Hallo an alle,
sowohl das Avira Tool als auch Matkunis 04er Version funktionieren einwandfrei bei (bisher) allen Extensions.

Nochmals Danke an alle im TB-Team, speziell an makuni und markusg für die tolle und schnelle Arbeit.
Jeder der sich persönlich die letzten Tage damit beschäftigt hat weiß, was da geleistet wurde.

EDIT: Fahre gerade einen Test mit den Root-Verzeichnissen der verschiedenen LW und NAS.
So wie es ausschaut lassen sich mit dem Avira Tool auch komplette Platten entschlüsseln (und auch noch schnell!)

Hallo Alle,

nachdem meine Frau eine Rechnung.zip von einem unbekannten Absender unbedingt öffnen musste , waren alle Dateien gelocked. Der Haussegen hing schon mehr als schief und nach dem wirklich tollen Progi von matkuni war der Segen wieder halbwegs her gestellt.

Vielen, vielen Dank für Deine Arbeit!

Meine Frau wird finanziell auch noch ihre Dankbarkeit ausdrücken.

@Juergen
mit der entschlüsselung ist es nicht getan, die malware kann weitere schadsoftware laden, eröffne daher ein neues thema und lasse deinen pc untersuchen.

So, hier ein neues Release, mit dem ich auch selber soweit zufrieden bin!

Die Entschlüsselungsroutine, welche weiterhin die verschlüsselten Dateien als Sicherheitskopie behält, arbeitet jetzt auch wesentlich schneller und kommt fast an die direkte Methode ran! Ich empfehle also jedem, dass er den Haken bei "Sicherheitskopie behalten" aktiviert lässt.

Die alte Entschlüsselungsmethode, die bei zwei Benutzern teilweise defekte Bilder hervorgerufen hatte (bisher nicht bestätigt/rekonstruiert), wurde komplett ausgetauscht.
Meine verwendeten Testfälle laufen soweit prima und ich hoffe weiterhin auf Feedback!

Ich mag es eigentlich gar nicht, wenn bei jeder Kleinigkeit direkt zum "Spenden" aufgerufen wird, aber da bereits mehrere Benutzer nach meiner Paypal-Adresse gefragt haben, will ich sie nicht vorenthalten.. matthias@kunig.org - ich fand die letzten beiden Tage und Nächte aber auch so spannend und stelle die Anwendung gerne zur Verfügung!

Download: DecryptHelper 0.5

Auf eigene Gefahr! Vorher (auch die verschlüsselten) Dateien sichern!
Die verschlüsselten Dateien nicht löschen, auch wenn die Entschlüsselung auf den ersten Blick erfolgreich war!

Hi,
super danke. Klappt eigentlich alles super.

Nur ne Frage kam es bei noch jemandem vor, dass auf einmal die Office Programme wieder nach einer Aktivierung fragen?

Kann es sein, dass ich vergessen habe noch eine Datei zu decrypten, dass es wieder funktioniert? Vielleicht gibt es ja von Office eine Datei mit dem Product-Key.

Danke für Hilfe

@markusg
hab über den Rechner schon 3x das AV Programm laufen lassen. Das hat nichts mehr gefunden. Auch gebootet von der Rescue-CD und die Laufwerke abgescannt, nichts gefunden.

Mein AV hat die Schadsoftware ja erkannt, aber leider zu spät.

Was sollte man noch für ein Programm über die Laufwerke jagen?

Zitat:

Zitat von Juergen_B

@markusg
hab über den Rechner schon 3x das AV Programm laufen lassen. Das hat nichts mehr gefunden. Auch gebootet von der Rescue-CD und die Laufwerke abgescannt, nichts gefunden.

Mein AV hat die Schadsoftware ja erkannt, aber leider zu spät.

Was sollte man noch für ein Programm über die Laufwerke jagen?

Wurde denn die Schadsoftware erfolgreich gelöscht? Es sollten normalerweise 2 EXE-Dateien sein.

Ja, mein AV-Programm hat laut Log-Datei 2 EXE-Dateien im Modus "Echtzeit Datenschutz" gelöscht.
Trotz AV-Programm hat das Schadprogramm aber trotzdem voll zugeschlagen.

Zitat:

Zitat von Juergen_B

Ja, mein AV-Programm hat laut Log-Datei 2 EXE-Dateien im Modus "Echtzeit Datenschutz" gelöscht.
Trotz AV-Programm hat das Schadprogramm aber trotzdem voll zugeschlagen.

Wurde wahrscheinlich erst nach Aktualisierung der Virendefinitionen gefunden. Aber jetzt ist ja anscheinend alles wieder in Ordnung

Als ich die Schadsoftware in den Händen hatte, haben sie gerade mal fünf oder sechs der auf VirusTotal gelisteten Anti-Viren-Programme erkannt. Und das waren größtenteils Heuristiken.


EDIT für alle und wieder On-Topic:

Gibt's Feedback zur neuen Version? Funktioniert irgendetwas nicht oder läuft falsch?
Sonst implementiere ich noch das Logging...

jo, gibt jeden tag momentan so 1 2 neue samples, also noch ne relativ geringe routation.
ich bin mal gespannt wie das wird, wenn sie es enden.
deswegen will ich ja die mails immer haben, um zeitnahe reagieren zu können, heißt, dateien einsenden.

Zitat:

Zitat von matkuni

Gibt's Feedback zur neuen Version? Funktioniert irgendetwas nicht oder läuft falsch?
Sonst implementiere ich noch das Logging...

Wenn ich versuche, ganze Ordner zu entschlüsseln, wird dein Programm auf einmal inaktiv. Es entschlüsselt keine weiteren Dateien, der entsprechende Button bleibt deaktiviert, aber es tut sich nichts....

Ansonsten: herzlichen Dank für deine Arbeit! Meine Mutter schuldet dir schon jetzt mehrere Kästen Hopfenschorle

Zitat:

Zitat von Osterlaus

Wenn ich versuche, ganze Ordner zu entschlüsseln, wird dein Programm auf einmal inaktiv. Es entschlüsselt keine weiteren Dateien, der entsprechende Button bleibt deaktiviert, aber es tut sich nichts....

Ansonsten: herzlichen Dank für deine Arbeit! Meine Mutter schuldet dir schon jetzt mehrere Kästen Hopfenschorle

Nutzt du die letzte Version (DecryptHelper 0.5)?

Es gibt zur Zeit leider noch keine Aktivitätsanzeige.
Schau mal in den ausgewählten Ordner, wird da nicht vielleicht doch gearbeitet?

Zitat:

Zitat von matkuni

Nutzt du die letzte Version (DecryptHelper 0.5)?

Es gibt zur Zeit leider noch keine Aktivitätsanzeige.
Schau mal in den ausgewählten Ordner, wird da nicht vielleicht doch gearbeitet?

Ja, ich nutze 0.5 und es tut sich lange nichts - zum Schluss hats dann aber doch geklappt. Ein Aktivitätsanzeige wäre toll, so als große Textbox, in der die entschlüsselten Dateien aufgeführt werden.

hallo
hier sieht ja alles nach einer lösung aus nur scheine ich blond zu sein ^^
habe mir die programme runtergeladen und es auch versucht
decrypt helper 0.5 verlangt die orginaldatei wie und wo finde ich die denn sorry aber pc ist nicht so mein dinge aber man kann ja auch nicht mehr ohne^^

Zitat:

Zitat von stephan73

hallo
hier sieht ja alles nach einer lösung aus nur scheine ich blond zu sein ^^
habe mir die programme runtergeladen und es auch versucht
decrypt helper 0.5 verlangt die orginaldatei wie und wo finde ich die denn sorry aber pc ist nicht so mein dinge aber man kann ja auch nicht mehr ohne^^

Zum "Schlüssel erzeugen" muss eine von der Schadsoftware verschlüsselte Datei sowie das Original vorhanden sein.

Anbieten würden sich hier zum Beispiel vom Windows mitgelieferte Beispielbilder, eine Sicherung von einem Dokument/Bild von dir auf einem externen Datenträger oder eine Datei, die du per E-Mail verschickt oder ins Internet gestellt hast.
Wichtig ist, dass es wirklich die exakt gleiche Datei ist, die von der Schadsoftware verschlüsselt wurde.

Dieses Pärchen stellst du dem DecryptHelper zur Verfügung und er erzeugt dir deinen rechnerabhängigen Schlüssel, mit dem du die Dateien wiederherstellen kannst (nachdem du eine Sicherheitskopie angefertigt hast!)