Zitat:

Zitat von Undertaker

moin moin,
das kann nur die locked- Version gewesen sein.
Benutzt hat er den decrypthelper, der ist vom KÖNIG (Matthias Kunig)

Ja sorry das habe ich nicht geschrieben...
Aber Undertacker hat es schon erahnt.

Ja es war eine Mail ...:

Sehr geehrte Frau K...

Blabla bla.... und im Anhang die Rechnung als zip.Datei
Draufgeklickt und dann sollte bezahlt werden (wie hier schon mehrfach erlebt )

Ich habe den decrypthelper 5.0.3 benutzt und als original das Beispielvideo BÄR im Verzeichnis Öffentliche Video.
Betriebsystem VISTA
PC alt und langsam. Beginn gestern Abend 21:00 Uhr.......... fertig heute Morgen.
45741 Datein bearbeitet und sauber wieder hergestellt.

Gruß Detlef

Hallo Detlef,
hast Du alle 45741 Dateien geprüft?
Die Existenz aller wiederhergestellten dateien sagt nocht nichts darüber aus, ob sie auch brauchbar sind.
Ich brauchte zur sicheren rekonstruktion von 12000 dateien insgesamt vier Dateipaare.

Gruß Volker

Also alle einzeln habe ich das nicht geprüft versteht sich.
aber der PC arbeitet wie gewöhnlich und auch alle Prg. die ich gestartet habe funktionieren wieder.
Denke das sollte MIR persönlich reichen.
Ist ja ein priv PC mit Bildern und Spiele
hier und da auch ne Steuerklärung pp.

Ich habe wie gesagt nur einen Schlüssel erstellt und dann laufen lassen.

Gruß Detlef

Hallo!

Da ich selbst in Kooperation mit anderen Wissenden & Diensleistern keine Lösung finde, schildere ich hier mal meinen Fall in der Hoffung auf gute Ideen....

Von einem Kunden liegt mir eine Festplatte mit einigen 1000 locked-dateiname.Endung.abcd vor. Die lange bekannte version also, vorne "locked-" und hinten 4 beliebige Buchstaben nach der eigentlichen Endung.

Verschlüsselt am 08.05., "Die von Ihnen verwendete Windows Lizenz ist abgelaufen € 100,-/ € 50,-"..... Die E-Mail und das verseuchte/ verschlüsselte System existieren nicht mehr, nur noch die Dateien auf der externen Festplatte die mir vorliegt.

Aus verschiedenen Quellen konnte ich inzwischen 14 Datei-Pärchen bilden, eine Entschlüsselung gelingt mir aber bislang nicht, mit keinem der bekannten Tools - alle im Forum genannten habe ich inzwischen ausprobiert.

Nun gibt es zwei Möglichkeiten, entweder es gibt mehr dieser Fälle und ich habe bislang nur keinen gefunden oder ich übersehe irgendeine Kleinigkeit. Bislang habe ich zu dieser Version der Verschlüsselung nur Erfolgsmeldungen gesehen/ gelesen, zumindest in jedem Fall Teilerfolge. Hier geht garnichts.....

Gerne kann ich zum Testen einige Files zur Verfügung stellen - ich hoffe auf gute Ideen....

Vielen Dank!

moin moin,
Was meinst Du mit "Aus verschiedenen Quellen"?
Quelle können nur Originale von Dateien sein, die auf dem Rechner verschlüsselt wurden.
Dazu gehören beispielsweise Originale die sich noch als Spiegelabbilder irgendwo im Rechner befinden, aus Anhängen versendeter Mails (Bilder zum Onkel gemailt o.ä.), von Kopien auf Sticks, ext.HDDs oder CDs u.s.w.
Dabei ist es durchaus möglich, dass mit einem Paar nur Teilerfolge erzielt werden.
Bei zu wenigen Paaren kann es durchaus sein, dass keines passt.
Ich hatte beispielsweise mehrere hundert Originale zur Verfügung, aus denen ich 4 finden musste, um 12000 Dateien sicher zu rekonstruieren.

Gruß Volker

Ja, klar - solche Originale sind es auch.

Hast Du die Originale händisch durchprobiert und bist zufällig auf funktionierende gestossen?

Zitat:

Zitat von GORENG

Ja, klar - solche Originale sind es auch.

Hast Du die Originale händisch durchprobiert und bist zufällig auf funktionierende gestossen?

Jein,
nachdem ich das erste willkürlich genommen habe und ca. 3000 Dateien sauber bearbeitet wurden und die nächsten Paare nichts mehr brachten, habe ich erstmal Kaffee getrunken.
Dabei fiel mein Blick auf die CDs mit den Originalen.

Hoffest 2012, Urlaub 2008, Hausbau 2010

Ich habe dann nach verschlüsselten Dateien aus verschiedenen jahren gesucht und da wieder willkürlich welche rausgenommen.
Nach dem vierten Paar war keine weitere Suche mehr nötig.

Volker

ich hab mir erstmal das ganze C Laufwerk per shawosexplorer gezogen und warte nun auch einen decrypter für den neuen Buchstabensalat-Trojaner, da sollte ich genügend päärchen haben.

Volker, dass geht ev leicht bei dem alten trojaner, bei em neuen is dass nimma so einfach, weil ja kein dateiname mehr erkenntlich ist. Geht dann nur noch über die Dateigröße, die is zum Glück gleich geblieben. ich sprech jetzt aber nur über den neuen decrypter.

Oder du hast Glück und du hast mehrere Verzeichnisse mit nur einer Datei drin. Zum Glück hat das Mistding nicht auch die Verzeichnisse umbenannt!!! Das wäre der absolute Horror!!!

Komischerweise spart der Virus auch alle Programme aus. Bisher läuft alles auf dem Rechner, trotz Verschlüsselung. Ist doch seltsam oder!!!

Hallo,

bin mir nicht ganz sicher ob ich es mit der gleichen RansomWare zu tun habe wie der Rest hier, zumindest sieht der Screenshot sehr vertraut aus und ich habe es anscheinend auch mit verschlüsselten Office- und Medien-Dateien zu tun.

Allerdings hat mein betroffener Kollege keine E-Mail Anhänge geöffnet und die Dateien sind auch nicht nach dem hier mehrfach geschilderten Muster (locked.Dateiname.erweiterung.xyz o.ä.) umbenannt sondern die Dateinamen sind anscheinend zufällige alphanummerische Zeichenfolgen z.B. OAlxGVNUsslpVNl ohne Erweiterung.

Ausserdem hat mein Kollege konsequent alles was als Refernzdatei herhalten könnte (Beispielbilder usw.) von seinem Rechner gelöscht, ebenso alle Dateien die er mal per E-Mail verschickt hat und was er per E-Mail bekam (also alles was man noch aus Outlook holen könnte) gelöscht.
Eine einzige Excel-Datei mit der es evtl. gehen könnte habe ich von dem Rechner bekommen, allerdings ist die verschlüsselte Datei 3 Byte größer als die Originale.
Der gute Mann ist zu allem Überfluss auch noch in der Buchhaltung tätig, hat also auf seinem PC lokal (!!!)(nicht auf dem Server, der jeden Tag ein Backup macht) recht essentielle Dateien liegen.

Ich stehe hier also vor einem kleinen IT-Super-GAU und bräuchte mal dringend Hilfe.

@samarek
für die art der verschlüsselung gibt es immo leider keine hilfe außer vieleicht shadowexplorer ab win vista wenn aktiviert siehe:
http://www.trojaner-board.de/115496-...erstellen.html

Nachtrag: bei einigen hat das anhängen von der orig dateierweiterung funktioniert!

normale Erweiterung wieder anhängen funktioniert leider nicht, hab ich natürlich als aller erstes probiert, aber schon mit der Erwartung dass es nicht funktionieren wird.

Zitat:

ab win vista

war ja klar
der betroffene Rechner ist natürlich ein Windows XP Rechner

hi
schon mal die mails durchgegangen, evtl. im spam ordner oder papierkorb, falls ihr da die mail findet mal an mich senden.
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
makrusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.
ansonsten heißts abwarten :-(

es wäre mir eine persönliche Befriedigung dir die Mail zur Verfügung zu stellen, damit du das Ding auseinander pflücken kannst, aber wie gesagt mein Kollege hat keine E-Mail bekommen und ich hab auch schon seine Archiv-Ordner und Alles durchsucht, er muss sich das irgendwo im Netz eingefangen haben.