Zitat:

Zitat von markusg

hi,
welche infos wir über die dateien wollen, haben wir ja eig schon lang und breit auf der vorhergehenen seite diskutiert.
sind die dateien denn auf das byte gleich groß zb?
wenn man dateien anhängen will, dann vorher mit winrar zb packen, dann werden sie kleiner :-)
@mails weiter leiten:
wie das geht, steht auf der vorherigen seite, ich kopiere es aber noch mal hier her:
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann mail an:
http://markusg.trojaner-board.de
dort die soeben erstellte datei anhängen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte außerdem den nutzernamen dazu packen, damit ich dann gleich weis mit wem ich rede :-)
daran kann ich dann schon mal sehen, ob die entschlüsselung anhand von paaren
überhaupt noch klappt.

Die Dateien sind gleichgroß und haben den gleichen Namen. Ich habe jetzt die lockes dateien und die Originaldateien angehangen. Es sind die Beispielbilder von windows xp. Die email habe ich leider schon gelöscht. der Anhang war eine rechnung.zip, Ich spreche zwar die ganze Zeit von mir, aber es ist der Computer meiner Chefin und sie braucht ihn wirklich dringend wieder. Leider kann sie mir auch nicht mehr genau sagen, was in der email stand. Angeblich hat sie was bei eplus gekauft, die Zahlung wurde lt. email bestätigt uns sie könnte sich die Rechnung runterladen. Sie hatte natürlich nichts gekauft. Ich glaube das sie verschlüsselung anhand von paaren in diesem Fall nicht klappt. Ich habe schon die verschiedensten Programme üwie Avira unlocker, Kaspersky unlocker, Decrypthelper...

die frage ist wie ich meine dateien entschlüssel, da ich kein schlüssel erzeugen kann. link zu meinen locked bilder und originale sind in meinem thread zu vor

Zitat:

Zitat von hackbart2

die frage ist wie ich meine dateien entschlüssel, da ich kein schlüssel erzeugen kann. link zu meinen locked bilder und originale sind in meinem thread zu vor

so wie es immo aussieht, ist es ja leider nicht das Problem dass keine orig. Daten mehr vorhanden sind, sondern das die Programierer einen Weg gefunden haben keine gültigen Paare mehr zu zulassen. Es hat irgendwo jemand geschrieben er hääte bezahlt und danach wurde alles wieder entschlüsselt. Wäre das vielleicht ein Ansatz um dem Prog irgendwie vorzugaukeln, das eine Zahlung erfolgt ist? im Win sys32 Ordner liegen zumindest bitmaps wo steht Zahlung erfolgt ?!?

Hallo zusammen,

ich verfolge diesen Thread seit mehreren Tagen und muss auch meine Begeisterung für die bisherige Leistung und Initiative äußern.

Ich habe bei mir die Systemplatte (und das etwas ältere Backup) meiner Schwester zu stehen. Sie hat am Donnerstag Abend, 03. Mai 12 die mutierte Version geöffnet. Bislang konnte ich keine der hier geschilderten Gegenmaßnahmen erfolgreich anwenden. Das Tool von Matthias ist leider nicht in der Lage einen brauchbaren Schlüssel aus diversen Datei-Paarungen zu errechnen - die anderen Tools allerdings auch nicht . Ich habe auch den Eindruck, dass die Mutation nicht mehr wählerisch bei den Dateitypen ist, sondern einfach alles verschlüsselt, was sie in die Finger bekommt.

Sofern von Nutzen, möchte ich gerne diverse Datei-Paarungen anbieten, um dem Algorithmus der Mutation auf die Schliche kommen zu können. Die Original-eMail habe ich leider nicht mehr finden können, die EXE, welche bei User-Anmeldung gestartet wird, liegt mir aber noch vor und kann auch jederzeit zur Verfügung gestellt werden. Ich habe dafür extra im Forum angemeldet, also seht mir bitte nach, wenn ich die Datei-Upload-Gepflogenheiten nicht sofort parat habe.

Grüße, truthahn

nein, falsche schlüssel funktionieren nicht.
und, wenn ihr zahlt, wer sagt euch nicht, dass es beim nächsten mal ne infektion via sicherheitslücke über ne webseite gibt, die dann vllt 500 € kostet.
wenn man die leute bezahlt ist das ein lohnendes geschäftsmodell, und was sich lohnt, setzt sich durch und kostet dann vllt noch mehr.
einfach mal ein bisschen geduld mitbringen, ich weis, das ist schwierig, aber diese malware wurde vor 2 tagen angepasst.
das läuft dann nicht wie im fernsehen, das da mal einer ne minute lang tippt und ne lösung hatt, das braucht halt ein wenig zeit.
und, auch programierer haben ein wochenende und familie etc.
das einzige was wir machen können ist, uns die mails die ich angefordert hab anzusehen, rauszufinden ob ihr wirklich diese variannte habt, die spammer melden etc.

Zitat:

Zitat von markusg

nein, falsche schlüssel funktionieren nicht.
und, wenn ihr zahlt, wer sagt euch nicht, dass es beim nächsten mal ne infektion via sicherheitslücke über ne webseite gibt, die dann vllt 500 € kostet.
wenn man die leute bezahlt ist das ein lohnendes geschäftsmodell, und was sich lohnt, setzt sich durch und kostet dann vllt noch mehr.
einfach mal ein bisschen geduld mitbringen, ich weis, das ist schwierig, aber diese malware wurde vor 2 tagen angepasst.
das läuft dann nicht wie im fernsehen, das da mal einer ne minute lang tippt und ne lösung hatt, das braucht halt ein wenig zeit.
und, auch programierer haben ein wochenende und familie etc.
das einzige was wir machen können ist, uns die mails die ich angefordert hab anzusehen, rauszufinden ob ihr wirklich diese variannte habt, die spammer melden etc.

du hast mich falsch verstanden Markus. Ich sagte nicht bezahlen, sondern vielleicht kann man dem Tool vorgaukeln, dass bezahlt ist? Also mit seinen eigenen Waffen schlagen?

ne, hatte das schon verstanden, nur vllt nicht richtig ausgeführt.
soweit ich weis, klappt es zumindest nicht, wenn man falsche keys eingibt.
ob es sonst noch irgendwelche fehler im programm selbst gibt, weis ich nicht, aber da kümmern sich einige hersteller und ich denke da wirds schon noch ne lösung geben.

Zitat:

Zitat von markusg

ne, hatte das schon verstanden, nur vllt nicht richtig ausgeführt.
soweit ich weis, klappt es zumindest nicht, wenn man falsche keys eingibt.
ob es sonst noch irgendwelche fehler im programm selbst gibt, weis ich nicht, aber da kümmern sich einige hersteller und ich denke da wirds schon noch ne lösung geben.

Du schreibst falsche Schlüssel passen nicht. Avira und Co sagen trotz identischen Bits Dateien sind nicht die gleichen. Kann es sein,
das also der Ursprungsort irgendwie mit gespeichert wurde? Ich habe hier Dateien wo die locked und die orig in unterschiedlichen Ordnern lagen und es funzt nicht.
Würde es vielleicht helfen, wenn Dateien aus einem noch nicht verschlüsselten Ordner nehme und dann einfach den Virus nochmal starten lasse um auch diesen Ordner zu verschlüsseln oder ist der Ansatz Blödsinn?

bei den neuen variannten hat sich die art der verschlüsselung geendert, da klappts nicht mehr mit den paaren.
und, selbst wenn, würde es funktionieren, und du würdest jetzt die malware starten, würde sie einen neuen schlüssel erzeugen.

Herzlichen Dank. matsnu1decrypt funktioniert offenbar prima. Pooh...so konnte ich meine Frau mal wieder retten!! Hoffentlich geht sie jetzt etwas vorsichtiger mit Emailanhängen von unbekannten Absendern um

Zitat:

Zitat von Johannes60

Herzlichen Dank. matsnu1decrypt funktioniert offenbar prima. Pooh...so konnte ich meine Frau mal wieder retten!! Hoffentlich geht sie jetzt etwas vorsichtiger mit Emailanhängen von unbekannten Absendern um

welches Tool hat bei Dir geholfen und von wann war die Mail ¿

Ich hätte auch eine Frage , wäre es möglich den jeweiligen Rechner erneut mit den Trojaner zu infizieren und dabei auf den Desktop des Rechners 3-5 verschiedene neue Dateien zu hinterlassen, die daraufhin gelocked werden. Um somit erneut mit den Tool versuchen die Dateien zu entschlüsseln. Jedoch bin ich mir nicht sicher , ob die jetzigen verschlüsselten Dateien erneut durch den Trojaner verschlüsselt werden und somit "double - locked sind". Durch die vorgehensweise hätte ich zum Schluss 3-5 Dateien mit verschiedenen Formaten , bei denen ich den Tool anwenden könnte , denn den Trojaner entferne ich innerhalb von 5 Minuten. Einen Backup der locked Dateien habe ich schon.

Mail war von heute: 05.05.2012
Das tool war von dr. web. http://www.trojaner-board.de/114345-...-trojaner.html
Da es alle gelockten Dateien auf dem PC belässt (zusätzlich zu den entschlüsselten) bin ich jetzt dabei, die ganzen "locked-Dateien" zu entfernen

Zitat:

Zitat von Johannes60

Mail war von heute: 05.05.2012
Das tool war von dr. web.
Da es alle gelockten Dateien auf dem PC belässt (zusätzlich zu den entschlüsselten) bin ich jetzt dabei, die ganzen "locked-Dateien" zu entfernen

kannst vielleicht noch sagen, woher die orig datein waren? bei mir hier funzt das teil nämlich leider nicht weder mit beispieldateien noch mit auf dem pc vorhandenen originalen sagt immer dateien passen nicht zueinander trotz ident. Bits

windows suche:
*.locked
enter
findet alle dateien auf einmal :-)
bitte meinen post betreff weiterleitung der mails lesen.
ist auf der vorhergehenden seite