Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   .vault Virus verschlüsselte Dateien kein BTC verwendbar (https://www.trojaner-board.de/172966-vault-virus-verschluesselte-dateien-kein-btc-verwendbar.html)

tobi.b. 11.11.2015 10:57
.vault Virus verschlüsselte Dateien kein BTC verwendbar
 
Guten Tag liebe Community,

derzeit stehe ich vor einem kleinen Problem bei einem unserer Firmen-Rechner.
Eine Mitarbeiterin, hat sich über eine E-Mail einen Crypto-Virus eingefangen, der alle Dokumnte mit .vault verschlüsselt hat!

Nachdem ich den PC vor mir hatte, wurde der Virus bereits von einem Kollegen entfernt und eine Datensicherung aller verschlüsselten Dateien erstellt. Dadurch, dass mein Kollege leider den Virus bereits entfernt hat, konnte ich die gängigen Decrypt-Tools nicht verwenden, denn dort muss zur Entschlüsselung der Dateien der BTC-Code eingetragen werden.

Daher stehe ich jetzt vor dem Problem die Daten zu entschlüsseln.
Nach einer Sichtung der infizierten Daten sind mir zwei Dateien aufgefallen namens:
"vault.key", "00088.key" und "4077430c_Vault.key", mit denen beiden Schlüsseln habe ich versucht die Dateien zu entcrypten, jedoch ohne Erfolg.

Was vorhanden ist, ich habe eine Datensicherung der eigenen Dateien von Anfang des Jahres, in der 100te unberührter Dokumente liegen. Meines Wissens nach konnte man mit einer identischen Kopie eines Dokumentes die Verschlüsselung aufheben. Ist das richtig?


Verwendete Tools bisher:
https://bitbucket.org/jadacyrus/ransomwareremovalkit
hxxp://www.bleepingcomputer.com/forums/t/577246/locker-ransomware-support-topic/page-32

Über eine kleine Hilfestellung würde ich mich freuen :)
Gruß Tobi.b.

cosinus 11.11.2015 11:26
Zitat:
Meines Wissens nach konnte man mit einer identischen Kopie eines Dokumentes die Verschlüsselung aufheben. Ist das richtig?
Nein das funktioniert nicht.

Alle Schlüssel in Decryptor: Das Ende von Bitcryptor und Coinvault | heise online

Wenn das Tool von Kaspersky nicht hilft bleibt nur noch altes Backup oder hoffen, dass in den Scahttenkopien noch was zu finden ist.

tobi.b. 11.11.2015 11:51
Hallo cosinus,

leider funktioniert das Kaspersky-Tool nicht. Wie in der Anleitung beschrieben habe ich alle verschlüsselten Dateien in ein Verzeichnis kopiert, anschließend die Einstellung auf Ordner umgestellt und gestartet. Das Programm läuft eine Sekunde und ist fertig ohne wirklich gearbeitet zu haben.

Dann bleibt dem Nutzer wohl nix anderes übrig als alles neu zu machen :) Naja wer das Netzlaufwerk nicht nutzt ist selber Schuld!

Danke für deinen Beitrag.

Gruß tobi.b.

PS: Shadocopy ist leider nicht aktiv gewesen... .

cosinus 11.11.2015 11:58
Netzlaufwerke werden auch verschlüsselt. Aber was auf dem Server liegt kann ein Admin einfacher automatisiert sichern...


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:18 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129