aber sicher das es ein Virus ist! Wer möchte denn diese schöne Mail zu Testen oder was auch immer haben? Oder einfach dahin: hxxp://markusg.trojaner-board.de ? Nichts desto trotz. Ich habe hier 2 rechner, ein Laptop mit Win7 und ein rechner mit XP. Das Laptop hat die rhzgdssgj7ikjtr433 Variante erwischt. Der Rechner hat die Originalnamen und Endungen, doch wenn man eine zB Exeltabelle öffnet stehen da nur Hyroglyphen drin! Ich vertraue auf die Cracks hier, die sich den Ar... aufreissen um leuten zu helfen die sie gar nicht kennen! :dankeschoen: Ganz Herzlichen Dank! Gruß Rainer |
Zitat:
das liegt am strukturellen Aufbau des jeweiligen Dateityps. JPGs sind segmentiert, das heißt, zwischen einzelnen Bilddatenpaketen existieren Marker. Den Bilddekoder interessieren nur die Bilddaten nach dem Marker, der Rest ist für ihn uninteressant. Aus diesem Grunde kann man auch in einem JPG-Bild Informationen verstecken und transportieren, die man nicht sieht und die den Decoder nicht kratzen. Für den Betrachter scheint das ein stinknormales Bild zu sein. Decoder mit einer hohen Fehlertolleranz können somit noch Datenpackete erkennen und retten. Nagle mich jetzt nicht im Detail fest, dazu weiß ich darüber zu wenig. Übrigens gilt sowas ähnliches auch für MP3s, guckst Du hier. Zitat:
Wenn beispielsweise in regelmäßigen Abständen FF D8 auftaucht, deutet das auf Marker eines JPGs hin. Für uns Normalsterbliche ist das aber nicht zu erkennen. Du kannst es testen. Hänge an alle verschlüsselten Dateien ein .mp3. Wenn der Player das abspielt, dann war es eine MP3. Hänge an alle Dateien ein .jpg. Wenn JPEG-Recovery ein Bild anzeigt, dann war es auch eins. Gruß Volker Zitat:
Vertrauen ist gut, allein die Fakten sprechen eine andere Sprache. So sind mittlerweile alle involvierten Coder der Meinung, dass nur eine behördliche Beschlagnahme oder das Hacken der C&C Server mit den Passwörtern Erfolg verspricht. Inwieweit dann die Zuordnung des Passwortes auf die jeweilige Computer-ID des Betroffenen erfolgt wäre auch noch zu klären. Die Hoffnung stirbt aber nie. Gruß Volker |
Zitat:
|
Hallo... Ich bin neu hier und habe wie alle das fast gleiche problem... Mein freund bringt mich sonst um da sind soo viele Bilder drauf gewesen... Ich habe seit gestern echt schiet problem mit meinem Rechner.. Habe ne email im Postfach gehabt Welche mit dem namen meiner Mutter gekommen ist. Dies war/ sollte eine rechung sein und ein anhang mit einer Zip datei war mit dran. die ich leider echt dummer neugieriger weise öffnen wollte. so richtig hatte ich nicht das gefühl das ich das geöffnet hatte.. naja dann hatte ich später als ich den rechner ausstellen wollte dieses Bild welches hier die seite schmückt auf dem rechner.. Habe dann rechner ausgemacht und hatte mir das heute erst angesehen was das genau war, und mit malwarebytes gelöscht nun habe ich aber wie alle hier das problem das ich absolut KEINE Datein/ bilder lesen kann... |
Hallo, ich habe heute einen Rechner einer Bekannten bekommen. Er wurde gestern infiziert, sie meint von einer Webseite. Virus ist bereinigt, jedoch bleiben die "verschlüsselten" Dateien. Mittel Originaldatei und verschlüsstelte Datei vergleichen habe ich versucht den Code zu bestimmen. Erfolglos. Anschließend habe ich festgestellt, dass die Dateien garnicht verschlüsselt sind. Gibt man den Dateien ihre richtige Endung, kann man sie wieder öffnen. Leider ist der Dateiname dadurch nicht wiederhergestellt, und es wird schwer bei allen Dateien die richtige Endung herauszufinden. Gibt es dafür eine Lösung? [EDIT: Definitiv umbenant wurden .doc .docx .pdf .wma:: Nicht umbenannt wurde .mp3] [Edit2: In der Registry befindet sich ein Autostarteintrag (run cu) namens ybova.exe. Sofern diese Datei aktiv läuft trägt sie den Registry Eintrag (sich selbst) wieder ein, sobald man ihn löscht] |
Zitat:
Hast Du Win7 oder Vista gehabt dann besteht vielleicht Hoffnung, wenn der Rechner wieder sauber ist. Suche Shadow Explorer und schau ob du damit Dateien retten kannst. Es ist z.Z. die einzige Möglichkeit, es gibt noch ein Programm das Bilder z.b. reparieren kann, aber das auch nicht in 100% der Fälle. Bitte beachte auch das: hxxp://www.trojaner-board.de/69886-alle-hilfesuchenden-eroeffnung-themas-beachten.html |
Hallo Zusammen! Also meine Email sah so aus: Sehr geehrter xxxxxxx xxxxxxx, Sicher ist es Ihnen entgangen, dass die Zahlungsfrist der nachfolgenden Rechnung abgelaufen ist. Auf zwei Erinnerungen haben Sie ebenso nicht reagiert. Artikel: Lenovo IDK HE Artikelnummer: 8547001753835 Stück: 4 Summe: 610,98 Euro Aufgrund zusätzlicher Kosten anlässlich des Ausgleichs von Gebührenforderungen erheben wir Mahngebühren und Einschreibegebühren in der Höhe von 10.- Euro inkl. MwSt. Wir bitten Sie, den ausstehenden Rechnungsbetrag in den nächsten 7 Tagen zu überweisen. Ansonsten sehen wir uns leider gezwungen, ein Gerichtsverfahren in die Wege zu leiten und ein Inkasso Unternehmen für die weiteren Massnahmen zu beauftragen. Sollte sich dieses Schreiben mit der Bezahlung des ausstehenden Betrags zeitlich überschnitten haben, so betrachten Sie dieses Schreiben bitte als gegenstandslos. Beilagen: - Zahlschein - Artikel Mit besten Grüßen FOTO THUN AG :dankeschoen: --------------- Als ich den Anhang geöffnet habe, schlug sofort auch mein Avast free Antivirus an und gab eine "blockiert"-Meldung im popup aus. Allerdings durfte ich mir zweimal den "Trojaner-Willkommensbildschirm" ankucken... Nach einmaligem Neustart konnte ich keinerlei Probleme feststellen. Ich nutze Opera und das darin integrierte Email-Programm. Wie stelle ich überhaupt fest, welche Dateien infiziert sind? Es ist ein x64 System. Den Anhang der Mail versende ich an Markus. Bei mir handelt es sich um eine .zip Grüße Mathias |
Zitat:
Neim leider hatte ich kein Win 7 oder viast... Habe auf dem rechner noch das gute alte XP und bin absolut doof was Computer technik hintergrundwissen anbelangt |
Zitat:
hxxp://www.trojaner-board.de/member.php?u=105035 |
Zitat:
Ok ich versuche es mal werd mal den rechner noch mal anwerfen.. trau mich net.. will nicht noch mehr putt machen..:-) |
Tachchen ! Habe mich am 01.05. 12 mit diesem Scheiss infiziert, Anhang einer ominösen Flirt-fever Rechnung. Habe dann Systemrückstellung gemacht und kam wieder ins Netz, Dateien sind verschlüsselt(jpgs und mp3). Einige mp3 konnte ich retten(längst nicht alle durch, habe 1000e mixe druff, die mir doch sehr lieb waren,frage mich warum es bei einigen geht und bei anderen nicht). jpgs kann ich garnicht wieder herstellen, habe aber auch noch keine entsprechenden (kostenpflichtigen)Tools angewendet. Was mich beunruhigt is, dass neben mir im System als Admin auch "System" steht, ich diesen nicht wegbekomme bzw. Berechtigungen abnehmen kann. Besteht nun irgendeine Gefahr ? Sorry...surfe seit 1999 im netz, so´n Scheiss is mir noch nie passiert, daher mich nie mit so nem Rotz auseinandergesetzt hab...und ohnehin wenig Plan hab .... :/ Habe Vista, 32 bit ! Danke für Antwort ! PS:seitdem googelte ich viel,kam daher auch auf diese Seite,..habe malware ,norton,Avira und Tuneup durchlaufen lassen, jedoch ohne große Erfolge, hoffe nur dass der Scheiss letztlich raus is.. Shadow explorer auch durch, leider keine Schattenkopien gehabt... :dankeschoen: |
Zitat:
Das war übrigends die email habe sie noch im email postfach... Guten Tag Roswitha , Danke für ihren Vertrag mit KronederSchoepfung.de, nachfolgend finden Sie Ihre Einkaufsbestätigung. Deine Antragsnummer: 661066735882 Bestellung: Canon 1622436517 9060,08 Euro Rechnung auf den Namen: Abrechnung erfolgt durch: Mastercard Lieferadresse und genaue Vertragsdetails finden Sie wegen Vorsichtsmaßnahmen im zugefügten Ordner. Die Buchung wurde autorisiert und wird innerhalb 3 Tage entzogen. Kaufdetails und Widerspruch Erklärung finden Sie in beigefügter Datei. Dein Kunden-Support Roth Ltd. Derbyweg 49 28754 Stuttgart Tel.: (+49) 657 5906846 (Mo-Fr 9.00 - 18.00 Uhr, Sa 11.00 bis 16.00 Uhr) Gesellschaftssitz Altenberg Steuer-Nummer: CH450203701 Geschäftsfuehrer: Merle Schmid |
Hallo Leute, ich hatte heute auch den Virus, bzw. meine Mutter. Hab dann den Anti Malware durchlaufen lassen, wie oben beschrieben, jedoch sind bei mir KEINE Daten verschlüsselt. Alles wieder beim alten! |
Hi, nachdem ich zur Zeit flach liege *würg* gibts noch nicht wirklich was neues. Auch bin ich noch ein "paar" Bilder am bearbeiten. Bitte um Geduld aber Familie liegt mit flach. Am Tool werde ich weiter arbeiten sobald es wieder besser geht. Also, an alle die mir schon Bilder geschickt haben - bitte etwas Geduld. Wird alles bearbeitet. Sollte noch wer Hilfe brauchen, meldet euch einfach per PN. Grüße Forrest |
Habe in einer vrituellen Maschine ein wenig mit dem Virus gespielt, und wollte sehen was Sandboxie kann. Es kann. Der Virus richtet nichts an in der VM! Muss schon sagen, Sandboxie greift da (noch) recht gut. Werde künftig denen ich Rechner einrichte das Standardmailprogramm, ob nun Outlook oder Thunderbird & Co. so einrichten das es von Haus aus in der Sandbox läuft. Backuptechniken müssen natürlich angepasst werden - der Virus wird aber vermutlich in der Sandbox die dort dann befindliche Mailerdatenbank verschlüsseln. |
Hallo , ich bin seit heute auch neu angemeldet und habe leider diese nachricht wie fast alle auch bekommen per mail und habe den anhang geöffnet ich idiot !!!! ich konnte den trojaner dann auch löschen ( durch systemwiederherstellung , anto ware etc) aber auf all meinen backups festplatten die virtuell erstellt wurden und darauf music bilder und dokumente waren wurden zu 80 % verschlüsselt....genau wie hier beschrieben durch unbenennung z. GkahkjdGHlajkdhkas ohne endung wie manch andere hier im Forum geschrieben haben... Komischer weise haben die Daten alle noch die entsprechende Größe nur halt kein Format... habe alle empfohlenen 8 tools benutzt ohne erfolg ausser jpg recovery aber dazu komme ich gleich.... ich habe alle music dateien die endung .mp3 dran gehängt und es wurde dementsprechend zu einer music datei...allerdings konnte ich es mit media player oder quick time nicht öffnen ABER MIT VCL....meine frage : WIESO ??? wie kann ich es wieder mit media player öffnen ? zu den bildern habe ich jpg recovery benutzt funktioniert sogar und die bilder haben die entprechende größe aber WASSERZEICHEN !!! Welche möglichkeiten gibt es noch seine bilder zurück zu bekommen ??? es gibt auch dateien wo ich nicht weiß ob es txt oder doc oder pdf oder sonst ist wie kann ich es heraus finden wenn diese 8 tools nicht funktionieren und wiederherstellen ???? vorne weg : ICH HABE ALLE AUSPROBIERT VON SYSTEMWIDERHERSTELLUNG BIS SHADOW EXPLORER BIS EBEN ZU DEN TOOLS !!! NIX LEIDER NICHTS KLAPPT !! leider habe ich auch keine ersatzdatei das waren ja schon backup festplatten es muss doch irgendein tool geben das herausfinden kann was das für daten sind und es quasi rückgängig machen(entschlüsseln) OHNE original datein zu haben so wie die meisten tools das leider verlangen... ich bin echt am verzweifeln... :dankeschoen: |
Zitat:
Nun rate was Sinn und Zweck einer Verschlüsselung ist. :pfeiff: Ohne Schlüssel ist man einfach angeschmiert |
deraddi Du weißt aber schon das manche Malware, sehr "intiligent" programmiert worden ist, so das sie nicht in einener Sandboxie, VM , usw los starten tut. Also dem zu volge merkt diese Malware, ich will in einer sicheren Zone aufgerufen werden, das merke ich -> die Malware, somit startet ich auch nicht.- !!! So nun das war mein Gedanken gang. THN |
Zitat:
Speziell in diesem Fall beim Matsnu/Ransom Trojaner ist dem aber nicht so wie einige Analysen hier und auf dem Delphi Board gezeigt haben, er ergreift keine Maßnahmen gegen abgeschottete Umgebungen. |
Hallo zusammen. Jetzt hat es meinen Bruder erwischt, der einen kleinen Landhandel hat. Leider sind auch die Lexware Dateien (Kundendaten, Rechnungen usw.) hinüber, so dass ich echt gespannt bin, ob ich das irgendwie wieder herstellen kann :pfui:. Letzte Sicherung hat er am 1.1.2012 gemacht ... . Hat jemand schon was ähnliches erfolgreich wiederherstellen können? Schöne Grüße. Rudit |
Liebes Helfer-Team, an dieser Stelle möchte ich mich für Eure Mühe, Eure Geduld und Eure Nerven bedanken. Ihr habt einen wirklich tollen Job gemacht, auch wenn der folgende Beitrag Delphi-PRAXiS - Einzelnen Beitrag anzeigen - Verschlüsselungs-Trojaner, Hilfe benötigt alle Hoffnung schwinden lässt.- Und mir gerade ehrlich gesagt zum Heulen ist! Ich wünsche Euch allen einen schönen Tag und eine angenehme Restwoche. Macht weiter so und lasst Euch von den Verbrechern nicht entmutigen. Herzlichen Dank, Christina |
Zitat:
an dieser Stelle würde ich mich mal an Lexware wenden, vielleicht sehen die dort eine Möglichkeit die Daten zu retten. Es ist ja bei den neueren Versionen nur der Anfang der Datei verschlüsselt. Währe auf jeden Fall ein Versuch wert da ja noch Daten vorhanden sind. Grüße |
gibte eigentlich shcon was richtung .doc oder .xls? mann müsste halt erstmal rausfinden, was ursprünglich welceh datei war;-) |
Hallo, auch ich hab mich gestern mit dem neuen verschlüsselungs-trojaner infiziert über eine email wo ich eine deckenleuchte für über 5000 euro gekauft haben soll um nach zu schauen was das ist habe ich den zip ordner geöffnet und dann absturz. dank kaspersky rescue cd konnte ich das system wieder herstellen aber alle dateien wie bilder, videos und okumente sind dicht, alle möglichkeiten ausprobiert-nix meine dateien sehen so aus LIQqxrlDsVdpEvQ wenn man mir helfen kann bitte schnell antworten da meine daten alle heilig sind :heulen: |
@benton18, da gibt es Recover for Office, ein modulares System. Dabei ist auch Recover for Excel. Das Packet ist aber so teuer, dass es sich wahrscheinlich nur für Firmen lohnt, wobei aber auch bei dem Tool Abstriche gemacht werden müssen. Recover for PDF habe ich ja schon hier beschrieben. Ich habe auch Recover for Excel und Recover for Word ausprobiert. Bei Excel stellte sich das so dar: Original: http://www.due-m.de/Trojaner/recover/excel2.jpg Recoverdatei: http://www.due-m.de/Trojaner/recover/excel1.jpg Du siehst, Texte in Zellen werden nicht erkannt und OLE-Objekte sicher auch nicht. Aber, die Zahlen passen zumindest und Berechnungsformeln passen auch. Bei Recover for Word war das Ergebnis hundsmiserabel, keine Formatierung, keine eingebetteten Objekte. Lediglich reiner Text, also ASCII, war einigermaßen zu rekonstruieren. Meines Erachtens lohn dieses Modul nicht. Volker Zitat:
alle Möglichkeiten? Zähle mal auf, was Du probiert hast. Volker |
Hallo nochmal, entweder habe ich es überlesen oder es ist noch keiner darauf eingegangen. Im Anhang habe ich eine Datei (.doc) die Hieroglyphen beinhaltet. Der Rechner wurde vor ca. 3 wochen befallen. XP! Gibt es dafür eine Lösung? Sorry falls ich es überlesen habe!!! Gruß Rainer |
Liste der Anhänge anzeigen (Anzahl: 1) Zitat:
leider nein. http://www.due-m.de/Trojaner/nfv.jpg Volker |
Ich habe heute auch einen Rechner mit der neuen Verschlüsselungsvariante des Trojaners bekommen. Ein Mitarbeiter bei uns war so unvorsichtig den Anhang einer Mail zu öffnen. Da auf diesem Rechner wirklich wichtige Dateien betroffen sind, habe ich mich nach intensiver Recherche hier im Forum und anderen dazu entschlossen ein Wiederhestellungstool zu benutzen, da es so aussieht, als wenn die Dateien nach der Verschlüsselung einfach gelöscht werden ohne in dem "Windows-Mülleimer" zu landen. Ich benutze TestDisk (Überprüfung der Partition und deren Wiederherstellung) und PhotoRec (Dateiwiederherstellung) von CGSecurity. Beides ist open source -> Kostenlos und hat mir schon große Dienste erwiesen. Vom Programmnamen PhotoRec nicht täuschen lassen, es können damit alle Dateien wiederhergestellt werden. Das wirklich gute, es gibt eine Deutsche Beschreibung und Hilfe. Beides kann unter www.cgsecurity.org heruntergeladen werden. |
@didi63 echt jetzt ? also auch daten wie music oder bilder können hergestellt werden ? ich glaube es gibt 2 arten von trojaner verschlüsserungen : einmal das mit der endung locked oder so und einmal dieses : AjhjhdaHyxbvbyb ohne endung funktionieren die open source programme auch auf diesen beiden verschlüsselungsarten ??? |
Auch ich bin von diesem Trojaner betroffen. Bekam eine Mail einer einschlägigen Website inclusive eines Anhangs. Muss aus Versehen diesen Anhang geöffnet haben:stirn: Durch Zufall habe ich von eurem Forum erfahren und euch auch schon 2 Mails mit den besagten Anhängen zugeschickt. Wäre echt toll, wenn ihr mir helfen könntet. Vielen Dank |
Nur um das klar zu stellen, es werden nicht die verschlüsselten Dateien entschlüsselt, sondern gelöschte Dateien wiederhergestellt. Das Wiederherstellungsprogramm PhotoRec kann dabei zwar DateiTypen erkennen, aber nicht den Dateinamen. Es wird ein neuer Dateiname generiert. Praktisches Beispiel: Die Datei Mandant001.mdb wird nach der Verschlüsselung gelöscht und ist auch nicht mehr im Windows-Mülleimer, dann kann PhotoRec die Datei zwar wiederherstellen, sie kann dann aber f0132445ff.mdb heissen. Also nicht die verschlüsselte Datei wird entschlüsselt, sondern die nach der Verschlüsselung gelöschte Originaldatei wird "undeleted". Ich habe auf diese Weise schon zwei von fast 400 Dateien wiedergefunden. Ist mühselig, aber das Ergebnis ist unbezahlbar. |
Zitat:
Der Trojaner löscht keine Datei, er überschreibt lediglich die Daten von 0000h bis 2fffh. Das macht er On the Fly, also so als ob ich Dir im Vorbeigehen einen Eimer Farbe ins Gesicht schütte und Du musst dann damit durch eine Gesichtskontrolle. |
also ich habe versucht so langsam meine ganzen musik dateien wieder herzustellen....es klappt bei 80 % dass man einfach die endung .mp3 dranhängt aber bei den 20 % obwohl es als mp3 wieder hergestellt ist KANN ICH ES NICHT ÖFFNEN UND HÖREN !!!!!!!!!!!!!!! WIESO NICHT ICH WERDE NOCH WAHNSINNIG :headbang: :headbang: :headbang: wieso klappt es bei den meisten aber bei den ausgerechnet NICHT ????? :( |
Zitat:
Dass die Datei abgespielt wird liegt allein an der Struktur einer MP3-Datei und am Decoder. Schon mal mit nem anderen Player probiert? Oder kann es eventuell sein, dass außer MP3s auch andere Dateien in den Ordnern waren, beispielsweise Cover oder M3Us (Titellisten). Das würde die 20% auch erklären. Volker |
Hallo zusammen, habe heute auch den ersten Kundenrecher mit so einem Teil bekommen. Scheint mir wieder eine andere Variante zu sein. Die Kundin hat per google etwas für die Schule gesucht und dann kam diese Meldung der Verschlüsselung. Mir scheint es also so, dass inzwischen das Zeugs auch auf Websites verteilt wird. Ich habe bisher schon einiges versucht, (abgesicherter Modus geht keiner) der Rechner verhält sich völlig normal, solange er keine Internet Verbindung hat, ist diese wieder hergestellt, kommt sofort wieder das Zahlbildchen. Kasperskys Rescue Disk hat zwei Sachen erkannt als "Trojan-Dropper.Win32.injektor.fdds". Diese (fdds) Endung konnte ich bisher nirgendwo finden und auf den ersten Blick sieht der Rechner (eigene Dateien) normal aus. Das ganze Ausmaß wird sich sicherlich erst noch zeigen. Kundin hat natürlich auch keine Sicherung gemacht und es gibt ja bald Zeugnise ;-) Gefunden wurde (im User Profil unter lokale Einstellungen) tpl_0_c.exe sowie im temp Internetfiles eine index1.htm, die als Trojan-Downloader.JS.Expack.si erkannt wird Noch habe ich diese Dateien nicht gelöscht, wenn ich diese hochladen soll, dann mache ich das gerne, auch wenn der Rechner ohnehin neu aufgesetzt werden wird. Sorry, weiß nicht wie ich das wieder angestellt habe... Könnte ein Mod den Post bitte ans Ende setzten, sonst ließt den ja keiner mehr, Danke hxxp://www.trojaner-board.de/115183-neue-verschluesselungs-trojaner-variante-umlauf.html#post845874 |
@Toschwil, was ist denn mit den eigenen Dateien, lassen die sich normal öffnen oder nicht? Das sieht nicht nach unserem Spezi aus. Was sagt denn ein Scann mit malwarebytes ? Volker |
Hallo Forum, seit 5 Tagen bin ich auch in den Fesseln dieses Trojaners. Viele (...) meiner Dateien wurden a la TWVvhvswcmjwsFDS verschlüsselt. Nachdem ich jetzt seit einigen Tagen mitlese ist mir bei "meinem Trojaner" folgendes aufgefallen : - Bilder wurden gar nicht verschlüsselt, jedoch alle MP3 (die sich durch Umbenennung .mp3 wieder abspielen lassen) und .doc - und .xls-Dateien. - die Software Malwarebytes habe ich seitdem mehrfach durch laufen lassen (Intensivscan) und die liest die Dateien aber mit ihrem richtigen Namen (also nicht ZTRFEvbbGZHBBb, sondern mit Elvis Presley - Fever.mp3) Anscheinend hat der Trojaner bei mir nicht ganze Arbeit geleistet, obwohl der Rechner danach weiterhin am Netz war. Zum Glück habe ich am Abend vor dem Befall meine Firmendaten gesichert, obwohl ich das (...zu...) selten mache ... den Rechner werde ich mit neuer HDD neu aufsetzen. Mich würde das Phänomen interessieren, warum Malwarebytes bei allen Dateien (also nicht nur MP3, sondern auch bei .mpg, .doc und .xls) mit dem richtigen Namen scannt und nicht mit der Dateiumbenennung ... ??? Grüße, smart8900 |
@smart890, fummelst Du noch mit dem infizierten System rum oder hast Du mit malwarebytes den Virus entfernen lassen? |
Den ersten Virusscan habe ich direkt nach der Zahlungsaufforderung im abgesicherten Modus mit Avira durchlaufen lassen (Intensivscan, 7 Trojaner gefunden), danach mit Malwarebytes (Quickscan, weitere Viren, Malware gefunden) und dann noch drei Mal Malwarebytes Intensivscan (beim ersten Mal mit zwei weiteren Funden), seitdem bei Avira und Malwarebytes sauber ... |
@UNDERTAKER : ja wie auch immer hauptsache es spielt die musik ab aber einige auch wiederrum nicht wieso nur ? und nein es sind keine anderen dateien enthalten ich weiß es habe es ja auch selbst sortiert :( es handelt sich immer um mp3 also wieso geht das nicht einer eine idee ? mit einem anderen player funktioniert das auch nicht es spielt es einfach nicht ab was auch immer obwohl die datei die zugehörige größe hat also 3 mb. weiß denn einer schon ob es einen tool gibt der alle verdammten dateien entschlüsselt OHNE die originalen mit hilfe zu nehmen ? für den verschlüsselungstrojaner ohne endung also GjhkqjhwjdhaGghhdg datei weiß denn einer wie dieser trojaner heisst ??? weil dann such ich selbst mal nach.... danke lg |
Zitat:
Zitat:
Zitat:
Zitat:
|
@Didi63 Photorec habe ich auch gestestet gehabt. Bei mir hat es nicht wirklich etwas an brauchbaren Daten gefunden. Ich habe hier im Fred ein Beispiel mit foremost beschrieben. Das hat bei dem Rechner, den ich wieder herzaubern sollte, geholfen. Zumindest brauchbare Dokumente gefunden. Ob es die letzte Version war, kann ich nicht sagen, da es nicht meine Dokumente waren .. Gruß Keks5 |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:59 Uhr. |
Copyright ©2000-2025, Trojaner-Board