INFO 1
Habe den Trojaner offensichtlich am 24.4. gefangen und relativ schnell mit Avira gescanned, deshalb ist Befall bei mir nicht 100% (dann erst nach 2 Tagen wieder am Rechner gewesen und das Chaos festgestellt)
Habe festgestellt, daß er beide Festplatten mit insgesamt 5 Partitionen gleichzeit verseucht hat, allerdings nur bis übergeordneter Ordner beginnend mit A bis D - also offensichtliche alphabethische Reihenfolge. Leider ist Dokumente und Einstellungen betroffen inkl. aller links.
Ebenso .dll, mdb und so weiter

INFO 2
Habe mit AVIRA-ransomeFileUnlocker test auf stick mit 3 Stück .jpg gemacht. Einzel-decrypt ist fehlgeschlagen (vielleicht Fehler von mir - er hat die gleiche datei mit zusatz "decrypted" am Ende des Namens vor der Endung gespeichert, diese hat sich nicht öffnen lassen), aber als ich "kompletten Ordner" angeklickt habe, hat das Programm innerhalb Sekunden die 3 Bilder von zusammen 10 MB wiederhergestellt.
Leider steht da jetzt das Datum vom 29.4. 2012 - speziell bei Fotos wäre mir das Original Datum der Datei lieber.
Habe dann leichtsinnigerweise das komplette Laufwerk "C" (Partition einer Festplatte) eingegeben: nach vielleicht 15 min bekam ich die Antwort "3048 files entschlüsselt".
Ich glaube aber, es hat nicht funktioniert: Bei xls bekomme ich nach wie vor Hyroglyphen, bei .doc die Meldung "Konverter kann nicht gestartet werden mswrd632.wpc"
Andere Dateien wie .dll, .db kann man so eh nicht testen.

FRAGE:
Kann ich da jetzt nochmal den "DecryptHelper" laufen lassen? Der Name der Original-Datei existiert ja jetzt wieder in den verseuchten Teilen des Laufwerks

vielen heißen Dank für dein Programm Matkuni, hat mir Zeit und Nerven gerettet.
Ich bin gerne bereit, dir per Paypal eine Anerkennung zu senden, wenn du mir deine Empfängeradresse zukommen läßt.

Ein Problem habe ich allerdings. Ich habe vor DecryptHelper 0.5 zuerst versucht mit Avira Ransom File Unlocker die Dateien zu retten, dummerweise auf der ganzen C Festplatte.
Da die Dateien aber danach erzeugt wurden, aber nicht lesbar sind, habe ich jetzt das Problem, dass ich den DecryptHelper 0.5 dafür verwenden will.

Da aber alle Dateien namentlichals angebliches Original entschlüsselt und schon erzeugt sind, findet DecryptHelper 0.5 natürlich nichts.
Ich müßte jetzt jede einzelne von Avira erzeugte "entschlüsselte" Originaldatei wieder löschen :-(

Gibt es eine Möglichkeit, irgendwie zu hinterlegen "trotzdem erzeugen", also überschreiben.
Das wäre ganz toll

Danke im voraus
zebulon0401

hi, kannst du mir mal von avira den verwendeten key hochladen, das verwendete original und die müll datei?
evtl. auch eine der gesperrten falls vorhanden.

Trojaner-Board Upload Channel
noch mal für alle, man entschlüsselt niemals am original, nur an nem backup.

Huhu!
Ja super..bei allen klappt das wieder,nur bei mir nich *bade ne Runde in Selbstmitleid.Hab es schon mit zwei Pärchen(eine infizierte Bilddatei und eine frisch aus der Camera) mit exakt der selben Größe mehrfach probiert,aber es kommt immer nur "Der Schlüssel konnte nicht bestimmt werden.Und was nu?Muß die Orginaldatei exakt den selben Namen haben,wie die infizierte?

Original, gesperrte und Mülldatei kann ich dir sofort hochladen, wo finde ich die Avira Keydatei?

geht auch erst mal so, lads mal bitte hoch.

Zitat:

Zitat von markusg

geht auch erst mal so, lads mal bitte hoch.

geschehen, wobei Original und gesperrte Datei identisch sind, aber die erzeugte eine andere als Beispiel. Es geht aber doch nur um den Schlüssel. oder?

weitergeleitet ich meld mich

...gut,gleicher Name bringt auch nix.

Zitat:

Zitat von Speasy

Huhu!
Ja super..bei allen klappt das wieder,nur bei mir nich *bade ne Runde in Selbstmitleid.Hab es schon mit zwei Pärchen(eine infizierte Bilddatei und eine frisch aus der Camera) mit exakt der selben Größe mehrfach probiert,aber es kommt immer nur "Der Schlüssel konnte nicht bestimmt werden.Und was nu?Muß die Orginaldatei exakt den selben Namen haben,wie die infizierte?

Kann mir irgendjemand sagen,was ich falsch mache,oder noch ausprobieren kann?
Ich verzeifel gleich.Ich kann bestimmt die nächsten zwei Wochen schreiben,wenn ich das nich wieder hin krieg

Speasy,

ich als Laie hatte es so verstanden, dass es die GLEICHE Datei sein muss.
Hatte bei mir auch gedauert, es zu verstehen.

Konnte mir helfen, indem ich das Original von einem Webserver nahm und die infizierte von der Festplatte. (Alternativ lies mal hier wegen Hintergrundpic von Windows)
Dann stimmten Größe und Inhalt überein

Ja ne...es ist das gleiche Bild ...einmal schon von der Camera runtergeladen auf die Festplatte (das bild ist gestern dann infiziert worden und gelockt.Das gleiche Foto habe ich dann heute nocheinmal runtergezogen.Also gleiche Größe,gleicher Inhalt.

Hallo zusammen

DecryptHelper von Matthias mit Vista Home und Windows XP verseuchten PC getestet läuft ohne Probleme als Vergleichdaten ein Bild aus dem öffentlichen Verzeichniss benutzt klasse dauerte nur etwas vor allem bei Videos
das blieb mir erspart


Pit

Bin heute und auch noch morgen mit Unikram beschäftigt und deshalb nur ein kurzes Update.

Zitat:

Zitat von zebulon0401

Gibt es eine Möglichkeit, irgendwie zu hinterlegen "trotzdem erzeugen", also überschreiben.
Das wäre ganz toll

- Die Funktion "Existierende Dateien überschreiben" wurde hinzugefügt und macht genau das, was angefragt wurde
- Zeilenumbrüche in der Logdatei sind nun auch unter Windows korrekt

http://matthi.org/DecryptHelper-0.5.2.jar
http://matthi.org/DecryptHelper-0.5.2.exe (für Leute, bei denen Jar-Dateien mit dem falschen Programm geöffnet werden)

Zitat:

Zitat von Speasy

Huhu!
Ja super..bei allen klappt das wieder,nur bei mir nich *bade ne Runde in Selbstmitleid.Hab es schon mit zwei Pärchen(eine infizierte Bilddatei und eine frisch aus der Camera) mit exakt der selben Größe mehrfach probiert,aber es kommt immer nur "Der Schlüssel konnte nicht bestimmt werden.Und was nu?Muß die Orginaldatei exakt den selben Namen haben,wie die infizierte

Diese Fehlermeldung taucht auf, wenn zwar die Dateigröße die selbe ist, aber die Dateien nach dem Entschlüsseln trotzdem nicht 100%ig übereinstimmen.
Kann dadurch kommen, dass Metadaten (EXIF etc) geändert wurden, nachdem die Datei von der Kamera geladen wurde. Also ein anderes Pärchen suchen.

Es muss sich um die selbe Datei handeln - ohne irgendwelche Änderungen - damit lediglich die Differenz berechnet werden kann, die die Schadsoftware verursacht hat.

Zitat:

Zitat von Bernie1951

FRAGE:
Kann ich da jetzt nochmal den "DecryptHelper" laufen lassen? Der Name der Original-Datei existiert ja jetzt wieder in den verseuchten Teilen des Laufwerks

Mit Version 0.5.2 ist dies möglich.
Aber auch der DecryptHelper wird deine Erstell-/Änderungszeitpunkte nicht wiederherstellen können. Eventuell kannst du diese aus den EXIF-Daten deiner Bilder auslesen.

Zitat:

Mit Version 0.5.2 ist dies möglich.
Aber auch der DecryptHelper wird deine Erstell-/Änderungszeitpunkte nicht wiederherstellen können. Eventuell kannst du diese aus den EXIF-Daten deiner Bilder auslesen.

@ matkuni
Erst Mal vielen Dank - werde die neue Version ausprobieren, spart mir auf jeden Fall jede Menge Zeit.
Exif Datei hat tatsächlich Original Datum

Habe einige Daten recovered mit 0.5.2 - hat fast alles geklappt, bis auf 2 exe (Steuerprogramm von Lexware). Ich warte erst Mal, bis ich alles fertig habe - kann auch an was Anderem hängen
Melde mich noch Mal

Matthes: Meld dich doch mal bei mir -
wir bauen hier an einander vorbei; das ist Perlen vor die Säue.
Ich habe derweil eine verifizierte Automatik für Win98 und WinXP, die keine 2 Dateien mehr benötigt.

Win7, Win2K und 2K3 sowie 2K8 kann ich leider erst am Mittwoch testen, daher ich Urlaub habe.

Kind Regards.

Oliver