Hy Trojaner-Team!

Ich bin neu hier und bitte um Rücksicht, falls ich etwas falsch mache!

Habe schon mehrfach gesucht aber nichts gefunden zu meinem problem.

Eigentlich ist es fast das gleiche problem wie hier schon beschrieben ist, habe schon mit Decrypthelper und Avira ransom file unlocker ausprobiert aber nichts geht....der will immer eine"originaldatei" haben.....aber alle auf dem rechner vorhandenen dateien(zb.mp.3, pdf, jpeg usw.) sind verschlüsselt(wegen dem trojaner).

Jetzt weiss ich nicht wie ich das den beheben soll?

Mfg

hi, bitte mir die mail zukommen lassen:
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
markusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.
2. wie sieht das chema der verschlüsselten dateien aus, umbenannt, wenn ja wie

ist wohl doch angekommen

Moin zusammen,
Ich habe einige Einträge überflogen.
Wir haben von einem Kd nun auch ein XP NB mit dem Virus der die Dateien umbenennt und die Endung löscht.
Allerdings glaube ich nicht, dass er die Dateien verschlüsselt.
Bei dem NB kann ich z.B. ein Bild mit der Endung .jpg versehen und dann ganz normal öffnen, das gleiche geht für Favoriten.
Stellt sich nur die Frage, ob der Kunde jetzt jede Datei von Hand umbenennen muss oder ob es dafür auch schon ein entschlüssler gibt.
Die Standard Microsoft Favoriten kann ich gerne zur Verfügung stellen, falls jmd daraus ein Algorithmus entwickelt kann.

Zitat:

Zitat von 29101984

Hy Trojaner-Team!

Ich bin neu hier und bitte um Rücksicht, falls ich etwas falsch mache!

Habe schon mehrfach gesucht aber nichts gefunden zu meinem problem.

Eigentlich ist es fast das gleiche problem wie hier schon beschrieben ist, habe schon mit Decrypthelper und Avira ransom file unlocker ausprobiert aber nichts geht....der will immer eine"originaldatei" haben.....aber alle auf dem rechner vorhandenen dateien(zb.mp.3, pdf, jpeg usw.) sind verschlüsselt(wegen dem trojaner).

Jetzt weiss ich nicht wie ich das den beheben soll?

Mfg

Guck mal Hier:
http://www.trojaner-board.de/114115-...tml#post820437
Zweiter Eintrag, da gibts die Original Windows Beispielbilder..

Zitat:

Zitat von skss

Moin zusammen,
Ich habe einige Einträge überflogen.
Wir haben von einem Kd nun auch ein XP NB mit dem Virus der die Dateien umbenennt und die Endung löscht.
Allerdings glaube ich nicht, dass er die Dateien verschlüsselt.
Bei dem NB kann ich z.B. ein Bild mit der Endung .jpg versehen und dann ganz normal öffnen, das gleiche geht für Favoriten.
Stellt sich nur die Frage, ob der Kunde jetzt jede Datei von Hand umbenennen muss oder ob es dafür auch schon ein entschlüssler gibt.
Die Standard Microsoft Favoriten kann ich gerne zur Verfügung stellen, falls jmd daraus ein Algorithmus entwickelt kann.



Guck mal Hier:
http://www.trojaner-board.de/114115-...tml#post820437
Zweiter Eintrag, da gibts die Original Windows Beispielbilder..

danke für die antwort....aber wenn ich das mit dem decrypthelper 0.5.3 versuche, sagt er "datei unterschiedlich groß"

Zitat:

Zitat von markusg

wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.

Hallo Markus,

habe versucht Dir eine Mail mit dem zip. Anhang zu schicken, ist aber als Spam zurück gekommen.

Ich nutze arcor. Kurzer Hinweis von Dir und schick sie erneut.
Gruß Jörg

Zitat:

Zitat von skss

...
Allerdings glaube ich nicht, dass er die Dateien verschlüsselt.
Bei dem NB kann ich z.B. ein Bild mit der Endung .jpg versehen und dann ganz normal öffnen, das gleiche geht für Favoriten.
...

@skss,
dieses Verhalten hat bisher nur ein Betroffener gemeldet.
In fast allen, der seit Mitte Mai gemeldeten Fälle werden die Dateien tatsächlich
von 0000h bis 2fffh verschlüsselt.
Wenn dem so ist wie Du beschreibst, dann würde ich dem Kunden die Daten erstmal sichern und eventuell die passenden Extensions anfügen bzw sie in entsprechende Unterverzeichnisse legen.
Die Zuordnung sinnvoller Namen muß der Kunde dann schon allein machen, entweder einzeln manuell oder mit üblichen Tools zur Mehrfachumbenennun.

Gruß Volker

hallo matkuni

leider funktionort deine 0.5.3 version net mehr zum entschlüsseln hast du ein tipp was ich jetzt machen kann

Zitat:

Zitat von alex2539

hallo matkuni

leider funktionort deine 0.5.3 version net mehr zum entschlüsseln hast du ein tipp was ich jetzt machen kann

Welche Variante hast du den ?
die mit den locked oder die mit Buchstabensalat?

hey markusg!

erstmal danke für deine schnelle antwort und vor allem deine super arbeit hier!!!!

also einige meiner dateien lassen sich nicht mehr öffnen und sind umbenannt (beliebige buchstabenreihen). darunter sind fotos, exceltabellen, präsentationen und normale word dateien. da ich natürlich die originale nicht nocheinmal hab, kann ich den schlüssel wohl nicht anwenden, oder?

lg

Zitat:

Zitat von moon111084

hey markusg!

erstmal danke für deine schnelle antwort und vor allem deine super arbeit hier!!!!

also einige meiner dateien lassen sich nicht mehr öffnen und sind umbenannt (beliebige buchstabenreihen). darunter sind fotos, exceltabellen, präsentationen und normale word dateien. da ich natürlich die originale nicht nocheinmal hab, kann ich den schlüssel wohl nicht anwenden, oder?

lg

Da dies der neue Verschlüsselungskram zu sein scheind, leider nicht.
Was du probieren kannst, sofern du Vista oder Windows7 hast, ist das Programm ShadowExplorer. Bringt aber auch dann nur was, wenn die Funktion Schattenkopien nicht ausgestellt wurde.

hi
skss
bei mp3s und bildern sind die ersten 3 bzw 6 kb nicht von nöten, deswegen kann man sie umbenennen und es passt, verschlüsselt sind immer nur die ersten teile der datei.

bitte stelle mir aber die infektionsquelle zu (mail)

@seismo65
dann ist das ok machs einfach bei der nächsten mail.

@alex2539
lies doch bitte einfach mal ne seite vorher, ich denke das wissen die autoren schon seit 3 wochen :-)

Hy markusg!
"bei mp3s und bildern sind die ersten 3 bzw 6 kb nicht von nöten, deswegen kann man sie umbenennen und es passt, verschlüsselt sind immer nur die ersten teile der datei".

Weisst du aich wie das mit den .avi oder pdf und word dokumente aussieht?

Mfg

Hallo Zusammen,

@Markus: Ich habe dir grade meine Infizierte Mail geschickt.

Es ist wohl der "neue" Verschlüsselungs Trojaner.

Hier mal ein Beispiel des Treibens:
Original: "Electro & House.png"
Verschlüsselt: "tQssyxOTUEfJDGAt"

Wenn ich die Datei wieder in png umbenne funktioniert diese auch teilweise.
Das gleiche gilt für MP3 Dateien. Ich kann sie zwar einfach durch hinzufügen von .mp3 lesbar machen aber auch nur für den WMP. iTunes liest sie leider nicht.

Das Backup der meisten Daten ist kein Problem.
Nur leider wurden auch meine Videos der GoPro verschlüsselt.
Hier habe ich absolut kein Backup und wäre für Hilfe sehr dankbar.

Achja, das infizierte Windoof hat ich platt gemacht da ich vorher auf einem anderen Board war und dies die dort beste Option war ...


Danke und Gruß
Michael

hallo erst mal

@29101984
dein tipp ist jan net schlecht leider kann ich die daten dann net öffnen

@markusg
ich hab dir eine e-mail geschick mit der version des trojaners der mein pc befallen hatt hoffe es hilt dir weiter

mfg alex