Bei mir war es auch eine Rechnung. Hätte es normalerweise nicht geöffnet, kenne aber solche spielchen von meiner Ex.

Einen Bekannten hat es jetzt auch erwischt, er hat vermutlich den Anhang geöffnet. Alle Dateien sind in Groß- und Kleinbuchstaben umbenannt und verschlüsselt. MP3-Dateien lassen sich aber abspielen.

Ich habe einige Entschlüsselungsprogramme ohne Erfolg ausprobiert.

Ich habe ihm den PC neu aufgesetzt, vorher aber alle verschlüsselten Dateien (Bilder, Musik, Dokumente) auf eine USB Festplatte gesichert.

Was kann ich machen, bzw. sind die Daten wiederherzustellen?

Im Anhang ein Screenshot wie die Mail bei Web.de aussah.

moin moin an alle, die sich mit einem Virus der Nach-locked-Variante infiziert haben.

Es bringt nichts, mit den Ranson-Tools zu experimentieren.
Wer es doch nicht lassen kann, experimentiere bitte mit Kopien.

Ich kann nur jedem empfehlen, sowohl die verschlüsselten Dateien, als auch den Dropper aufzuheben.
Es ist nicht auszuschließen, dass bereits im Dropper ein Teil des Schlüssels enthalten ist.
Wenn man sich so einen Plagegeist mal näher ansieht, dann findet man eigenartige Strings.

Mal als Beispiel, hier eine Registrierung.pif, geschrieben in VB:







Oder hier ein beispiel einer Lieferschein.exe, geschrieben in Delphi:



Sollte so ein String oder ein Teil davon Teil des Schlüssels sein, dann wäre es fatal, wenn die Profis eine Entschlüsselungsroutine finden und dann fehlt der Teil des Schlüssels, weil man den Virus ins Nirvana geschickt hat und ihn nicht wiederbekommen kann.

Der Rat gilt natürlich nur für diejeneigen, die ihre Daten unbedingt wieder haben wollen.
Wer darauf verzichten kann und sein System neu aufsetzt, der ist ohnehin aus dem Schneider.

Bei der Gelegenheit möchte ich auch nochmal auf die Sicherheit von Backups hinweisen.

http://www.trojaner-board.de/115678-...r-backups.html

Gruß Volker

genügt denn die mail, die den schaden verursacht hat oder muss es die pif. datei sein?

Hallo, ich konnte meine Dateien entschlüsseln, nun sehen die Dateien auch wieder so aus wie vorher, richtige größe usw. nur wenn ich sie öffnen will kann man damit nichts anfangen. Hat das Problem noch jemand bzw. gibt es eine Lösung?!

Danke und Gruß

Zitat:

Zitat von 007Alex007

Hallo, ich konnte meine Dateien entschlüsseln, nun sehen die Dateien auch wieder so aus wie vorher, richtige größe usw. nur wenn ich sie öffnen will kann man damit nichts anfangen. Hat das Problem noch jemand bzw. gibt es eine Lösung?!

Danke und Gruß

wie sahen die dateien vor der entschlüsselung aus?

@benton18,

Zitat:

Zitat von 007Alex007

Hallo,
...
...
Die Dateien habe aber ihre richtige Größe usw. Die dateien heißen, locked-2011-Arbeitsdienst.jpg.lhsn

...

Gruß Alex

Etwas anderes ist z.Z. auch fast auszuschließen.

Gruß Volker

Hallo..
wir haben ja leider auch die "Lieferschein.exe" Sauerei eingefangen...
Bei uns sind alle Daten auf D: verschlüsselt... auf C: nichts mehr , da hat es gereicht die Endungen wieder anzuhängen (jpg oder mp3...) Was aber auf D: nicht geht ...
Den Virus haben wir mit Kaspersky gelöscht...

Ist es sinnvoll das System (C neu aufzuspielen wenn das Problem auf Partition D: besteht oder ist es erstmal nicht ratsam..?

p.s.: Win 7 Ultimate
Liebe Grüße

Hallo und Guten Abend

Ich kann mir sicher vorstellen das uhr viel zu tun hast derzeit um so Leuten wie mir zu Helfen


Ich weiß nur nicht mehr weiter und bin völlig fertig.
Mein Mann und ich haben vor 3 Wochen Kirchlich Geheiratet,kurz davor kam meine Tochter zur Welt, und nun ist alles weg ...ich kann auf kein Foto nichts mehr zugreifen,alle versuche was mit euren Tools zu retten schlugen fehl, da steht dann immer wenn ich diese Beispiel Datei nehme von den Blauen Bergen...Dateien sind unterschiedlich groß.Auch die anderen tools gehen nicht da ich ja keine Orginal Datei habe.
Was mach ich den nur, die Geburt meiner Tochter ist etwas was ich nie wieder bekommen werden,und bei jeden Foto ist sowas hier

ggOOgOOggOggOggOgO

und andere sachen...ich weiß wirklich nicht mehr was ich noch machen kann

Bitte Helft mir

Britta

Hallo,

habe auch gerade einen PC auf dem Tisch. Hier sind DOC, JPG usw. verschlüsselt. Die Dateinamen sind allerdings nicht verändert! Sie lassen sich einfach nicht öffnen. Tools greifen nicht.
Auf der ext. Platte ist restlos alles verschlüsselt! Alle Dateien haben wilde Buchstabenfolgen ohne Erweiterung, also nicht nur JPG und co.
Dummerweise ist auch die Sicherung betroffen.

Gruss Micha

Hallo,

ja ich war auch so Blöd und habe die Zip-Datei angeklickt und nun sind meine Daten verschlüsselt. Habe über Norton den Trojaner zwar weg, aber die Daten sind noch nicht wieder frei. Über Eure Software kann ich keinen Schlüssel erzeugen. Dieser Text stand bei mir in der E-mail:

Dritte Zahlungsaufforderung 754484997 Rechtsanwalt

Guten Tag,

in Bezug auf unsere Rechnung Nr.: 50096046 und unsere 1. sowie auch unsere 2. Mahnung mussten wir heute feststellen, dass Ihre Zahlung bei uns noch immer nicht gebucht ist. Dies bedeutet einen einseitigen Vertragsbruch Ihrerseits. Nach geltendem Recht könnten wir die offene Forderung bereits jetzt bei Gericht anmelden. Wir geben Ihnen jedoch trotzdem noch eine letzte Möglichkeit, Ihre vertragliche Verpflichtung zu erfüllen, indem Sie unverzüglich die ausstehende Summe in Höhe von 511.00 EURO an uns zur Zahlung bringen. Möglicherweise konnten wir Ihre Zahlung nicht zuordnen, weil z.B. der Verwendungszweck nicht korrekt angegeben wurde.

Die Bestelleinzelheiten und die Rechnung können Sie in beigefügter Datei ansehen.

Nach geltendem Recht sind wir befugt, die anfallenden Kosten geltend zu machen. Alle bereits angefallenen und noch entstehenden Kosten (Mahnkosten, Rechtsanwalts- und Gerichtskosten) gehen zu Ihren Lasten.

Vermeiden Sie unnötigen Ärger und weitere Kosten und erfüllen Sie den mit uns abgeschlossenen Vertrag.



Ceipe Elektro Online-Handel mit Sitz in Essen

Vorstand: Peter Mayer, Josef Scholz
Aufsichtsratsvorsitzender: Heinz Hahn
Gesellschaftssitz: Hannover 71996

Anhang war eine Zip_datei 50KB groß mit dem Titel: Inkasso

Wie kann ich denn hier mal eine orginale und eine verschlüsselte Datei einfügen?

Zitat:

Zitat von Schachzug75

Hallo,

ja ich war auch so Blöd und habe die Zip-Datei angeklickt und nun sind meine Daten verschlüsselt. Habe über Norton den Trojaner zwar weg, aber die Daten sind noch nicht wieder frei. Über Eure Software kann ich keinen Schlüssel erzeugen. Dieser Text stand bei mir in der E-mail:

Dritte Zahlungsaufforderung 754484997 Rechtsanwalt

Guten Tag,

in Bezug auf unsere Rechnung Nr.: 50096046 und unsere 1. sowie auch unsere 2. Mahnung mussten wir heute feststellen, dass Ihre Zahlung bei uns noch immer nicht gebucht ist. Dies bedeutet einen einseitigen Vertragsbruch Ihrerseits. Nach geltendem Recht könnten wir die offene Forderung bereits jetzt bei Gericht anmelden. Wir geben Ihnen jedoch trotzdem noch eine letzte Möglichkeit, Ihre vertragliche Verpflichtung zu erfüllen, indem Sie unverzüglich die ausstehende Summe in Höhe von 511.00 EURO an uns zur Zahlung bringen. Möglicherweise konnten wir Ihre Zahlung nicht zuordnen, weil z.B. der Verwendungszweck nicht korrekt angegeben wurde.

Die Bestelleinzelheiten und die Rechnung können Sie in beigefügter Datei ansehen.

Nach geltendem Recht sind wir befugt, die anfallenden Kosten geltend zu machen. Alle bereits angefallenen und noch entstehenden Kosten (Mahnkosten, Rechtsanwalts- und Gerichtskosten) gehen zu Ihren Lasten.

Vermeiden Sie unnötigen Ärger und weitere Kosten und erfüllen Sie den mit uns abgeschlossenen Vertrag.



Ceipe Elektro Online-Handel mit Sitz in Essen

Vorstand: Peter Mayer, Josef Scholz
Aufsichtsratsvorsitzender: Heinz Hahn
Gesellschaftssitz: Hannover 71996

Anhang war eine Zip_datei 50KB groß mit dem Titel: Inkasso

Wie kann ich denn hier mal eine orginale und eine verschlüsselte Datei einfügen?

Hallo zusammen,

mir ist heute genau das selbe passiert. Ich habe eine Mail mit der Originalmail wie erklärt an euch weiter geleitet.

Ich benutze Windows 7 Ultimate und habe den Trojaner mittels Microsoft Security Essentials entfernt.

Bin mir sicher, daß die Originaldatei "dvm.dll" hieß und die verschlüsselte "lNavsOUnsAVoVExqU" heißt. Ich habe wenn benötigt noch mehr solche Beispiele.

Würde mich über weitere Hilfe sehr freuen!

ich habe sämtliche tools ausprobiert, obwohl ich eine originale datei und eine codierte habe, kann ich die dateien nicht entschlüsseln.
kann man euch datein hochladen ? vielleicht mache ich ja etwas falsch bei der ANwendung... ich bin echt verzweifelt...
lg chris

@chris.k,
Du hast im Thred, in dem die neue Variante des Trojaners beschrieben wird, gepostet, dass Du Dich auch damit infiziert hast.
Du solltest also wissen, dass die Entschlüsselung mittels Dateipaaren da nicht greift.

Hast Du schon mal nach Schattenkopien gesehen?

http://www.trojaner-board.de/115551-...tml#post835551

Ich möchte auch nochmal darauf hinweisen, dass das hier ein Diskussionsforum ist und Logfiles, Hilferufe u. ä. hier fehl am Platze sind.

Oben steht:

Zitat:

Diskussionsforum: Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)
Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches. ...

Wahrscheinlich aus Verständnisses für die Verzweiflung der Betroffenen, zeigt die Administration des TB hier ein hohes Maß an Toleranz.

Postings wie:
"...bin verzweifeld...." oder "---gibts schon was Neues?..."
sind einem Diskussionsthred nicht gerade zuträglich.

Noch eine letzte Frage @chris.k
War Dir der Bundestrojaner, den Du Dir im August vergangenen Jahres eingefangen hast keine Lehre?

Gruß Volker

Was mich hier unheimlich stört...es gibt 75 Prozent der Leute hier die wie ich kein Vista haben sondern nur XP...und es dreht sich zu 90 Prozent immer nur um Hilfe für Vista benutzer.
Ich finde hier sollte auch ein bischen mehr wert auf die Xp Kunden gelegt werden...den bischer kam noch nicht ein einziger Hilfe vorschlag für den Trojaner ohne locked für XP nutzer