|
@deraddi : danke..... also vcl auch probiert nicht funktioniert ich probiere das mit dem mp3direkt cut mal sehen ob es geht und für bilder gibt es ja die jpg recovery aber was ist mit dem dateien wo man nichtmal weiß was der ursprung mal war ? einfach löschen weil pech gehabt ? lg |
Zitat:
Wenn die gesamte Datei Datensalat scheint: => jpg oder mp3 ach so: bei mp3 mit TAGS v2.x steht am Ende (hoffentlich) Musiker & Titel. bei Office-Dokumenten (OpenOffice) steht z.B. noch was wie - META-INF/manifest.xml drin. bei PDF - << /Author bei DOC - W o r d D o c u m e n t etc etc... ansonsten: jemanden fragen, der sich mit sowas auskennt! PS: (Meine Meinung): Musik ist wurscht, die kann man neu kaufen. (oder illegal beziehen). Wichtig sind eher Bilder und Dokumente. Joh |
Guten Morgen, auch ich hatte gestern einen infizierten Laptop einer guten Freundin da. Wie sie sich infiziert hat kann ich leider nicht mehr sagen, sie sagte allerdings was von einem Anhang in einer Email. Leider habe ich diese nicht mehr. Der PC lies sich noch im abgesicherten Modus starten, wo es mir möglich war, alle verschlüsselten daten (hier überwiegend Bilder) in form von AesGodDtajjpoQyrVJGOD zu sichern. Nach der Datensicherung hab ich zuerst das OTL Programm versucht, dieses beendete sich aber mit einem Bluescreen. Anschliessend hab ich die Kaspersky Rescue Disk 10 durchlaufen lassen, welches auch einige Trojaner gefunden hatte. An die genauen Namen kann ich mich nicht mehr erinnern, irgendwas mit Ramsom... Aktueller Stand ist folgender: Laptop läuft wieder wie vorher, allerdings hatte ich noch vor, ihn komplett neu aufzusetzen, das wird am Freitag gemacht. Im moment häng ich noch an den verschlüsselten Dateien. Ich konnte mit dem programm JPEG Recovery von 5631 Bildern 4101 wieder herstellen. Also knapp 72%. Sollte jemand Hilfe für seine Bilder brauchen, biete ich mich ebenfalls an von euch Testbilder zu versuchen. Ansonsten liegen die verschlüsselten Daten noch zwei mal gesichert auf einer anderen Festplatte in meinem Rechner. LG und Vielen dank für die gute arbeit was hier im Forum geleistet wird. |
Hallo Miteinander, bin neu hier und wollte mal meinen Kenntnisstand vermitteln. Wir haben jetzt in einer Woche 3 Kundengeräte bekommen mit diesem Trojaner. Nach dem Hinweis von Didi63, der die Dateien mit Photorec wieder hergestellt hat, haben wir das System mit EasyRecovery von Ontrack gefilzt. Dabei haben wir herausgefunden, das dieser Trojaner lediglich das Inhaltverzeichis zerstört. Wir konnten alle Dateien mit RawRecovery wieder herstellen. Es sind dann nur alle Dateinamen wieder zuzuordnen, aber die Dateien sind wieder da. Viele Grüße |
Hy Bitfreak... ist diese möglichkeit die du da gefunden hast die datein zu verschlüsseln auch für XP... und wie bekomm ich den trojaner richtig von der festplatte.. Dadurch das cih den Taskmaneger noch nicht auf rufen kann hat man mir mittlerweile dazu gesagt das der Rechner in dieser hinsicht noch net sauber ist. Hatte bislang NUR malware drüber laufen lassen aber nun findet auch dieser nix mehr aber was dasein muss noch was.. |
Den Trojaner hab ich beseitigt wie hier im Forum beschrieben. Funktioniert auch bei XP. Wenn die Registry deaktiviert ist, hat man die Möglichkeit, mit Tuenup (Testversion reicht) auf die Registry zuzugreifen, dort kann man unter: HKCU\Software\Micorosft\Windows\CurrentVersion\Policies\System bei den 3 Einträgen: DisableRegedit, DisableRegitryTool und Disable TaskMGR alle Werte auf 0 setzen und die Registry funktioniert wieder. Die Verschlüsselten Dateien müssen dann von Hand gelöscht werden. Viele Grüße |
@BitFreak, möglicherweise ein Trittbrettfahrer oder Kommunikatstionsprobleme des Virus mit dem C&C Server, bevor die Codierroutine einsetzt. Möglicherweise auch doch eine Art von Mitleid der Trojanercoder. Ich würde mich nicht darauf verlassen, denn bisher wurden tatsächlich die Dateien von 0000h bis 2fffh umgeschrieben, nachdem der Virus den Decodierschlüssel an den C&C Server übertragen hatte. Hast Du den Dropper noch? Wenn ja, bitte an markusg schicken. Sendet uns den Virus Volker |
Leider nicht, die Mail lag bei denen auf dem Exchange-Server und wurde dann gelöscht. |
Hatte heute 2 PC's mit der 1.5xx.x - Version. Keine Verschlüsselung mehr - der C&C u.a. scheint "down" zu sein !? :killpc: |
Recht gute Ergebnisse bei der Wiederherstellung hab ich unter Ubuntu mit foremost und photorec erzielen können. Die Dateinamen und der Ort sind zwar weg (z.B.: output/jpg/12345.jpg), aber wenigstens der Typ wird erkannt. Besser als nichts! Ihr solltet zuerst ein Image der Platte mit dd_rescue erstellen und alles weitere dann aus diesem Image auf einer 2ten Platte machen. Vielleicht kommt ja doch noch eine komplette Lösung zum Entschlüsseln. |
Zitat:
Man sollte die Mail ja aus dem Mail Programm als eml speichern. Wie ist das bei Outlook machbar? Wenn ich auf speichern unter gehe kann ich die Nachricht nur als msg speichern. |
Dann entferne die Dateiendung im "Speichern unter"-Dialog und ersetze sie durch .eml und speichere sie ab. |
Zitat:
Mach mal aus einer setup.exe eine setup.txt - ist es dann eine Textdatei? Nein :pfeiff: |
Dein Einwand ist richtig und meine Beschreibung eigentlich nonsens, aber ich schieb das jetzt einfach mal auf markusg, der in seinen Beiträgen immer wünscht, dass ihm die Mails inkl. Anhang als .eml-Datei zugesandt werden, was von Outlook - Ausnahme ist Outlook Express - nativ gar nicht unterstützt wird. ;) Es reicht also grundsätzlich die Mail als .msg abzuspeichern, zu packen und dann als Anhang zu versenden, denn auch so bleibt der Text und der Anhang der Mail erhalten. Ich bin tatsächlich davon ausgegangen, dass Outlook mittlerweile so schlau ist und Dateinendung entsprechend erzwungen werden kann. Weiteres dazu hier: hxxp://superuser.com/questions/75581/how-to-save-a-mail-into-an-eml-file-with-outlook |
Ich versuche auch grade von jemanden die Daten wiederherzustellen, sind von einer SQL Database natürlich keine Sicherung. Bin dadurch auf Euer Forum gekommen super Lesitung hier. Habe verschiedene Threads durchgelesen, der Trojaner verschlüsselt ja die HDD bzw Teile der Daten davon. Hat hemand evtl schon Erfahrung damit gemacht wie das mit Netzwerkverknüpfungen aussieht? Geht er auch dabei oder lässt er die Daten darin in Ruhe. Genaus wie bei nicht aktiven Partitionen? Wäre schön wenn da jemand ne Antwort hat. |
@ BitFreak.. Habe mir nun tuneup geladen nur wo komme ich oder wie komm ich in den ordner... was du das geschrieben hast mit dem pfad... |
Tuneup2012 starten dann kommt in der Mitte Registrierung da auf bearbeiten dann zu dem Pfad klicken |
Es kann ja jeder tun was er will, ist ja ein freies Land, aber solche Ratschläge wie TuneUp Utilities auf unbedarfte User los zu lassen, halte ich für grenzwertig. Die Registry ist für das System sowas wie die DNA des Menschen. Wenn man da drin rumfummelt, ohne genau zu wissen was man tut, wird das System schnell zum Monster. Mal abgesehen davon, dass es überhaupt fragwürdig ist, irgendwelche Tuner oder Cleener auf die Registry los zu zulassen. Mir wird komisch in der Magengrube, wenn ich mir vorstelle, dass @Heike28 die Registry bearbeitet, wenn sie den Schlüssel HKCU\Software\Micorosft\Windows\CurrentVersion\Policies\System als Directory-Pfad betrachtet. Das ist nicht diskriminierend gemeint, woher soll das ein normaler Benutzer auch wissen. Nicht umsonst werden von unseren Helfern Registry-Fixes vorgegeben, die nur durch copy and paste übernommen werden brauchen. Wenn mans allein macht, ist es allemal besser die Rescuedisk eines AV-Anbieters zu nutzen. Volker |
Zitat:
Hauptsache man reibt das System mit Schlangenöl wie Tuneup ein :balla: => http://www.derfisch.de/tuneup-reloaded.html Und zu Registry-Cleaner poste ich jeden Tag min. zehn mal das hier! :headbang: Finger weg von Registry-Cleanern!! Die Registry ist das Hirn des Systems. Funktioniert das Hirn nicht, funktioniert der Rest nicht mehr wirklich. Wir lesen oft genug von Hilfesuchenden, dass deren System nach der Nutzung von Registry Cleanern nicht mehr startet.
Ein sogenanntes False Positive von einem Cleaner kann auch dein System unbootbar machen. Zerstörst Du die Registry, zerstörst Du Windows. |
Zitat:
Das Programm ist Freeware, ist z.B. auch auf Hiren's Boot CD drauf, damit kann man starten und die Platte unangetastet lassen: hxxp://www.hirensbootcd.org/ |
Zitat:
Welches SQL (M$, MySQL, PostGRE ...)? Welche Version? Welche Datenbankart? Konsolenprogramme versucht? Immer in Kopien arbeiten, denke dran. Bei MySQL gibt es Möglichkeiten Teile der DB zu reparieren. |
hallo und eine frage an die experten (bin nur laie), bin seit 30.05. mit den buchstabensalat-virus infiziert, habe alles gelesen und verfolge alles nahezu time-genau. bin durch einen post auf die suche gegangen und habe "Aidfile Recovery Software" gefunden. jetzt die frage: kennt sich jemand damit aus? oder hat es schon mal probiert? Hier kam ja oft die frage: wie erkenne ich beim salat ohne endungen um welchen dateityp es sich handelt: doc, xls, jpg usw. der download und scannen ist kostenfrei und hat auf meinem rechner ca. 9000 dateien analysiert und die richtigen dateitypen auch so benannt und fein säuberlich aufgelistet. es gibt auch noch eine kostenlose vorschauoption, die einem die datei und die entsprechende HEXE mit allen details anzeigt. hexe funzt, vorschau nur bei einigen bildern. um die dateien zu recovern oder neu zu speichern muss man aber ca. 70 € löhnen und ich weiss nicht, ob das was bringt. da es bei mir auch nicht so dramatisch ist, verzichte ich darauf. aber wenn jemand es sich leisten kann, will oder unbedingt muss... nur ne idee. mal sehen, was die experten sagen... |
@ingo_2810, warum postest Du das doppelt? Volker |
weil nicht jeder (Laie) ist hier und dort. ok |
Zitat:
Mal abgesehn davon, dass die Sache mit den Dateinamen interessant klingt. |
Hallo Zusammen, ich habe mir auf meinem Geschäftspc auch so einen blöden Verschlüsselungstrojaner eingefangen gehabt. Ich selber hab das Ding dann nur aus gemacht und zu den Fachleuten gebracht. Tja.. Trojaner ist weg, aber auch alle Dateien.. Es handelte sich wohl auch um eine ganz neue Version, wo wohl noch nicht geknackt ist. :-( Und ich habe schon wieder so eine "Email" in meinem Postfach, aber noch mal falle ich auf den Mist nicht rein... Ich hoffe das auch die neue Version bald entschlüsselt ist, dann bekomme ich meine alten Dateien wieder... LG |
@ undertaker ich will hier auch niemanden nerven, ihr macht eine super arbeit und seit mehr als gestresst. bin seit meinem befall am 30.05. hier, habe alles gelesen und immer tag-aktuell dabei. da kann ich verstehen, dass bei neuanfragen, wo auch niemand was gelesen hat und immer die gleichen dusseligen fragen kommen, einem die hutschnur hoch geht. kenne ich von deinen posts. haste aber recht. ich wäre wahrscheinlich schon mehrfach explodiert. aber ich sehe auch eine schwäche fürs weibliche geschlecht:knuddel: da bist du nachgiebiger. alles egal, riesen lob an euch und danke. ingo_2810 |
Zitat:
Andersrum wäre auch keine Option für mich. :blabla: Zum zweiten Teil, Danke! :dankeschoen: Volker |
Zitat:
Aus der Software AdvoWeb von Advoware Habe schon einige Tools über die BD gejagt aber bisher ohne Erfolg arbeite nur mit den Kopien :-), bin auf Backtrack ausgewichen und versuche damit was zu reparieren die Struktur der Software ist halt wichtig, die Amwältin hat keine Sicherung gehabt und waren nur über 500 Klienten :-( |
Guten Abend, ich habe folgendes Erscheinungsbild: Die Bilder werden in der Vorschau noch angezeigt (Dateiname ist erhalten geblieben), jedoch bei Versuch das Bild zu öffnen erscheint "ungültiges Bild". Ich könnte ein Originalbild und ein verschlüsseltes Bild zur Verfügung stellen. Danke und Gruß Heiko |
Hallo hab seit einigen Tagen den Geschäftsrechner meines Bruders in Bearbeitung. Die Dateien sind auch mit dem Buchstabensalat verschlüsselt und natürlich existiert auch keine Datensicherung. Habe nun vor zwei Tagen Recuva drüberlaufen lassen und konnte einen Teil der Daten insbesondere Word, Excel, pdf`s usw. in den meisten Fällen mit Dateinamen und Endungen wieder herstellen. |
hallo ich habe heute das vergnügen gahabt mein rechner neu auf zu setzen ich habe an virus@trojaner-board.de mal drei e-mails von mir geschickt mit den neuen trojaner drauf ich hoffen er hilft euch weiter würde mich über eine nachricht freuen |
@Undertaker Ich habe stichprobenartig die Daten getestet, es ließen sich alle öffnen. Entweder ist ein Trittbettfahrer unterwegs, oder aber aus irgendeinem Grund wurde nichts verschlüsselt. Ich konnte auch kein Textfile finden. Malwarebytes hat auch nur noch Adware gefunden, sonst nix. Habe die zwei Verdächtigen Files mal auf einen USB-Stick gezogen und könnte die hochladen. Das alte System läuft inzwischen in einer VM auf einem neuen Rechner. Bisher ist nichts auffälliges mehr festzustellen. Zitat:
Man kann diese Datenbanksicherung auch automatisieren (mit Boardmitteln), so dass für Notfälle immer ein Backup vorhanden ist. Viel Erfolg! |
Hallo, Ich habe Windows XP, Ich habe genau diesen Trojaner aus spam mail getroffen, viele meine Daten auf dem PC sind unbenannt gegangen, meistens url files, jpg, usw. Bitte, helfen, wie kann ich Daten wiedereinstellen, den ShadowExplorer passt nicht für XP Computer habe ich schon von viren saubergemacht. Guten Tag Nutzer Val Val , diese Mail wurde bei der Unterzeichnung von 1 O2 Mobilfunk Verträgen angegeben. Die Simkarten wurden bei der Vertragsunterzeichnung abgegeben. Sicher ist es Ihnen entgangen, dass die Rechnungsfrist der nachfolgenden Rechnung abgelaufen ist. Auf zwei Erinnerungen haben Sie auch nicht reagiert. Zwischensumme April: 920,92 Euro Wir bitten Sie, den Gesamtbetrag in den nächsten 7 Tagen zu überweisen. Die Telefone sollten an Ihre Adresse versendet werden. Leider waren mehrfache Zustellversuche nicht erfolgreich. Wir bitten Sie uns mitzuteilen was mit den beiden Handys (iPhone 4S) gemacht werden soll. Im im zugefügten Ordner senden wir Ihnen die Unterlagen, die des Passkopie des Unterzeichners, die Rechnungen so wie die Gesprächsauflistung. Teilen Sie uns bitte mit wo hin die Handys versendet werden sollen. Mit besten Grüßen Krämer GmbH Dannerallee 64 Bremen Telefon: (0900) 732 1651941 (Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr) Gesellschaftssitz ist Abenberg Umsatzsteuer-ID: DE661522680 Geschäftsfuehrer: Fabian Weiss |
Zitat:
bis auf die hier genannten Möglichkeiten und der Hinweise einiger Betroffener in ihren Beiträgen, gibt es momentan keine Lösung. Volker |
Zitat:
Dasi ist mein oberstes Gebot lieber einmal zufiel als zu wenig ^^ Die alte HDD habe ich als 2 fache Spiegelung und versuche auf einer wieder was herzustellen. Der Tip mit Recuva funktionierte hier leider nicht genausowenig wie Schattenkopie. Der vorherige Systembetreuer hat ganze arbeit geleistet und alles was mit Sichern zu tun hat ausgestellt:daumenrunter:. Es lebe Russisches Roulett. Abwarten weiter probieren und Forum lesen der Kampf ist erst vorbei wenn alles probiert wurde :-) |
Neue Verschlüsselungs-Trojaner Variante im Umlauf Hilllfee habe vor 2 tagen einen trojaner Generic.dx!b2rk gehabt jetzt sind alle meine dateien verschlüßelt... habe windows 7 mehr weiß ich nicht bin blond... wie bekomme ich meine dateien wieder es ist sehr wichtig... schatten kopien wurden nicht erstellt!!! danke im VR |
Zitat:
nun, die Haarfarbe sagt ja noch nix aus. Trojaner gehabt? Wo ist er hin? Wer hat ihn verscheucht? Wie sehen denn die verschlüsselten Daten aus? Um welche Dateien handelt es sich hauptsächlich? Wenn es so ist wie ich vermute, hilft nur ein Blick in das Top-Frame. Dort gibt es den Punkt 3 und einen Link mit passendem Namen dazu. Noch ein Rat, von sehr wichtigen Daten macht man mindestens eine Sicherheitskopie. Volker |
Zitat:
an den beiden Dateien hätte ich Interesse.. Schicke dir ne PN. Grüße |
Zitat:
DeUVgrEnTptxuJqAel gdxuvEjsDsUrgyEXaVt grAqTpUfQvoneltGrOqj jeVOEysetfrNqn LlsdVgNonTpsGuvqjeD lrAXeGsvrAyDpdVgJELT neDUfuvEnsDtGr nsDsxrgyApTVUJu psfJgnAslVdrgnEX svAsfJJLLllxxOgjjTT uJojelsUrOqopaftJuLy UrnasONAqaXdfQJEns vAqapdfuJoneDsxrOqjX VtvQLyDsGVONjnapUx XdfOrEnaptGuJyAs |
Das ist ja ein Ding. Und was soll der Herr Undertaker jetzt machen? |
Hi, beim rechner meiner freundin hat die neueste variante zugeschlagen. allerdings nur auf files mit ihrer ownership. dafür aber auch auf ihrem backup to disk folder. ich habe alle üblichen tools schon durch, ich bekomme nicht mal die jpg's entschlüsselt, obwohl ich einige orginale noch habe, shadow copies sind keine vorhanden. ist jemand an ein paar jpg interressiert, sowohl original und encrypted? |
Zitat:
Oder hat der arme User letzenendes doch allein Schuld weil er niemals Backups für nötig hielt? :wtf: |
@ cosinus Das sollte eine Antwort an @reval sein. Da ich meinen eigenen Beitrag komischerweise nicht mehr ändern kann, war es mir nicht möglich, das Zitat von dem User noch einzufügen. Tut mir leid, wenn es missverständlich rüberkam. Der Herr Undertaker macht hier einen guten Job. Leider muß er sich oft wiederholen, weil einige User offenbar nicht aufmerksam genug lesen. Dafür auf jeden Fall meinen Respekt, denn ich könnte das nicht. |
Hallo sonshice ;) Ist auch echt so ein scheiss ;) mit dem Verschlüsselungstrojaner Ich wollte nur meine persönliche rhetorische Note dazugeben zu einem Text von dir, den ich vorhin nicht richtig einordnen konnte. Ist schon völlig ok was du hier machst, weiter so! :) Und Herr Undertaker ja dem kann man garnicht genügend danken :daumenhoc |
Zitat:
|
Zitat:
Wie? Über die hosts? Monitoring? |
Hallo, bei einem meiner Kunden hatte ebenfalls dieser virus (v70) zugeschlagen. Nach langer Recherche und vielem probieren ist mir aufgefallen, das die Dateien scheinbar gar nicht SOOOO verschlüsselt sind, wie man denkt. Das Erste was auffiel, die MFT ist defekt. OK, Testdisk konnte da auch nix weiter ausrichten. Im Anschluss die suche nach Recovery-tools. Gefunden hatte ich recoverMyFiles von GetData. Das ganze über die Dateien mit maximalen Sucheinstellungen gejagt, und siehe da, mindestens 90% der Files gefunden (habe es nicht einzeln überprüft, daher keine 100%) und diese auf ein anderes Medium gesichert. Der anschließende Test ergab: Falls alle Dateiendungen (pptx waren ZIP, einige Textfiles sahen komisch aus) wurden richtig erkannt und konnten nach dem Sichern wieder ohne Probleme genutzt werden. Eventuell hilft das ja jemanden. Man sollte das glaub erstmal mit der Trial des Programmes versuchen... oder ein anderes Rettungstool nehmen.. Grüße Student :applaus: |
Zitat:
Aber die Anwender, die Emails mit Anhang einfach mal so öffnen, haben keine schuld ? Ich mein, wenn man sich in der heutigen Zeit nicht mal ein wenig Zeit nimmt, die Sachen eher zu kontrollieren und nicht einfach alles und jedes anklickt, hätten die Leute viel weniger Probleme.... |
Hallo studentl, Ich habe hier Testordner mit verschlüsselten Dateien der unterschiedlichsten Formate. Alle verschlüsselt in der Form erTGGbHzuGNHJ. AVI, BMP, DOC, DWG, DXF, EXE, JPG, TXT, XLS und ZIP Ich habe eben recoverMyFiles von GetData auf diese Ordner losgelassen. Nicht eine einzige Datei wurde erkannt, geschweige denn wiederhergestellt. Selbst nachdem ich den Dateien die entsprechende Extension verpasst habe, lief recoverMyFiles drüber weg. Testweise habe ich dann einen Scan auf dem gesamten Laufwerk gemacht. Dabei wurden jede Menge gelöschter Dateien gefunden, aber eben nur gelöschte. Zur Kontrolle habe ich dann den gesamten Order der verschlüsselten Dateien, einschließlich Unterordner, auf einen Stick kopiert und wieder gelöscht. Auf diesen Stick habe ich nochmals recoverMyFiles gehetzt. Das Ergebnis: Im root waren zwei verschlüsselte Dateien, recoverMyFiles hat beide wieder angezeigt, allerdings nach wie vor verschlüsselt. Weiterhin wurden über 12000 verlorene Dateiengefunden und als TXT deklariert, keine größer als 1MB. Aus dem Inhalt einiger dieser Textdateien kann man erkennen, dass sie Bestandteil einer AutoCAD DWG-Datei waren. Einige enthielten Textpassagen aber die meisten nur kryptische UDF8- und UDF16-Zeichen. Meines Erachtens handelt es sich hier um die Inhalte der einzelnen Sektoren, ohne Zusammenhang. recoverMyFiles tut ja in dem Modus auch nix anderes als andere RAW-Recovery Tools. Wenn Du 90% der Dateien wiederbeleben konntest, mache mal einen Step by Step Beitrag, am besten mit Screenshots. Bist Du Dir überhaupt sicher, dass es sich bei den wiederhergestellten Dateien um die Verschlüsselten handelt? Oder kann es sein, dass das vorher gelöschte Vorversionen waren? Irgendwie fehlt mir der Glaube, dass RAW.Recoverer die modifizierten 12k am Anfang einer jeden Datei so einfach wegstecken. Es sei denn, die Daten haben eine Blockstruktur und man findet Einspungpunkte in den Blöcken, wie beispielsweise bei MP3s und JPGs. Aber das ist ja bekannt und dafür gibt es schon Tools. Wirklich wichtig wäre eine effektive Methode Office-Dateien wiederherzustellen. Volker |
Zitat:
Lange Rede, kurzer Sinn: Ich wollte damit nur verdeutlichen, dass selbst der "Übervorsichtigste" einmal in so eine Falle tappen kann, auch wenn man sich noch so viel Zeit lässt um zu kontrollieren, wie von dir gefordert. Abschliessend möchte ich noch anmerken, dass ich mir allerdings auch bewusst bin, dass es Leute gibt, die wirklich alles anklicken, was sie sehen, ohne über mögliche Konsequenzen nachzudenken. Diesen Leuten ist allerdings wirklich nicht mehr zu helfen. |
Hallo an alle! Ich habe eine Frage: Mein Netbook war vor ein paar Tagen auch mit dem neuen Verschlüsselungstrojaner infiziert, aufgrund eines E-Mail-Anhang's. Doch habe ich ein neues Windows installiert (von Win 7 Starter zu Win 7 Home Premium), da ich für das Poblem keine Nerven mehr aufbingen konnte und bald verzweifelt bin. Vor dem Neuaufsetzen konnte ich unmittelbar nach dem Hochfahren des Netbooks, noch bevor das Trojanerbild erschien, ein USB Stick anschließen, auf dem ich 10-12 veschlüsselte Bilder kopieren konnte... Kann ich diese Bilder (.jpg) im Nachhinein totzdem "irgendwie" encodieren? Diese Bilder sind mir nämlich extrem wichtig... PS: Ein Bilddatei sieht ungefähr so aus: dGnHgHvjbhvjbhbJGHbmkHBKk (ohne Datei-Endung) (unter Typ steht "Datei") Dankeschön! |
Zitat:
Wenn es eine Chance gibt zur Rettung , dann nur mit dieser Datei. Wenn die Bilder groß genug waren hast Du vielleicht eine Chance das der User Forrest74 was mit seiner Programmlizenz zur Rettung von JPG machen kann. |
Hallo Lars, hast Du die Möglichkeit die Bilder in ein Archiv zu packen und irgendwo hoch zu laden? Dann schaun wir mal. Volker |
Zitat:
Zitat:
Leider greifen in deinem Fall, bzw. auch anderer gleich zwei Mechanismen: "Er hat es ja selber gemacht, selbst schuld!" und deine erhoehte Sensibilitaet als Betroffener. Kannst Du nur das beste daraus machen und versuchen andere davor zu bewahren. Gefeit ist niemand. Der Coder braucht nur Zugriff auf eine 0day-Luecke zu bekommen und dann ist Lotto wer betroffen ist und wer nicht. Das Ding ist ziemlich "professionell" gemacht und die arbeiten dran es besser zu machen. Allerdings ist der BWLer-Part im Team schlecht besetzt. Dort braucht es mehr Druck um die "Geschaeftsidee" am Laufen zu halten. Solange wie die Entschluesselung nicht funktioniert, werden Leute eher nicht gewillt sein, das Loesegeld zu zahlen. Und ich habe noch von keinem gehoert, wo die Entschluesselung erfolgt ist. |
@Undertaker: Hallo! Könnte ich dir die Dateien (Bilder) per E-Mail schicken? Wüsste sonst nicht wie ich es anstellen soll. Sind nicht groß die Bilder, vielleicht 1-2 MB zusammen. |
@deraddi: heißt das, wenn ich die Datei .$02 gesichert habe, das ich den rechner neu aufsetzen kann und trotzdem irgendwann mal die chance besteht die betroffenen Dateien zu retten? Danke Rainer SORRY! Erledigt da du es ja schon geschrieben hast!!! ;-) Da war mein Kopf zu langsam am frühen morgen! :-( |
Hallo, ist vielleicht für jemanden von der "Analyse" interessant... Ich habe gestern wieder bei einer "Kundin" die sich per Mail (PDF im Anhang) die Verschlüsselung eingefangen hatte. Dabei bemerkte ich zumindest für mich zum ersten bei zwei Dinge die ich so noch nicht gesehen hatte: 1. Ein Verzeichnis mit *.exe-Dateien unter C:\Windows\Installer\{F0559C5E-7912-4391-B1A0-6B975F0E5064} mit mitunter einer Schaddatei namens "SHCT_TRAY_PROGRAMG_A10D8603999C4E9488776EF2533C58C9.exe" 2. Ein Verzeichnis unter C:\Users\"Benutzername"\# welches eigentlich versteckt markiert war. Dies beinhaltet 4 Dateien... MBX@6CC@A02740.### MBX@6CC@A02770.### MBX@40C@1FA2740.### MBX@40C@1FA2770.### Leider kann ich mit dem Inhalt nicht wirklich was anfangen. "Mal abgesehen von "This program cannot be run in DOS mode." - verstehe ich da leider nicht viel von. :-( Vielleicht bilde ich mir was ein, aber in Datei 2 und 4 würde ich jeweils vermuten das es sich um eine "Schlüssel"zeile handelt. Aber wie gesagt, ich habe da keine wirkliche Ahnung von. Gesichert wurden von mir der REG-Eintrag, dieser Ordner, der Ordner ausm Installer-Verz., die ACHTUNG-LESEN.txt vom Desktop, Ein Ordner mit EXE-Datei aus %APPDATA%. Falls daran Interesse zur Analyse besteht...melden.^^ PS.: Ich hoffe ja eigentlich nicht der Entdecker einer ganz neuen Version geworden zu sein,... Grüße, Wavetable |
Zitat:
den Dropper selbst hast Du nicht mit gesichert? Gruß Volker |
@ Undertaker (Volker) Muss ich ganz ehrlich gestehen...was genau meinst Du/meinen Sie damit (also welche Datei)? Grüße, Wavetable |
den Trojaner, also die Datei im Anhang der Mail. Wenn Du so willst, den Installer des Virus. |
@ Undertaker, tut mir leid - den habe ich aktuell nicht. Ich frage mal eben an ob diese Person die Mail evtl. noch im gelöscht Ordner hat. Melde mich sobald ich Neuigkeiten dazu habe. Grüße, Wavetable @ Undertaker Hast ne PN...(hoffe ich zumindest, denn mein Postausgang zeigt keine an...*grübel*). Grüße, Wavetable |
Servus allerseits.... mich würd schon mal interessieren, wie viele Personen oder Pc´s von dieser Geschichte betroffen sind.... Weis da jemand was darüber?? Schönen Sonntag noch.. |
@ Sakradi Also ich habe zumindest mal irgendwo was gelesen das der Verschlüsselungstrojaner wohl ein "Versuchsballoon" in Deutschland sei. Ob das stimmmt - keine Ahnung. Rein vom Gefühl her könnte es aber stimmen, da ich mit diesem Verschlüsselungs-Trojaner (CTsdysRTVYXdC - Dateien) bislang nur "Deutsche Kunden" hatte. Leute die aus Österreich oder der Schweiz oder Frankreich an mich rantreten, waren bislang immer mit dem "alten" BKA/GEMA/GVU/Bundespolizei-Nervtöter infiziert oder hatten im schlimmsten Fall "locked-DATEINAME.wxyz" Varianten. Genaue Zahlen bzgl. der aktuellen Variante kann ich damit leider aber nicht liefern. Grüße, Wavetable |
wie viele Versionen gibt es eigentlich mittlerweile? Ich habe gerade 2 (für mich neue) hochgeladen. Laufen die Versionen jeweils mit unterschiedlichen Servern? Gruß Joh |
Zitat:
Zitat:
Tech Support Guy Volker |
Hallo zusammen! Ein Freund von mir hatte ebenfalls Probleme mit diesem Virus. Allerdings stellte sich sein Problem noch etwas anders dar, als es hier überwiegend geschildert wird. Bei dem Rechner handelt es sich um einen ca. 8 Jahre alten IBM ThinkPad (lenovo 60) Centrino Duo, mit Windows XP Professional SP3. Nach dem Boot-Vorgang erscheint normal die Login-Maske und fragt nach dem Passwort. Nachdem dieses eingegeben wurde, erscheint für etwa 1 Sekunde das Hintergrundbild, gelegentlich auch noch die Desktop-Icons, dann wird der Bildschirm schwarz und es erscheint das hier im Thema vorgestellte Bild der gefälschten Warnmeldung und der Zahlungsaufforderung. Vom Desktop ist nichts zu sehen. Die Tastenkombination strg-alt-entf beseitigt den Trojaner-Bildschirm und führt zum klassischen XP-Menü auf schwarzem Hintergrund, das unter anderem die Schaltfläche zum Herunterfahren beinhaltet. Die Schaltfläche zum Aufrufen des Task-Managers ist ausgegraut. Der Task-Manager kann nicht aufgerufen werden. Wird die Schaltfläche Herunterfahren aktiviert, dann gelangt man kurzzeitig auf den Desktop. Keines der Icons scheint verschlüsselt zu sein. Es erscheinen diverse Medlungen, dass Prozesse nicht reagieren und zwangsweise beendet werden. Während dieses Vorgangs ist es nicht möglich irgendein Programm noch auszuführen. Der Computer fährt schließlich herunter. Der Computer verfügt über ein eigenes "Rescue and Recovery 3" System, nach eigener Angabe basierend auf ThinkVantage Technologie. Dieses kann während des Bootvorgangs mit dem blauen ThinkVantage-Button aufgerufen werden, eine Besonderheit des Computerkeyboards. Nachdem mir die hier geforderten Maßnahmen wie OLT.EXE oder gar die Installation bestimmter Antivirenprogramme aufgrund der Sperrung des Desktop durch den Trojaner nicht möglich war, habe ich dieses Programm während des boot-Vorgangs gestartet. Hier konnte ich Zugriff auf das Dateisystem nehmen. Die Dateien waren nicht umbenannt worden. Es war auch möglich, von den Dateien im Rahmen des Programms eine Sicherung anzulegen. Allerdings war es nicht möglich, die Dateien auf einem UB-Stick zu speichern oder gar auf eine CD zu brennen, obwohl die Hilfe dieses Programms diese Möglichkeiten explizit nannte. Die Dateien wurden wohl auf einer internen Partition gespeichert. Ich war mir zu diesem Zeitpunkt noch nicht sicher, ob die Dateien nun verschlüsselt sind oder nicht, war aber insofern vorsichtig optimistisch, weil das Programm sie kopieren konnte. Ich besorgte mir schließlich von einem Bekannten, der in der EDV-Betreuung eines Unternehmens arbeitet, eine Windows XP-Boot-CD. Mit dieser ließ sich das System zunächst auch starten. Tatsächlich erschien der Trojanerbildschirm nach dem Einloggen zunächst nicht. Das System arbeitete aber sehr langsam. Der USB-Stick konnte gelesen werden, allerdings nach etwa einer Minute erschien der Trojanerbildschirm. Damit war ein Arbeiten auf dem Desktop nicht mehr möglich. Neustarts auch mit der Boot-CD brachten jetzt immer den Trojanerbildschirm von Anfang an. Daher startete ich einen neuen Versuch mit einer im Internet verfügbaren Linux SystemrecoveryCD, die von CHIP online angeboten wird. Ein Boot mit dieser CD war jedoch nicht möglich. Die CD führte zu einem Black-Screen/Freeze während des "Loading modules"-Vorgangs. Ein weiterer Versuch mit einer Knoppix-LiveCD scheiterte ebenfalls. Schließlich stieß ich auf den Trinity Rescue Kit, der ebenfalls Linux basiert ist. Damit war es mir möglich über den Midnight Commander sämtliche Dateien auf einen USB-Stick zu kopieren und auf einen anderen Rechner (ohne wichtige Daten) zu übertragen. Gründliche Virenscans mit allen bekannten Programmen haben keine Funde angezeigt. Die Dateien sind nicht verschlüsselt oder sonstwie beschädigt und können normal genutzt werden. Da somit alle Daten gerettet werden konnten, steht einer kompletten Neuinstallation des Systems nichts mehr im Wege. Insofern brauche ich diesbezüglich auch keine Hilfe mehr. Die Frage, die ich hier habe ist: Was kann ich noch tun, bevor ich eine komplette Neuinstallation durchführe, um Euch bei der Erforschung/Bekämpfung dieses Virus zu helfen? Dabei wäre zu beachten, dass es nicht ohne weiteres möglich ist, Programme auf dem Computer zu installieren, da der Trojaner hier jede Möglichkeit sperrt. Mein Freund und seine Frau konnten mir keinerlei Hinweise darauf geben, wie der Virus auf den Computer gekommen ist. Nach ihrer Aussage wurden keine unbekannten Emailanhänge geöffnet. Man muss dazu sagen, dass beide sehr, sehr wenig Ahnung von Computer haben, weswegen sie sich auch an mich gewandt hatten. Wobei ich selber jetzt auch kein ausgesprochener Computerspezialist bin. Jedenfalls weiß ich nicht genau, wie bzw. wo ich die Schädlingsdatei finde und wie ich sie ggf. sicher, dh ohne andere Rechner zu gefähren, an Euch zwecks Analyse weiterleiten kann. Ich bin mir jetzt auch nicht sicher, ob der Virus eine ältere oder ganz neue bislang unbekannte Variante dieses Trojaners darstellt oder der Virus lediglich durch besondere Umstände an seiner eigentlich vorgesehenen Ausführung gehindert wurde. |
Zitat:
Zitat:
Meine Infektion stammt von heute morgen 01:00, ist infolgedessen wohl die aktuellste Version. Ich habe die betroffene Festplatte danach ausgebaut (2,5" S-ATA aus einem Fujitsu Livebook 320 GB, Windows 7 -64) und betreibe den Rechner von einer externen Festplatte, auf die ich ein Linux installiert habe. Wenn jemand aus der Hamburger Gegend Interesse hat, sich die Platte anzusehen, würde ich sie gerne (ggf. auch noch heute, wenn man den Treffpunkt per PN vereinbaren kann) persönlich leihweise übergeben. Die Daten sind zum überwiegenden Teil Bilder im jpeg- und im NEF-Format. Auf die während der Infektion angeschlossene CF-Karte konnte ich danach von der Live-DVD der Linux-Welt noch zugreifen. |
Es gibt zumindest einen englischen Kunden. Tech Support Guy Volker[/QUOTE] hey volker, meine freundin gat sich das teil bei yahoo.de eingefangen und sie war gott sei dank nicht mit der domain verbunden.mein mail scanner hätte das teil nicht zugelassen. außerdem Republik of Ireland, nicht england, grrrr. |
Nach den Ausführungen im Delphi-Forum zu urteilen, gibt es wöchentlich eine aktualisierte Variante. Meine Infektion stammt von heute morgen 01:00, ist infolgedessen wohl die aktuellste Version. Ich habe die betroffene Festplatte danach ausgebaut (2,5" S-ATA aus einem Fujitsu Livebook 320 GB, Windows 7 -64) und betreibe den Rechner von einer externen Festplatte, auf die ich ein Linux installiert habe. Die Daten dort sind zum überwiegenden Teil Bilder im jpeg- und im NEF-Format. Auf die während der Infektion über USB (vermutlich) angeschlossene CF-Karte und die darauf befindlichen Bilder konnte ich danach von der Live-DVD der Linux-Welt noch zugreifen. Ein Blick auf die inzwischen kurz noch einmal eingehängte Platte ergab jedoch, daß dort fast alle Dateien (mit Ausnahme derer in den Programm- und Programmdatenverzeichnissen sowie der im Windows-Verzeichnis) komplett umbenannt wurden und man schon deshalb kaum weiterkommen wird, weil nicht mehr so ohne weiteres klar ist, welche Datei welchen Typs war. Es ist daher auch (abgesehen von der unverseht gebliebenen Benennung der Datenverzeichnisse) nicht mehr ohne weiteres möglich, aus den Verzeichnissen einzelne Dateien zu identifizieren, bei denen sich der Aufwand einer Restaurierung lohnt. Hier ergibt sich abseits der Untersuchung des jeweils aktuellen Virus und seiner Funktionsweise ein weiterer Aspekt: Haben wir es tatsächlich mit besonders ausgefeilter Beschaffungskriminalität zu tun oder soll die Erpressung nicht vielmehr über andere Hintergründe hinwegtäuschen? Soweit ich mich heute in die Materie hineingelesen habe, ist bei diesem Stand des Schädlings eine Lösegeldzahlung rausgeworfenes Geld, da damit vielleicht ein Zugriff auf die Maschine möglich wird, den man aber auf einfache Art auch anderweitig erlangen kann. Mit einem Zugriff auf die Daten hat das noch lange nichts zu tun. Der Rechner kann offenbar selbst nach einer vermeintlichen Freischaltung nach einer Zahlung nur als Schädlingsschleuder dienen. Sind die Daten unrettbar verloren und kann man den PC nur komplett neu aufsetzen (ggf. mit einer neuen, größeren Platte), besteht kein Grund, über eine Zahlung an die Verbrecher auch nur ernsthaft nachzudenken. Das müßte jedoch über die Medien (Heise bspw.) entsprechend eindringlich publiziert werden. So wie die Masche derzeit aufgezogen ist, bringen auch Appelle zur Vorsicht nichts. Man sieht sich mit einer anderen Straftat konfrontiert (Idenditätsklau, Erwerb von Waren auf fremde Rechnung in beträchtlichem Wert) und greift nach den angeblich im Anhang enthaltenen Detailinformationen der Bestellung und der avisierten Abbuchung, um sich dagegen verteidigen zu können. Die e-mail enthält zwar eine Zip-Datei, aber es gibt weder in deren Inhalt Einblick, so daß man dort einer executable angesichtig würde, noch wird die für den Nutzer sichtbar ausgepackt. Windows erklärte nur, dafür kein Programm zur Verfügung zu haben. An der Stelle war dann aber ohne sofortiges zweckentsprechendes Handeln schon alles zu spät. |
Zitat:
Zitat:
Sind wir schon über der 2.011 ? Ich bin nicht mehr auf dem laufenden. Volker |
Nachtrag: Der Trojaner meldete sich übrigens am 5.6. Die Dateien meines Freundes waren gespeichert unter Dokumente und Einstellungen/All Users/Dokumente/Daten. Wie gesagt, ich konnte überhaupt keine verschlüsselten Daten finden. Alle Dateien sind noch unverschlüsselt. Ein Zugriff in irgendeiner Form auf den Desktop war nicht mehr möglich. Windows-Boot-CD half auch nicht. Nur mit TRK 3.4 konnte ich die Dateien retten. Aber auch die Besipielbilder waren nicht verschlüsselt. Was ich auf dem Desktop gefunden habe, ist eine ACHTUNG-LESEN.txt mit MTime 5.6.2012 16:36. Ich habe in einem TEMP-Ordner außerdem folgende Dateien mit gleichem MTime gefunden (das Sternchen * mag Midnight Commander bedingt sein und an sich nicht zum Dateinamen gehören): - *BC9501FD4F4E454C4F567375 - *Desk.$00 Folgende weitere Dateien scheinen mir nach allem was ich dazu gelesen habe, suspekt (ebenfalls in dieser TEMP): - *moptlybuje.pre mit MTime 4.6.2012 18:09. - *~DF3348.tmp mit MTime 16.6.2012 12:40. (Das dürfte etwa der Zeitpunkt gewesen sein, als ich die Windows-Boot-CD ausprobiert habe) Grund für die fehlende Verschlüsselung mag gewesen sein, dass der Rechner nicht über W-LAN sich automatisch mit dem Internet verbinden kann. Vielmehr ist dies nur über eine Kabelverbindung möglich, die nur bei entsprechender Notwendigkeit hergestellt wird. Darüber hinaus handelt es sich um eine Wählverbindung, die (zumindest grundsätzlich) erst vom Benutzer aktiviert werden muss. Keine Ahnung, ob das hilfreiche Informationen sind. Ich hoffe es jedenfalls. Rein rechtlich gilt (und hier bin ich ein Fachmann): Unbedingt Anzeige erstatten. Die Staatsanwaltschaft kann nur aktiv werden, wenn sie von einem Fall weiß - und das geht eben über eine Anzeige. Dazu ist die Einhaltung einer bestimmten Form nicht erforderlich, aber es sollte klar sein, dass eine schriftliche, möglichst präzise und ausführliche Beschreibung des Sachverhalts nach Möglichkeit mit allen vorhandenen Beweismitteln die Aufgabe der Staatsanwaltschaft enorm erleichtert. Erkenntnisse, die bereits hier und andernorts über den Trojaner gesammelt wurden, sollten auch an die entsprechende Behörden weitergeleitet werden. |
Ein Amerikaner, oder wer weiß was für einen Nationalität, ----> A virus renamed all my files (Word, jpeg etc) with the prefex "locked" and encrypted them - Malwarebytes Forum er hat sich nicht weiter dort im Forum dazu geäüsert.... |
[QUOTE=Undertaker;847804]Au weia, verzeihst Du mir. na ja, kann ja mal vorkommen, aber aus einem pub hier wärst du nach der aussage nur ziemlich lädiert rausgekommen.:pfui: habt ihr irgendeinen anhalt wie die .$02 und die 3 anderen files enkrypted sind? |
Zitat:
Deine Funde sind zweifelsfrei Teile die der Schädling hinterlässt, sie sind in der Form bekannt und deuten auf eine Version 1.0xx.1 oder höher hin. Wenn Du in TMP keine Datei der Form [RechnerID].$02 gefunden hast, welche die Keys der verschlüsselten Dateien enthält und keine Dateien verschlüsselt wurden, wurde der Prozess unterbrochen, warum auch immer. Deine Vermutung ist sehr plausibel. Wichtig ist nur, dass der Virus entfernt wurde und nicht beim nächsten Internetzugriffs den C&C Server kontaktiert und sein Werk vollendet. Gruß Volker |
Die geretteten Dateien sind zweifelsfrei nicht befallen. Der befallene Rechner wird komplett neu aufgesetzt, so dass da nichts mehr übrig bleiben sollte. Ich habe mich hier nur gemeldet, um zu wissen, ob ich vor der Formatierung und Neuinstallation noch etwas beitragen kann, wozu eventuell die Schädlingsdateien etc. benötigt werden. Da ich im Moment nicht so recht weiß, ob und wie ich an die rankomme bzw. ob es überhaupt sinnig ist, die noch zu sammeln. Es ist ja auch nicht ganz ungefährlich. Ansonsten würde ich den Rechner einfach komplett neu aufsetzen. Danke für die freundliche antwort und die wichtigen Hinweis! |
Zitat:
__in ALG_ID Algid, // 0x00006801 Nach MS ist der ALGID 0x00006801 = RC4. Ob das bei der Version 2 auch noch so ist, weiß ich nicht. Es ist aber auch egal, solange der Schlüssel für die doppelt verschlüsselte Datei *.$02 irgendwo im Web liegt. Volker |
Zitat:
und kam erst heute früh an, denn ich hatte den Briefkasten kurz vor Mitternacht noch einmal geleert (das Ding liegt noch im online-Postfach). Und kurz nachdem war auch die Platte platt. Ich habe derzeit keine Anhaltspunkte für eine Karenzzeit. Zitat:
Nur die wenigsten richten eben heutzutage ihren Rechner so ein, daß er nicht alleine ins Internet kann, auch wenn das aus jetziger Sicht sinnvoll wäre. Zitat:
|
Vorsicht! Mein Virus ist im zip hier: (Viren-Link entfernt!) Brief habe ich von: bse2058@tiscali.dk Guten Tag Nutzer Val Val , diese Mail wurde bei der Unterzeichnung von 1 O2 Mobilfunk Verträgen angegeben. Die Simkarten wurden bei der Vertragsunterzeichnung abgegeben. Sicher ist es Ihnen entgangen, dass die Rechnungsfrist der nachfolgenden Rechnung abgelaufen ist. Auf zwei Erinnerungen haben Sie auch nicht reagiert. Zwischensumme April: 920,92 Euro Wir bitten Sie, den Gesamtbetrag in den nächsten 7 Tagen zu überweisen. Die Telefone sollten an Ihre Adresse versendet werden. Leider waren mehrfache Zustellversuche nicht erfolgreich. Wir bitten Sie uns mitzuteilen was mit den beiden Handys (iPhone 4S) gemacht werden soll. Im im zugefügten Ordner senden wir Ihnen die Unterlagen, die des Passkopie des Unterzeichners, die Rechnungen so wie die Gesprächsauflistung. Teilen Sie uns bitte mit wo hin die Handys versendet werden sollen. Mit besten Grüßen Krämer GmbH Dannerallee 64 Bremen Telefon: (0900) 732 1651941 (Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr) Gesellschaftssitz ist Abenberg Umsatzsteuer-ID: DE661522680 Geschäftsfuehrer: Fabian Weiss Was für Virus ist das? danke |
Zitat:
Insofern ist die Infektionszeit kein Garant einer bestimmten Version. Vielleicht war's auch ein Trittbrettfahrer, der einen alten Dropper verschickt hat. Volker |
Seit 05.06.2012 ist auch mein Rechner platt. Alle Daten sind verschlüsselt (Format JvsaaLrrslDLQQdXXygg) Auf dem Desktop findet sich die ACHTUNG-LESEN.txt Sehr geehrte Damen und Herren, anscheinend wurde das Update Programm vollständig unterbrochen. Jetzt kann das Virus nur manuell beseitigt werden. Dies brauchen Sie um Ihre Dateien benutzen zu können. Falls Sie also die gesperrten Daten brauchen, senden Sie uns bitte 200 Euro Ukash Code an die Email: security-center@inbox.lt, so bald dieser Code geprüft wurde, erhalten Sie ein Update Programm. Falls Sie Ihre Daten nicht brauchen raten wir Ihnen dringend Ihren Computer zu formatieren um den Virus vollständig zu entfernen. Ukash können Sie an einer beliebigen Tankstelle erwerben und auch in mehreren Internetcafes in Ihrer Nähe. mfG Ihr Security Team |
Zitat:
Was reval da mit den iphones schreibt, ist ja auch eine interessante Geschichte - aber eben nur, wenn man das zeitnah liest. Ist die mail ein halbes Jahr alt, denkt sich vielleicht der eine oder andere, daß sie sich durch Zeitablauf erledigt hat. Für mich stellt sich jetzt - wie schon anderswo angeboten - die Frage, ob sich die Platte von Euch jemand jetzt ansehen will. Erstatte ich Anzeige, dann liegt das Ding ja auch bis irgendwann bei der Staatsanwaltschaft. Vom nächsten Gehalt kriegt der Rechner dann 'ne SSD, damit der Mist wenigstens zu irgendwas gut war. |
hallo, ich hab bei nen bekannten versucht die bilder mit jpe recovery pro 5.0 wiederherzustellen. er hat die vollversion. leider funktioniert es nich die bilder wiederherzustellen. wenn ich aber thumbnails anklicke funktioniert es. aber da sind die balder halt winzig. kann mir einer helfen? |
hallo ich habe losung ,, ist geknakt Trojan.DownLoader6.13806 für entschlussen bite hier Trojan.Matsnu.1 runterladen |
What?! :wtf: |
Zitat:
wenn es wirklich funktioniert "gaaaanz tiefer kotau" |
Hacker schickte einen Brief auf Deutsch geschrieben und hat einen Header, der den Namen des Empfängers enthält. Die Nachricht enthält eine angehängte zip-Datei mit einem Namen oder Abrechnung Rechnung. Versuchen zu laufen eingebettet in diesen Dateien das Programm führt zu der Tatsache, dass alle Dateien auf dem Computer des Opfers Festplatte verschlüsselt wird. Das Risiko für die Benutzer, in diesem Fall ist ein bösartiges Programm, das den Namen erhielt Trojan.Matsnu.1 . Im Laufe des letzten Tages im technischen Support von "Doctor Web," gab es mehr als 50 Beschwerden von Personen durch die Wirkung des Trojanischen betroffen - im Grunde, die Menschen in Deutschland. Experten der Firma "Doctor Web" in kürzester Zeit analysiert Malware Trojan.Matsnu.1 und entwickelte ein spezielles Tool, das Benutzer-Daten zu dekodieren können. Dieses Programm kann kostenlos heruntergeladen werden bei ftp.drweb.com/pub/drweb/tools/matsnu1decrypt.exe . Wenn Sie Entschlüsseln von Dateien mit dem Dienstprogramm weder dem Prozess vollständig ausgeführt wurde, können Sie sucht Hilfe aus dem Virenlabor von "Doctor Web", indem Sie eine Fahrkarte in die Kategorie der " Antrag auf Behandlung . " Dieser Service ist kostenlos. klappt super.... nür für entschlussen brauchen sie eine original detei und verschlüsselte das was. |
Zitat:
inzwischen gibt es die version 56? , intern 2.000.11 , die AES256 verschlüsselt. Da hilft kein Tool mehr, sorry... Aber danke für Deine nett gemeinte Information. |
Wollte ich auch grad schreiben.. Wäre zu schön gewesen um wahr zu sein.. Aber bei der alten Version helfen, wenn ich micht irre, auch schon die Programme ie unter 8 Tools verlinkt sind... Und bei den neueren Version gibts noch keine "decrypter"... Ausser halt bei Win7 und Vista noch die geringe Chance mit shadowExplorer... |
Zitat:
http://www.trojaner-board.de/114345-...rojaner-5.html und natürlich auch hier in der Übersicht aufgeführt http://www.trojaner-board.de/114783-...tml#post825222 |
nur leider hilft bei den späteren variannten keines. |
Zitat:
Woher hast Du diese Info? Gruß Volker |
Zitat:
|
Kann es sein dass ein Trojaner Daten verschlüsselt diese aber normal aussehen? ALso ohne locked-xxx oder AFZSBFZF Namen? Seit auf diesem PC welchen ich gerade bearbeite ein Trojaner geöffnet wurde, gehen keine Dokumente mehr. Wenn man die JPEG-Bilder im Notepad öffnen sieht man auch nicht dass es eine "JPEG" sein müsste, also dürfte sie verschlüsselt sein... |
Zitat:
Volker |
Zitat:
Hab es nun mit 3 Decrypter probiert, keiner funktioniert. Gibts hier noch Möglichkeit auf Datenrettung? |
Schau mal oben über dem Thread unter Punkt 3... Oder, sofern du WIn7 / Vista hast, kannst du es auch mal noch mit ShadowExplorer probieren... |
Habe selbstverständlich schon einen ausführlichen Bericht gepostet, inkl. Logs. PC läuft unter XP. http://www.trojaner-board.de/117534-...tml#post848202 Aber danke für den Hinweis auf Punkt 3. :kloppen: |
Zitat:
Fetter geht das HIER! schon nimmer. |
Zitat:
Bei Openoffice-Dateien kann eine manuelle Datenrettung wie folgt funktionieren: i) Umbenennen der Datei nach .zip ii) Kopieren der Datei content.xml aus dem Hauptverzeichnis iii) öffnen einer ähnlichen (funktionierenden) OO-Datei als .zip iv) Einfügen der content.xml Hinweis: - hier funktioniert es vor allem deshalb, weil mein Kunde je Dokument Bilder eingefügt hat. Diese werden am Anfang der Datei gespeichert, so das der eigentliche Inhalt (content.xml) unverschlüsselt bleibt |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 11:10 Uhr. |
Copyright ©2000-2025, Trojaner-Board