Festplatte entschlüsseln, wenn der Trojaner bereits entfernt wurde. Gibt es bekannte Schlüssel?
 

Eine wohl recht laienhaft arbeitende Computernutzerin hat mich gebeten, ihr bei der Entschlüsselung einer externen Festplatte zu helfen, die vermutlich von einem UCash-Trojaner verschlüsselt wurde.

Leider hat ihr erstmal ein Möchtegern-Profi den befallen Computer neu aufgesetzt und damit alle Trojaner-Spuren darauf beseitigt, denke ich.

Nun las ich über Tools, die zu helfen versuchen, wenn man noch 1 bis 2 Original-Dateien zum Vergleich hat und dann könnte evtl. ein Schlüssel ermittelt werden, mit dem die restlichen Dateien auch entschlüsselt werden können ...

Doch auch hier sagt die Betroffene, dass sie vermutlich Original-Dateien nicht mehr hat weil Sie ihren USB-Stick gelöscht hat.

Das fällt mir noch ein, um ihr zu helfen:

• Gibt es inzwischen bekannte Schlüssel, die man ausprobieren könnte?
  (Oder wurde bei jedem Befall einen individuell anderer Schlüssel verwendet?)
  
• Lassen sich auf evtl. auf einem USB-Stick gelöschte Dateien wiederherstellen?

Ich vermute, der befallene Computer hatte Windows XP.
Die Infektion liegt vermutlich schon 2 Jahre zurück.

Die Betroffene leidet nach eigener Aussage ziemlich, weil ihre gesamten Computerdateien, die während ihres Kunststudiums entstanden, auf dieser Festplatte verloren sind und sie wahrscheinlich ihren Abschluss wohl nicht bekommen kann, wenn sie die nicht wiederherstellen kann.

Finanziell ist die betroffene Frau auch arm dran, man kann nur versuchen, ihr aus Freundlichkeit zu helfen.
Ich bin kein gewerblicher aber ein ziemlich erfahrener Computernutzer. (Ich habe schon als Programmierer gearbeitet bin aber jetzt Rentner).
Bisher habe ich einmal mit Forum-Hilfe einen Trojaner beseitigt.

jop. bzw gab es einen private key des autors, auf einem server, der mittlerweile down ist.

http://www.trojaner-board.de/116851-...tml#post842337
Die Tools hier schon versucht?

Ich verstehe das so, dass man an die Schlüssel des Trojaner-Autors nicht mehr herankommen kann.

(Oder sind seine Schlüssel inzwischen in öffentlichem Besitz oder in Trojaner-Entfernungs- bzw. -entschlüsselungsprogramme eingearbeitet?)

Danke für den Link - ich kannte ihn - aber jetzt habe ich dich so verstanden, dass diese Seite auch bei meinem Problem helfen kann (wenn der verursachende Trojaner nicht mehr habhaft ist). Bisher nahm ich an, dass es dafür keine Hilfe gibt, sondern nur dann, wenn man unverschlüsselte Original-Dateien hat, die man mit verschlüsselten Dateien abgleichen kann.

Ich werde die Seite http://www.trojaner-board.de/116851-...tml#post842337 durcharbeiten, falls mir die Besitzerin ihre Festplatte gibt.

Vielen Dank für deine schnelle Antwort!

nein, die Server sind down, Schlüssel für immer weg. Einzig bei Cryptolocker ist es gelungen, Server zu hacken.

Die Seite ist nur ne Sammlung. Versuchen was geht, ansonsten gibt es eigentlich keine Chance.