alpha crypt-trojaner mit .ezz-Verschlüsselung eingefangen! - Erfahrungen
 

Hallo,

habe mich soeben angemeldet, weil ich mir am 2.5.15 den o.gen. Trojaner eingefangen habe.
Beim Surfen erschien plötzlich in Win VISTA-Sp2 ein Fenster, das eine Bestätigung zur Ausführung wollte. Habe zigmal weggeklickt, kam aber immer wieder.
Soweit ich mich erinnere, ließ sich die "Aufforderung" im Task-Manager auch nicht löschen; oder der war garnicht mehr aufrufbar.
Habe dann genervt "Ausführen" geklickt. Richtig wäre wahrscheinlich gewesen: Neustart des PC.
Wer's genau wissen will: auf einer südamerikanischen Seite betr. Rinderpreise. Weil ich dort Verwandte habe.

Wollte eigentlich auf folgenden thread antworten. Geht aber nicht.
http://www.trojaner-board.de/167029-...ndung-exx.html

Mein Bericht:
- sowohl meine FritzBox, als auch AVIRA (laufend aktualisiert) hat die malware durchgelassen!
- nach ca. 2 Stunden kam plötzlich ein rotes Fenster auf meinen Bildschirm:
"All your documents, photos, databases and other important files have been encrypted with strongest encryption RSA-2048 key, generated for this computer".
Mit der Zahlungsaufforderung in Bitcoins auf einer tor-Seite. Nach Meldungen wollen diese Verbrecher 500-1000 USD für die Entschlüsselung.
- Überprüfung ergab: alle persönlichen Dateien, also Bilder, word-docs, pdf usw. waren mit der Endung *.ezz verschlüsselt! Und ließen sich nicht mehr öffnen.
Aber nicht: alle .mp3.
- im PC fanden sich zwei verdächtige .exe-Dateien, die ich mit Ccleaner gelöscht habe.
Jedoch sind laut ESET Online Scanner ca. 8000 Dateien infiziert. Auch die der anderen user des PC! Meist mit dem File: HELP_TO_SAVE_FILES.txt.
Und auch die auf anderen Partitionen!

Meine Aktionen:
- Recherche auf trojaner-Board: keine Meldungen
- Recherche international: alles bekannt! Z.B.
hxxp://www.bleepingcomputer.com/forums/t/575875/new-teslacrypt-version-released-that-uses-the-exx-extension/page-5
- vorheriger Win-Wiederherstellungspunkt ausgeführt: ging nicht! "Fehlgeschlagen, Dateien unverändert". Weil auch die Punkte verändert!?!
- malware-.exe's gelöscht.
- die beiden publizierten Decrypter laufen lassen: kein Erfolg!
Erklärung dort:
My tool always verifies the key what found with bitcoin address. In your case the key was overwritten with random data because encryption of all your files
finished. Unfortunately there is no way how to help you and you just have to wait for another solution.
Heißt: wenn die Verschlüsselung abgeschlossen ist (nur dann erscheint das Fenster), wird der Schlüssel überschrieben, und ist nicht mehr rekunstruierbar!
- Avira-scan + Malwarebyte + MS-malware-scan fand nichts.

Meine Erkenntnisse:
- Der PC funktioniert einwandfrei. Trotzdem muß er als korrumpiert gelten. Wird behauptet.
- online-banking sollte ohne Gefahr gehen, denn für Kontobewegungen sind ja TAN's erforderlich.
- Nach backup der persönlichen Dateien aus externer Sicherung konnte ich 90% retten. Nur die pers. Dateien aus C: user sind verschlüsselt und verloren.
- die tausendfachen, verbliebenen: "HELP_TO_SAVE_FILES.txt" sind ungefährlich.
- ich habe allen Mist auf C: draufgelassen. Und warte auf eine Lösung. S.o.
Möglicherweise kann der thread auch angepinnt werden, bis eine solche in Aussicht ist.
- und überhaupt: noch öfters sichern! LOL

Ich möchte die Helfer hier nicht unbedingt individuell beanspruchen. Wäre aber für Erfahrungsberichte anderer user dankbar. Und, wenn man am Thema dranbliebe, bis und ob eine Lösung zur Entschlüsselung gefunden ist.

Besten Dank!

hi,

welches Tool genau hast Du benutzt? Auch das erst neu gekommen von vor 2 Tagen oder so?

Alpha-Ctypt mit .ezz
 

"Verblüffenden" Dank für die schnelle Antwort!
Werde das neue Tool nochmal probieren, obwohl: s.o.: keine Chance, wenn Schlüssel überschrieben.

Melde mich in Kürze wieder, da mein PC ja funktioniert!

DANKE!

ok :)