Peter, Du hast zweifelsohne Recht und ich versuche angepasst auf die Fragesteller einzugehen, wobei aber der Ton die Musik macht.

Ich habe hier Leute "kennengelernt", bei denen ich für eine verständliche Erklärung auch mal im Urschleim krame,
aber auch Besserwisser, bei denen ich dann nix mehr sage.

Gruß Volker

Nun, lange genug habe ich mit und später dann auch in einer Softwareschmiede gearbeitet (nicht als Programmierer oder Supporter), um zu wissen, was das für Euch bedeutet.

Hier war das offenbar schlicht nicht nur ein Mißverständnis - der gute Mann hat geglaubt, für die Wiederherstellung aller zerstörten die dazu passenden unzerstörten Dateien zu benötigen - das war ja auch mal so, nur das man da _nur_ein_einziges_Pärchen_ zur Erkenntnisgewinnung für die restlichen paar tausend Dateien brauchte. Das hatte mich im ersten Moment auch etwas verwirrt, aber in solchen Situationen hilft einem in der Regel stures Weiterlesen irgendwann auf die Sprünge.

Hey Technik,

hast Du das Zeug schon entschlüsselt bekommen? Ich versuche das auch erade, bei mir sind es hauptsächlich Textdateien :(

Verschlüsselungs Trojaner 2.0
 

Wir retten alle Ihre Daten (ausser Windows XP). Auch nach Angriffen des neuesten Verschlüsselungs Trojaners!
PC, Laptop einschicken, 2 Tage später haben Sie alle Ihre Daten wieder!

Datenrettung bis 500 MB = € 45,00, je weitere 500 MB plus € 15,00.

Sinnvoll danach komplette Neuinstallation, mit allen Treibern und allen wichtigen Programmen = € 65,00

Computerfachgeschäft
***
:taenzer:

moin moin,
eine ziemlich kühne Behauptung, wobei ich besondern Wert auf alle lege.
Garantiert Ihr dafür?
Wie sehen denn die Vertragsbedingungen aus, wenn ich Euch damit beauftrage?

Volker

So ein Schwachsinn! Die hoffen einfach nur darauf das die Windows Schattenkopien aktiviert sind und kopieren alle Dateien mit dem ShadowExplorer, also reine Abzocke! Selbst jemand ohne IT Wissen könnte die Daten aus einer Schattenkopie wiederherstellen ....

@ computerfach

Schließe mich der Frage von Undertaker an. Das würde mich auch mal interessieren.^^


Grüße,
Wavetable

Hallo,
war im Internet am surfen und plötzlich hatte eine Bild wie die vom Verschlüsselungstrojaner. Nur auf dänisch. unten stand irgend etwas von 100€ und ein Code button. Der Rechner konnte noch im abgesicherten Modus gestrtet werden. bei mir habe ich eine Wiederhestellungspunkt von mittags wieder hergestellt und im Moment kann ich wieder arbeiten. Ist etwas von einer dänischen variante bekannt.
Rechner Windows 7 Prof
Kaspersky internet security 2012 (eigentlich aktuell)

Ob auf dem rechner irgend etwas verschlüsselt wurde kann ich im moment noch icht sagen. wird beim befall alles verschlüsselt oder nur gewisse teile ?
Gruss
Ralf

na klar, wenn da außer xp steht kannst ja eig nur shadow explorer sein.

trojaner board:
wir retten ihre daten, 0 €, wer mag kann aber spenden, der computer bleibt zu haus, 2 tage können wir aber nicht garantieren :-)
aber dafür kennen wir noch ein paar möglichkeiten für xp, gibts auch, ohne aufpreis.

Hallo Ralf,

Die erscheinende Grafik bedeutet nicht zwingend, dass es sich um einen Verschlüsselungstrojaner handelt.
Wenn, dann werden die Dateien sofort verschlüsselt.
Betroffen sollten zumindest Deine Eigenen Dokumente, unabhängig vom Format (Text, Bild, Video), sein.
In der Regel werden auch die Zugriffsrechte eingeschränkt, beispielsweise auf den Taskmanager und den Registryeditor.

Es kann aber auch eine Variante der schon länger bekannten GVU/BKA-Trojaner sein, ohne Verschlüsselung.
Das ist sogar anzunehmen, da der Verschlüsselungstrojaner bisher nur über Mailanhänge verbreitet wird und nicht so einfach beim surfen, also Drive-By, auf den Rechner kommt.
Auszuschließen ist es allerdings nicht, auch der Verschlüsseler wird weiterentwickelt und modifiziert.

Eine dänische Variante ist durchaus möglich. Der massive Einfall in Deutschland seit April 2012 wurde von Malwarespezialisten schon im Mai als "Testlauf" für eine weitere Verbreitung angesehen.
Mir persönlich ist ein Fall vom Mai/Juni aus Irland bekannt.

Volker

na es gibt sie schon mit verschiedenen texten holländisch, englisch usw.
zumindest die bka und sonstigen malware variannten.

Das ist schon harter Tobak und verdammt teuer :wtf: Ich bin selber selbstständig und habe viele Leute die sich den Trojaner eingefangen haben, als ich den ersten mit dieser neuen Verschlüsselung hatte, hab ich ganz schön komisch geguckt weil wirklich gar nichts half die Daten zu retten.

Immerhin ist es mir möglich zumindest ca. 60-70% der betroffenen Bilder zu retten, dafür nehme ich pauschal bei meinen Kunden 49 Euro. Bei den preisen die da genannt wurden, würden meine Kunden mir die Rechner (zurecht) um die Ohren hauen!
Leider lassen sich Mp3 Dateien (noch) nicht retten, es wird zwar öfter beschrieben das ein einfaches umbenennen bzw. anhängen der .mp3-Endung reicht, dies ist aber bislang leider nicht der Fall, die Datei bleibt unbrauchbar. Auch für Office-Dokumente gibt es leider noch nichts, zumindest habe ich noch nichts gefunden was sie perfekt wiederherstellt. Ich hoffe das sich da noch was tut, war bislang stiller Mitleser hier und wollte mich nun doch mal zu Wort melden als ich die Preise da sah...

Leider haben die meisten Leute immer noch nicht verstanden wie wertvoll regelmäßige und häufige Backups sind, die langen Gesichter wenn ich sage das man nicht viel wird retten können kann man sich vorstellen.

Seis drum, vielleicht wird der ein oder andere AV-Hersteller noch ein Tool zum fixen rausbringen, an dieser Stelle jedenfalls vielen Dank für die tolle Arbeit des Trojaner-Boards welche mir als Nachschlaghilfe schon einige male geholfen hat! :daumenhoc

moin moin,
meine Erfahrung ist umgekehrt.
Möglicherweise kommen nicht alle Player damit klar, aber der sequenzielle Aufbau einer MP3-Datei, mit eigenem Header pro Sequenz macht es dem Decoder leicht sich zu synchronisieren.

Volker

Hallo Volker,

habe gerade mal etwas probiert, VLC hat es geschafft eine Datei tatsächlich abzuspielen. Der Kunde hängt jedoch sehr an iTunes, ich kenne es, dass VLC defekte Header von Video-Dateien reparieren kann, lassen sich die Header von Mp3 Dateien auch retten?

Da muß kein Header gerettet werden.
Das liegt am Aufbau einer MP3-Datei.
Eine MP3-Datei besteht aus einzelnen Frames
Bildlich ausgedrückt, wie eine Perlenschnur, wobei jede Perle ein Frame ist.
Jedes Frame, also jede Perle besteht aus einem Header und Audiodaten.
Jede Perle enthält also ein Stück des Liedes.
Am Anfang jedes Headers steht ein Syncblock.
Eine Perle sieht dann also so aus:
[Perle, sprich Frame]
bzw.
Perle = [{Header}+(Audioteil)]
bzw.
Perle = [{sync+Restheader}+(Audioteil)]

die ganze Datei also so:

[Perle_1, sprich Frame_1]+[Perle_2, sprich Frame_2]...+[Perle_n, sprich Frame_n]

Der MP3-Decoder "sucht" die Syncblöcke im Header jedes Frames und spielt dann die im Frame enthaltenen Audiodaten ab.
Anschließend springt er zum Sync des nächsten Headers im nächsten Frame.
Darum kann man eine MP3-Datei auch von jedem Frame aus starten und abspielen.
Grob ausgedrückt ist das wie bei Kapitelmarken einer DVD.

Außerdem stehen am Anfang oder Ende einer MP3-Datei die ID3-Tags, wie Titel, Interpret, Tumb des Covers usw.

Wenn der Trojaner die ersten 12k zerstört, dann synchronisiert sich der Decoder auf das nächste brauchbare Sync im Header des nächsten brauchbaren Frames und spielt treu und brav die Audiodaten ab.

Wenn am Anfang die ID3-Tags kaputt sind und vielleicht ein oder zwei Frames, dann merkst Du das kaum.

Und genau aus diesem Grund funktioniert das bei MP3s.
Die Dateien sind nach wie vor kaputt, nur merkst Du es nicht oder kaum.

Wenn ein Player auf ID3-Tags besteht, bei Apple kann ich mir das vorstellen, dann muss man die halt neu erstellen.
Tag+Rename und solche Konsorten sollten das richten können.
Ist aber zeitintensiv.

Wenn Du genaueres über MP3s erfahren willst, dann schau hier.

Volker