Habe beim Laptop von meinem Kolegen mehr Glück gehabt.
Habe im 1. Versuch, so wie es aussieht, alle Dateien entschlüsseln können mit
Decrypthelper 5.3. Es war nur das Problem:keine Originaldatei vorhanden,
weil der Ordner Beispielbilder vorher gelöscht wurde und keine Datei auf der Kamera war. Auf dem Rechner war aber ein Instalationsordner von Open Office2.4 mit verschlüsselten Dateien. Habe also eine alte Version gesucht und diese auf einem anderen Rechner installiert(war zwar englische Version aber dort waren gleiche Dateien enthalten, die ich zum Erzeugen des Schlüssels nutzen konnte.So oder ähnlich kommt man auch zu Dateipaaren.
Das hilft hoffentlich einigen weiter.

Guten Abend Liebes Board Team,

ich hab mir echt lang überlegt ob ich Euch schreibe, weil ich durchsuche eigentlich die Foren so lange bis ich die Lösung irgendwann gefunden habe aber nun gehts nicht mehr...

Folgendes Problem, ein bekannter hat eine Rechnung.zip Datei geöffnet welche alle Dateien verschlüsselt hat... Alle haben nun das gleiche geänderte Datum....Die Dateien haben aber immer noch die gleichen Endungen wie zuvor.

Ich bin nun her und habe glaub ich im Netz alle verfügbaren Programm versucht inkl. natürlich von dieser Seite:

http://www.trojaner-board.de/114783-...ubersicht.html

Ein kleiner Teilerfolg konnte ich erzielen, mit dem Programm "Trustezeb.A Decryptor von ESET" kann ich immerhin eine Datei herstellen, dann muss ich das Entcrypt weglöschen und es passt, nur bei der Anzahl an mehreren Hundert Dateien werde ich wahrscheinlich in die Klappse eingeliefert wenn ich mal fertig werden sollte.

Kann mir noch jemand ein Programm empfehlen mit welchem ich vielleicht eine "Massenentcryptung" starten kann?

Ich Danke Euch herzlichst für JEDE Antwort und wünsche noch einen schönen Abend...

P.S. eine Fehlerhafte Datei habe ich noch angefügt..

Hallo,
die Datei hast du wahrschinlich umbenannt.
Datei müsste heißen locked(originalnane).xyzt
Hinteren 4 Buchstabeben erfundenden, wenn es sich um die 1.version handelt.
vermutlich hast do XP

Richtig, ich habe XP aber das ist die Original Datei. Wie gesagt die heissen bei mir auch alle gleich also wie zuvor! Deswegen kann ja mit keinem Programm etwas anfangen, weil die net *.Entxryt heisst. Danke für Deine Hilfe.

Hallo Rainer,
den ersten Durchlauf habe ich mit dem AVIRA gemacht. Nach dem 2. Schlüssel war schon klar, dass das Teil nicht überschreibt.
Ab dann mit dem scareUncrypt, nicht mit der 32k- und der 512k-Version.

Die Schlüsselpaare werden Dir wenig helfen, sie sind maschinenabhängig.
Wenn Du willst, kann ich Dir aber meine Paare schicken.

Die Dateien waren von 000h bis fffh verändert, also die ersten 4k.
Ab 1000h war alles unverändert.

Hier ein Beispiel:



Gruß Volker

Zitat:

Zitat von Undertaker

Ab dann mit dem scareUncrypt, nicht mit der 32k- und der 512k-Version.

Die Schlüsselpaare werden Dir wenig helfen, sie sind maschinenabhängig.
Wenn Du willst, kann ich Dir aber meine Paare schicken.

Die Dateien waren von 000h bis fffh verändert, also die ersten 4k.
Ab 1000h war alles unverändert.

Gruß Volker

@Undertaker:

Dein Dateivergleich sagt mir, daß es bei mir definitiv nicht die gleiche Version war wie bei deinem Kunden, denn meine Dateien zeigen Veränderungen bis ca. 11KB.

Also kann ich mir weitere Versuche mit den bestehenden Tools bzw. Dateipaaren erstmal ersparen.

Eins habe ich noch nicht verstanden:
"Ab dann mit dem scareUncrypt, nicht mit der 32k- und der 512k-Version."

Gibt es unterschiedliche Versionen von Scareuncrypt, bzw. welches ist die 512k-Version ?

Danke und gute Nacht
Rainer

Zitat:

Originalzitat von BitFox:
Wir haben verschiedene Dateien bereit gestellt, damit Menschen mit z.B. Archiven nicht so ewig warten müssen, bis die Dateien wieder brauchbar sind.

scareuncrypt.exe -> Für Systeme mit wenig Arbeitsspeicher, arbeitet recht langsam.
scareuncrypt32K.exe -> Für Systeme mit mehr Arbeitsspeicher, arbeitet mäßig schnell.
scareuncrypt512K.exe -> Für Systeme mit viel Arbeitsspeicher, arbeitet sehr schnell.

Einfach einmal ausprobieren.
WICHTIG: KEINE HAFTUNG FÜR EVENTUELLE SCHÄDEN.
DIE ANWENDUNG GESCHIEHT AUF EIGENE GEFAHR HIN.
BITFOX Ltd. & Co. KG
Oliver Lenz
Postfach 102523
45025 Essen

Die aktuelle Version des Tools macht diesen Unterschied scheinbar nicht mehr.

Hallo zusammen,

ich habe nun diverse Proigramme zum Entschlüsseln versucht, entweder das Paar passt nicht, oder kein Schlüssel gefunden. Nun habe ich es mit dem Uncripter versucht:
- Schlüssel wurde gefunden, Dateien wurden entschlüsselt, aber:
-Bilder nicht zu öffnen
-Filmdateien nicht zu öffenen
-MP3´s 90 % in Ordnung, aber der Rest wie bei den Bildern und Filmen Dateiformat nicht erkannt.
Viele Grüße

In dem Post "http://www.trojaner-board.de/115183-...ml#post830795" habe ich beschrieben, wie ich auf einem Windows7 Rechner fast alle Dateien wieder herstellen konnte.
Gruß DevilTH

naja, ein Anfang ist es, (hatte die Original-Vergleichsdatei, war eine MP3 im Mailanhang in gesendete Objekte wiedergefunden) Was ein Glück , weil bei mir alle 3HDD´s betroffen sind, vielleicht finden wir ja noch eine Möglichkeit auch die Bilder wiederherzustellen

Hallo,

ich konnte dan DecryptHelper-0.5.3 einen Schlüssel erzeugen und auch die alle dateien (jpg,doc,pdf,xls usw.) entsperren. Nur habe ich das Problem das die Dateien danach immer noch unbrauchbar sind, da man Sie nicht öffnen kann bzw. es aussieht als ob kein inhalt vorhanden wäre. Die Dateien habe aber ihre richtige Größe usw.

Hat jemand einen Rat?

Gruß Alex

@cologne1,
das ist ja schon ein Anfang, da hilft nur weiter nach anderen Schlüsselpaaren zu suchen.
Ich habe das hier schon mehrfach gepostet.
Zum Glück hatte ich mehrere hundert Originalbilkder zur Verfügung.
Daraus konnte ich mit vier Dateipaaren 12000 JPGs rekonstruieren.
Die Originale dieser vier Dateien waren aus unterschiedlichen Jahren (2008, 2010, 2011, 2012).
Dateien aus der gleichen Bilderserie z.B. Bild001.jpg bis Bild120.jpg oder die zeitnah im gleichen Jahr aufgenommen wurden, lieferten auch nur die gleichen Teilergebnisse.

Gruß Volker

Ich bin neu hier. Ich bin von den Neuen Trojaner betroffen. Einige Dateien siehen wie lrjAttyAtsOylsNN aus. Jedoch meine Erkenntnisse:

Es sind einige Dateien verschlüsselt und zwar in alphabetischer Reihenfolge: Das Ganze Lauwerk C und teils Laufwerk D. Lauwerk D bis zum Order d:\D.....\f..... Rest ist verschont. Desweiten habe ich festgestellt, dass im Ordner d:\d.....\c....\Nuty na keyboard (CeZzZi) der Name geändert wurde vom "Nuty na keyboard". Diese Endung (CeZzZi) habe ich nicht zugefügt. Die Dateien, die ich verglichen habe (Bilder), sind bis zu Position 12288 (3000HEX) geändert.

Meine Überlegung ist auch ob die Datei C:/WINDOWS/system32/2C392FCDCC2AC3E052EB.exe wirklich einen zufälligen Namen hat, ob vielleicht irgendwas mit der Verschlüsselung zu tun hat.

Ich hoffe, dass jemand eine Lösung findet. Viel Glück. Ich werde auch weiter Lösung suchen.

Ich bestätige, die Dateien sind ab 3000HEX byte nicht geändert worden. Habe PDF-Dateien geprüft. Kann jemand damit was anfangen oder bestätigen?

ich würde gerne die Suche nach passenden Decrypter vorantreiben. Ich habe 2 emails erhalten mit Rechnung im zip Format. Ich habe natürlich nichts bestellt. Ich habe sie auch noch nicht gelöscht und natürlich auch nicht den Anhang geöffnet. Aber ich habe immernoch den Computer meiner Chefin, der mit der variante vom 04.05.2012 verseucht ist, wo auch das entschlüsseln mit Paaren nicht funktioniert. Ich würde sie gerne an MarkusG weiterleiten. Ich arbeite aber mit AOL im Browser. Also wie soll ich die emails weiterleiten?

Brauchen dringend Hilfe!!!!!!

Bei uns funktionieren die Entschlüsslung nicht. Wir bekommen immer wieder die Meldung das die zwei Dateien nicht übereinstimmen. Die Dateien sind sehr wichtig, es ist leider nur ein Teil vorher gesichert wurden. Wir haben morgen ein wichtigen Termin und brauchen die Daten. Wer kann uns schnell helfen.

Verschlüsselte Datei sieht so aus E:\1 IFS QMH neu\3 Personal Schulung\locked-Schulung Vorgehensweise beim Hartplastikbruch.doc.sfai