CryptoApp.exe - .encrypted Files auf Desktop und persönlichen Ordner
 

Anscheinend hat wer über VNC zu meinem Rechner zugange erhalten und ist auf meinen rechner mit WIN8 gekommen und mir wichtige Files dekodiert. Vor allem die Fotos meiner Verstorbenen Frau sind da viele drauf, wenn ich die nicht mehr bekomme bin ich erledigt :-(

Alle Dokument Files PDF JPG DOC etc. haben eine .encrypted Endung und lassen sich nicht mehr öffnen.

Erpressungs Meldung mit Key schicken usw. ist auf dem Schirm gewesn.

Habe mit Kapersky und Sophos anscheinend mal den Virus "cryptoapp.exe" von der Platte weg bekommen, da dieser nach dem start immer wieder neu gekommen ist.

Während ich hier arbeite hat sich dann nochmals einer versucht per VNC zu verbinden, den habe ich jetzt dann gleich mal rausgeschmissen und die Firewall neu eingestellt.

Gibt es zu diesem Trojaner schon eine möglichkeit, ich bin leider wie sicher viele andere auch verzweifelt, vor allem die Fotos meiner Frau wären mir wichtig, da auch auf der backup Platte alles verschlüsselt ist, kann ich diese nicht wieder herstellen.

Danke für Eure Hilfe
Oliver

Hallo,

den Sperrbildschrim hast du nicht zufälligerweise noch?

Hast du Logs von Kaspersky und Sophos?

Mach bitte einen Scan mit FRST
Schritt 1
Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---


FRST Additions Logfile:
--- --- ---

Hallo,

hast du unter C:\ einen Ordner der Zerolocker heisst?

ich hab grad etwas Bauchschmerzen bezüglich der Einträge in den Hosts, die auf nicht legal erworbene Adobe-Produkte hindeuten und KMS welches auf ein nicht legales Office hindeutet.

Die von mir gelisteten Einträge deuten stark darauf hin, dass auf diesem Rechner Software benutzt wird, die nicht legal erworben wurde.

Supportunterbrechung
Cracks und Keygens
Den Kopierschutz von Software zu umgehen ist nach geltendem Recht illegal. Die Logfiles deuten stark darauf hin, dass du nicht legal erworbene Software einsetzt. Zudem sind Cracks und Patches aus dubioser Quelle sehr oft mit Schädlingen versehen, womit man sich also fast vorsätzlich infiziert.

Wir haben uns hier auf dem Board darauf geeinigt, dass wir an dieser Stelle nicht weiter bereinigen, bis diese Software entfernt wurde.
Hinzu kommt, dass wir dich in unserer
Anleitung und auch in diesem Wichtig-Thema unmissverständlich darauf hingewiesen haben, wie wir damit umgehen werden. Saubere, gute Software hat seinen Preis und die Softwarefirmen leben von diesen Einnahmen.

Also mein Office ist mit 100% Sicherheit gekauft, genauso wie das windows 8 - keine ahnung wie du da drauf kommst das ich hier das gecrackt haben sollte.

den ordner in C: gibt es leider nicht

und ich gebe zu das kleingedruckte habe ich nicht gelesen, schließlich will ich nur die fotos von der frau retten die ich vor 3 monaten verloren habe.

Bitte sagt mir einfach was muss ich machen das mir hier weiter geholfen wird.

Hallo,

ja, ich kann dich verstehen, deswegen hab ich jetzt ja auch Bauchschmerzen.

Mach die illegalen Sachen von Adobe runter, hast du noch Logs von den Scannern?

hallo,

adobe photoshop ist gekauft, der rest indesign und illustrator nicht um ehrlich zu sein - werde das dann runter geben und nochmals das FRST posten.

Nein keine log files mehr da.

Die waren direkt auf der Maschine per VNC, wie das gehen soll bei dem Passwort das ich vergeben habe keine idee. Jedenfalls habe ich kurz mal zu gesehen was der gemacht der mit dem rechner verbunden war, der wollte dann nochmals das VB Script starten und dann habe ich ihn gekappt.

im netz ist zu dem exe file ja leider nichts zu finden.

und wenn der A..... die fotos auf dem backup server nicht auch encrypted hätte - wäre mir das mehr oder weniger sogar egal - aber die fotos sind das einzige das mir noch geblieben ist und daher bin ich wirklich total verzweifelt.

Ja, das verstehe ich, aber abgesehen von den .encrypted hinter den Files habe ich keine Information, was das für ein Verschlüssler sein könnte. Würdest du den Bildschirm mit der Meldung wiedererkennen oder hast du den noch?

den screen habe ich leider nicht mehr - wollte das nur schnell weg haben, das die files encrypted sind habe ich dann erst später gesgehen - würde diesen aber sicher wieder erkenne.

oben stand was mit am 15.11. bzw 72 stunden wird der code vernichtet usw.

darunter eine seite mit botcoin hinweis.

Es ist schwierig, ohne genau zu wissen, welcher Verschlüssler da am Werk war, generell stehen die Chancen eher schlecht, zu entschlüsseln ohne zu bezahlen,für einige wenige gibt es mittlerweile Tools.

Der wars nicht, oder?
ZeroLocker - a new destructive encrypting ransomware - News

nein der war es leider nicht - wie gesagt der war direkt auf meinem rechner - keine ahnung was der da getan hat. auf der backup platte ist nur ein teil encrypted leider auch dr alle fotos dabei.

da ich kaum files empfange geschweige den aufmache und schon gar nicht in letzter zeit, kann ich mir da so über email usw. kaum was eingefangen haben.

das ist echt ein tragödie - werde sicher einige fotos von freunden auch wieder bekommen, aber die privaten sind denke ich alle weg - vor allem die wo sie mit unserem sohn drauf ist.

das in der zeit auch noch zu verlieren, ich glaube nicht mehr an die menschheit - wir sind anscheinend echt ein krebsgeschwür das den planeten zerstört und weg gehört :-(

wo kann ich schauen ob ich informationen her bekomme.

wie gesagt das file hat "cryptoapp.exe" geheissen - das war das programm das sich gestartet hat so ein MFC logo war auch dabei. evtl. kann ich das exe file wiederherstellen?

Vielleicht haben wir Glück und dort sind noch Schattenkopien auf deinem Rechner.

Gehe mal auf eine von den verschlüsselten Dateien, wähle da dann mit Rechtsklick Eigenschaften, gehe dort in den Reiter Vorgängerversionen und stelle diese wieder her, wähle aber bitte kopieren aus, anstelle von Wiederherstellen.

gibt leider keinen reiter "vorgängerversionen" :-(

hab jetzt mal 10 files mir angesehen, da gibt es das nirgends.

Hmm, ja Windows 8.

Dann schauen wir mit dem Shadowexplorer nach:

ShadowExplorer - Download - Filepony

bitte runterladen, installieren und nachschauen

Hallo,

ja da finden sich viele dateien wieder, sind aber alle nur halb zu öffnen - oder lassen sich gar nicht öffnen.

es sind aber einige fotos drinnen die ich brauchen kann und gerade exportiere - pdf's usw. lassen sich aber nicht öffnen.

Kannst du dort verschiedene Wiederherstellungspunkte auswählen?

ja 3 an der zahl
27.10.
6.11.
und heute bzw. gestern 19:30

Dann fang mit dem am 27.10 an

hab jetzt mal einige ordner exportiert und nach datum usw.

aber da kommen leider nur kaputte files raus, ein paar sind zu gebrauchen aber mehr leider nicht.

Das ist mager.

Wir könnten noch versuchen das ganze System zurückzusetzen. Allerdings werden dadurch auch keine persönlichen Dateien wiederhergestellt, sondern eben nur das System.

Ich würde dir aber eh empfehlen dein System komplett einzustampfen, samt Formatierung sämtlicher Platten. Du sagtest sie sind dir über vnc eingebrochen, da können die alles mögliche auf deinem Rechner veranstaltet haben.

so lange ich die fotos nicht habe, werde ich hier nichts machen, evtl. gibt es ja noch in zukunft eine möglichkeit hier was zu ändern.

danke jedenfalls für die hilfe - zu guter letzt bleibt die hoffnung über.

Dann würde ich dir raten, sicher dir das komplette System via TrueImage, es ist wirklich nicht mehr vertrauenswürdig.

Ich möchte gerne trotzdem schauen, ob wir mit HitmanPro oder ESET etwas finden, was uns einen Anhaltspunkt liefert.

Schritt 1
Downloade Dir HitmanPro
HitmanPro - 32 Bit
HitmanPro - 64 Bit

• Starte die HitmanPro.exe
• Klicke unten auf der Button-Leiste auf Einstellungen
• Belasse die Standardeinstellungen und wähle nur bei "Nach potentiell unerwünschten Programmen suchen" als "Standardaktion" Löschen aus und bestätige mit Ok.
• Wähle "Nein, ich möchte nur einen Einmalscan zur Überprüfung dieses Computers ausführen" aus
• Klicke auf "Kostenlose Lizenz aktivieren" und gib deine E-Mailadresse ein.
• Klicke auf Weiter und akzeptiere die Lizenzbedingungen.
  Nach dem Suchlauf:
• Wähle bei etwaigen Funden Ignorieren aus wähle im nächsten Fenster Logdatei speichern und speichere die Logdatei auf deinem Desktop.
• Wähle unten links auf der Button-Leiste Logdatei speichern und speichere die Logdatei auf Deinem Desktop.
• Schließe HitmanPro.
• poste mir die Logdatei

Schritt 2
Da der Scan mit Eset sehr gründlich ist, kann er unter Umständen mehrere Stunden dauern :kaffee:

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hi,

mich mal kurz einmisch. Ich glaub kaum noch, dass man hier Files retten kann. Ich hätte da mal fragen an den TO.

0. Zuerst mal mein Beileid, es ist hart wenn man eine geliebte Person verliert aber dann auch noch unnötigerweise fast alle Erinnerungen in Form digitaler Bilder

Meine Fragen:

1. Es ist ja gut, dass du Backups machst. Aber warum ist die Backupplatte ständig am Rechner dran und gemountet? "Richtige" Backups verwahrt man an einem anderen sicheren Ort aber nicht dort wo das primäre zu sichernde System ist (anderer Brandschutzsektor, Bankschließfach o.ä. muss es sein)

2. Du installierst einen VNC-Server auf diesem Rechner?? :wtf:
Ist dir klar, wie unsicher dieses Protokoll eigentlich ist?
Ohne grundsolide Grundsicherung gebe ich nichtmal meinen OpenSSH-/SFTP-Server nach draußen ins Internet frei
Die Frage warum du VNC nach draußen freigibst will ich dabei erstmal garnicht stellen

3. Du hast da also einen Rechner mit hochwichtigen Fotos. An diesem sind alle Daten und auch daran hängt eine Platte mit einem Backup aller wichtigen persönlichen Daten.
Darf man die Frage stellen warum alle wichtigen Daten und damit auch die Backup quasi nur an einem System hängen, das auch noch von außen durch den VNC-Server gecrackt werden kann?

So wichtige Fotos hätte ich auf DVD gebrannt, zusätzlich auf ne externe Platte und/oder nem Stick kopiert und auch auf dem Rechner meinetwegen gelassen.

ich sage es mal einfach so wie es ist - erstens war mir nicht klar wie gefährlich das ist - hatte das jetzt jahre auf dem rechner.

und glaube mir jetzt denke ich mir auch, wieso habe ich das nicht in eine cloud gespielt oder was weiß ich - danach ist man immer klüger - leider.

Glaube mir ich hatte in den letzten wochen wahrlich anderes zu tun als mich um Fotos auf meinem PC zu kümmern - die wahrheit ist - ich kenne mich zwar aus, aber zu wenig um zu wissen was sicher ist und was nicht - das es mich nun so trifft ist leider ein schlag ins gesciht sondergleichen :-(

gibt es ein tool mit dem ich zb. meine leitung in zukunft vor zugriff aus dem ausland schützen kann?

Hi, eigentlich wollte ich meine Einmischung ja sein lassen. Nun gut, jetzt hab ich gepostet.

Das Problem an der Sache ist - das hat Sandra ja schon erwähnt - der Einbruch in deinen VNC-Server. Bei den üblichen Infektionswegen des Sperr- und Verschlüsselungstrojaners führt das Opfer unwissend nur eine Datei aus, die den Schaden anrichtet.

Das war bei dir nicht der Fall, du hast ja nichts gemacht, der Einbrecher hat sich über dein VNC Zugang zu deinem System verschafft, den virulenten Code ausgeführt und wer weiß noch was verstellt. Möglicherweise auch alle älteren Schattenkopien gelöscht und anschließend alle Spuren verwischt.

Sowas nennt man Firewall. Aber es gibt sehr viele Ansätze in welcher Art Weise man was genau schützen will. Dazu müsste man zB wissen warum du einen VNC Server nach draußen eingerichtet hast, also der aus dem öffentlichen Internet von der ganzen Welt erreichbar ist. Oberste Prio ist, dass man nur das nach draußen anbietet was auch unbedingt sein muss und gerade VNC als unverschlüsseltes Remote-Admin-Tool würde ich niemals ohne weitere Sicherung (abgesehen von einem Passwort) nach draußen anbieten. (VNC und RDP würde ich nur über nen SSH oder VPN Tunnel verwenden!)

Was nach draußen angeboten wird kann man einschränken, zB dass nur bestimmte IP-Adressbereiche auf den Host zugreifen dürfen, dass nach x fehlgeschlagenen Loginversuchen der die Remote-IP gesperrt wird (fail2ban oder denyhosts, aber das gibt es mW nur bei Linux in Verbindung mit SSH) usw. - bei VNC geht das nicht aber zB SSH: man muss sich mit User und Passwort anmelden und erlaubt nur EINEN bestimmten User und dann auch nur per RSA Key oder so...

Ich sags dir, remote zugänge müssen von außen sowas von abgesichert werden, das glaubst du so jetzt noch nicht :(

wenn es was hilft ich habe die app

"cryptoapp.exe" nochmals gefunden.

könnte man hier irgendwie sehen was die machen kann?

Habe jetzt mal den ESET Scanner über die Datei "cryptoApp.exe" laufen lassen und der konnte nicht einmal eine Bedrohung erkennen.

Wie soll man da wissen ob da noch was weiteres auf dem System gelagert ist :-(

Naja das ist alle ein Albtraum für mich.

lg

ESETSmartInstaller@High as downloader log:
all ok
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.7623
# api_version=3.0.2
# EOSSerial=ef8e0105f3cc3a438fdc07e05612d4c2
# engine=21065
# end=finished
# remove_checked=true
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2014-11-13 04:42:08
# local_time=2014-11-13 05:42:08 (+0100, Mitteleuropäische Zeit)
# country="Luxembourg"
# lang=1031
# osver=6.2.9200 NT
# compatibility_mode_1=''
# compatibility_mode=5893 16776573 100 94 19791 20237249 0 0
# scanned=1099859
# found=5
# cleaned=5
# scan_time=16073
sh=A45635899502AAD3D01E8A088A40F3BD82647424 ft=1 fh=793f368f73aeeba8 vn="Variante von Win32/AdWare.MultiPlug.BE Anwendung (Gesäubert durch Löschen - in Quarantäne kopiert)" ac=C fn="C:\Users\Oliver\Downloads\all dezenders.exe"
sh=11D4B0A9E8219A6BC72DA9EDA1BD41B558D94705 ft=1 fh=70249aac387650fb vn="Win32/InstalleRex.L evtl. unerwünschte Anwendung (gelöscht - in Quarantäne kopiert)" ac=C fn="C:\Users\Oliver\Downloads\KMSpico Install.rar.exe"
sh=B49D201790EF1FAFE994EAA1D91372C3D53230DC ft=1 fh=d7cae5d7cc200826 vn="Variante von Win32/AdWare.iBryte.K.gen Anwendung (Gesäubert durch Löschen - in Quarantäne kopiert)" ac=C fn="C:\Users\Oliver\Downloads\Setup (1).exe"
sh=DE123B3E6D9BE7F3ED1626F07BBB8B26F08FCE6C ft=1 fh=94cd92acf42e6b9c vn="Variante von Win32/AdWare.iBryte.K.gen Anwendung (Gesäubert durch Löschen - in Quarantäne kopiert)" ac=C fn="C:\Users\Oliver\Downloads\Setup.exe"
sh=8DCCA55737FFEDBBE110DAFBEB9E67088AAC4601 ft=1 fh=cbbc89c6abec9978 vn="Variante von Win32/Injector.ABGM Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert)" ac=C fn="H:\ISO & APPZ\GRAFIK - PROGRAMMING\ADOBE_CS6.0_MASTER_COLLECTION_WIN_OSX_KEYGEN-XFORCE.exe"

Hallo,

was kannst du mir zu den Funden bei ESET sagen?

Ich sehe da 4 Keygens und den einen illegalen Activator für Windows-Produkte. Ich habe dir mitgeteilt, dass ich dann nicht bereinigen kann und werde. Dafür dass ich hier meine Freizeit reinstecke, erwarte ich zumindest Ehrlichkeit.

hallo,

da ich gestern das system neu aufgesetzt habe, und am mittwoch abend, um ehrlich zu sein andere sorgen hatte, habe ich das damals nicht gemacht.

hat sich aber damit so oder so erledigt. die fotos sind weg, meine geliebten erinnerungen und ich danke dir für deine hilfe - du solltest dir aber nur mal vor augen halten welchen leuten du hier sozusagen die stange hältst, respektive du hier schützt.

Fast alle Top 500 unternehmen darunter solche wie MS, Adobe, Apple und Co. machen mit linken Aktien Geschäften Milliarden auf Kosten vieler Menschen werden reicher und reicher - ich komme aus den Banken sektor und weiß hier sehr genau bescheid, was diese Firmen da so abziehen. Allein jedesmal wenn ein neues iphone kommt, machen da deren bosse millionen gewinnen, weil die den Kurs mehr oder weniger manipulieren und dann zusehen was passiert, oder glaubst du diese events haben nur marketing charakter. Da sind die meisten meist zu naiv um das wirklich erkennen zu können, um was es da eigentlich geht.

aber zum beweis, hier das neue FRST64 - ich halte zu meinem wort. danke für deine Hilfe, auch wenn es leider nichts gebracht hat, sollte sich was ändern, die platte lasse ich ausgebaut mal im kasten liegen evtl. kann man das ja doch irgendwann mal retten.

s
FRST Logfile:
--- --- ---
FRST Additions Logfile:
--- --- ---

Hallo,

Das ist eine gute Entscheidung.

Es tut mir wirklich sehr leid um deinen Verlust im Verschlüsselungstrojanerthread warst du ja bereits. Wie gesagt, es ist schwierig, einen Entschlüsselungscode zu finden, wenn man nicht mal weiss, was für ein Verschlüssler dort am Werk war. Hier wäre der Zahlungsschirm sehr aufschlussreich gewesen.

Was möchtest du mir mit deiner Aussage dass ich hier irgendwelche Leute schützen würde sagen?

Und das berechtigt dann dazu Copyrightrechte und Lizenzschutz zu untergraben?


Falls du die cryptoapp.exe noch haben solltest, kannst du sie zu Virustotal zur Analyse hochladen. Das wäre auch sinnvoll, weil ich so eventuell mehr Informationen zu der Datei an sich bekomme.

Schritt 1
Bitte lasse die Datei aus der Code-Box bei Virustotal überprüfen.

• Klicke auf Wählen Sie eine
• Kopiere nun den Pfad der cryptoapp.exe dort hinein
• und klicke auf Öffnen.
• Klicke auf Scannen!.
• Warte bitte bis die Datei vollständig hochgeladen wurde. Solltest Du folgende Meldung bekommen
  
  Zitat:

  Diese Datei wurde bereits von VirusTotal analysiert...

  klicke auf Neu analysieren.
• Warte bis dir das Analysedatum angezeigt wird und der Scan abgeschlossen ist.
• Kopiere den Link aus deiner Adresszeile und poste ihn hier.

Alternativ kannst du sie mir auch in unseren Channel laden

Lade bitte folgendermassen Dateien zur Analyse hoch:

• Deaktiviere bitte temporär deinen Virenscanner.
• Suche folgenden die Datei cryptoapp.exe
  und packe sie in ein zip-Archiv (Rechtsklick darauf -> Senden an -> zip-komprimierten Ordner).
• Gehe nun zum Trojaner-Board Upload-Channel:
  1. Drücke auf Durchsuchen..., wähle das erstellte zip-File aus und klicke Öffnen.
  2. Füge den Link deines Themas im Forum in das entsprechende Feld ein.
  3. Gib deinen Benutzernamen ein.
  4. Drücke auf den Button Hochladen.
• Du kannst jetzt deinen Virenscanner wieder aktivieren.
  (bebilderte Anleitung)

Du hast da noch n bißchen was im Chromebrowser
In deinem Chrome Browser ist conduit als Startseite eingetragen
Stelle nach dieser Anleitung deine Startseite neu ein.