Guten Abend!

Kannst du eine Flag einbauen, mit der bereits vorhandene wiederhergestellte Dateien
nochmal überschrieben werden?

Ja ich habe die Originaldatei aus einer Email. Die verschlüsselten Bilder sind alle nur noch um die 50kb groß. Das kann eigentlich nicht sein und hier liegt auch das Problem. Keine Ahnung wieso die Dateien nicht nur verschlüsselt sondern auch kleiner geworden sind.

@matkuni
dein Script lief gestern nacht bei mir.
Stichproben waren einwandfrei.
Es wurden auch meine Postscript-Schriften wiederhergestellt *.otf und *.ttf, wobei die Systemschriften (Windows) nicht gelocked waren, nur die Fonts in den Auftragsordnern.
Jetzt werde ich mein System bereinigen - wird sicher auch noch spassig.
Danke - Kompliment - meine kleine Welt dreht sich wieder!

Hallo ich habe auch das Problem mit dem entschlüßeln habe zwar einen Key mit einer Kranken und einer gesunden Datei erstellt es wurden auch alle Ordner wiederhergestellt doc,xls,pdf dateien wenn ich die aber aufrufe, kommt eine Schrift die mann nicht lessen kann ganz komische Zeichen was kann ich jetzt dagegen tun das ich die Dateien wieder lessen und bearbeiten kann.

Gruß
Rainer

Hallo zusammen,
Wahnsinn, was hier in kurzer Zeit auf die Beine gestellt wurde. Dafür schon mal vielen Dank! Gestern haben wir uns den Trojaner leider auch ins Haus geholt.
Aber leider funktioniert das mit der Entschlüsselung bei uns nicht. Ich weiß nicht, ob ich das ganze nicht vielleicht falsch verstehe und falsch mache. Man muss ja die locked-Datei erst anklicken, und dann die Originaldatei. Aber was denn für eine Originaldatei? Sind doch alle locked. Hab dann mal so ein Beispielbild abgespeichert. Aber das geht auch nicht. Da steht dann, das ist nicht das gleiche Paar oder hat eine verschiedene Größe. Ich verstehe es nicht.

Hallo matkuni ich möchte das Entschlüsselungsprogramm nutzen einer verschlüsselten Datei z. B. locked-abc.xls.efgb kann ich keine Originaldatei zuordnen. Wenn ich abc.xls eingebe erscheint: die Dateien sind unterschiedlich groß. Was ist der zu ladende Schlüssel?


Gruß und Dank im voraus hkhkl

Ja hallo zunächst Chapou, kein großer Virenscanner kann es bisher!
Ich habe alles durchgeführt erst Malwarebytes 4 Dateien gefunden (im abgesicherten Modus ging bei mir das starten noch) dann besser noch von Dr. Web Drwebcurlet erst damit ging ein start ohne Erpresserbildschirm, dann mit aviraunlocked einige Dateien die wichtigsten entschlüsselt alles geht. Jetzt mit Dercrypthelper die unwichtigen Dateien drüber, weil der in der lage ist die locked- Dateien nicht zu behalten. Was derzeit noch stört die Microsoft Officeprogramme lassen sich nicht richtig starten ein Instalationsvorgang wird gestartet wenn man den abbricht fahren die Office Programme runter?

@MatKuni
Jetzt mal ehrlich:
ich glaube Du hast mit deinem Script so manchen hier glücklich gemacht.
Ganz herzlichen Dank für Deine Mühe!
Ich kann grob erahnen, was es Dich an Arbeit gekostet hat.
Natürlich hätten wir alle ohne Internet und Mail keine Viren... um so toller finde ich Leistungen wie Deine.
Ich bin wirklich froh, auf Deinen Beitrag gestossen zu sein.

Herr KUNIG, Vielen Vielen Vielan Dank!

Über 600 Dateien Datenbanken, alles wieder so wie es sein soll!

Natürlich auch ein großes Dankeschön an www.trojaner-board.de für die Unterstützung von Anfang bis zum Ende!

Ich muss mich auch bedanken, oder besser im Namen meines Kunden, der wird sich am Montag freuen.

Da haben wir echt Schwein gehabt,
das der Schöpfer so "faul" war um für alle Dateien den gleichen Key zu benutzen.

Richtiger wer es doch gewesen ein neues Schlüsselpaar beim infizieren zu erzeugen, den Privaten dann zum Autor zu schicken und restlos vom System Wipen.
Jetzt für jede Datei / Ordner nochmal zufällige Schlüssel generieren und diese dann mit dem Öffentlichen Schlüssel zu verschlüsseln.
Bei Zahlung gibt es dann vielleicht den Privaten zurück......
(oder habe ich da jetzt einen Denkfehler drin wo hier der "Fehler" des Autors lag ?)

oder er hatte wohl die CO2 Bilanz seines Treibens im Hinterkopf

hatt doch nicht jeder den selben schlüssel.
außerdem ist das ja erst die erste version.
sie wird weiter entwickelt.
habe gestern eine version eingesendet, in der die möglichkeit besteht, die liste der verwendeten urls auszutauschen.
also der urls der cc server und der server, von denen die malware weitere malware downloaden kann.
da wird sicher noch einiges kommen.

Hallo zusammen

Danke für die geniale Arbeit alle meine Daten sind wieder zurück.
Ich habe mir Vergleichsdaten (Bilder aus dem Ordner Publik ) für XP Vista Win7 zusmmengestellt.
Wer welche braucht, helfe gern Pin mit e.mail Adresss. reicht oder kann ich die hier als zip ablegen?

matkuni und natürlich alle die an diesem genialen Tool mithelfen.
Ihr habt mir viel Zeit erspart und dass habe ich heute mit einem "Fuffi" als Spende für eure Arbeit belohnt. Ich weiss, wieviel Arbeit sowas kostet und bin froh, dass es so Leute wie Euch gibt.
Gruss bummi-fix

Zitat:

Zitat von matkuni

Hey, probiers mal mit dieser Version:
hxxp://matthi.org/DecryptHelper.exe (basiert auf der aktuellsten Version und vereinfacht das Ausführen).

hi,

danke die Anwedung startet, aber leider zeigt mir das Program (habe jellyfish als Datei genommen) "Der Schlüssel konnte nicht bestimmt werden."

Gruß Melanie

Ich habe nur die kranken Dateien habe von einem Freund eine Kranke und gesunde Datei erhalten dann hat der den key generiert. Aber nach der entschlüßelung waren die Dateien zwar wieder im ursprungszustand aber Mann konte sie nicht mehr ließen was kann ich jetzt machen damit ich die Dateien wieder ließen kann.

Gruß
Rainer