Zitat:

Zitat von Dynamic2223

Die verschlüsselten Dateien sehen wie folgt aus:

[...] OsDQpOsvTrlupgevarluX [...]

Das verwendete Betriebssystem ist Microsoft Windows XP. Ich habe nun einen Original Datei gefunden. Falls ich das Decrypt Tool benutzte, kommt leider immer die Fehlermeldung, dass kein Schlüssel erzeug werden konnte.

Vielen Dank im Voraus

Für dein XP funktioniert der ShadowExplorer leider nicht, und für diese Verschlüsselungs-Version funktionieren die Decrypter normalerweise nicht.
Deine einzige Möglichkeit derzeit sind die JPG-Recovery Tools.
Gruß DevilTH

@DevilTH: Und wie sieht es mit anderen Dateien aus? Gibt es da eine Möglichkeit?

Noch viel schlechter
Wenn du genau weißt welcher Dateityp die ursprüngliche Datei war, kannst du bei mp3-Dateien mal die entsprechende Endung ranhängen. Es gab aber nur wenige Leute wo dass richtig funzte.

Also .jpg kann man aufjedenfall wiederherstellen? Auf dem System sind sehr viele Rechnungen etc. und andere Dokumente drauf.

Moin,

habe einen Kunden der hat sich den Verschlüsselungstrojaner eingefangen und keine Datensicherung. Habe es dann mit den Beispielbildern versucht und einen schlüssel generiert aber funktioniert nicht. Scheint aber auch unterschiedlich verschlüsselt zu sein. Mal sind die Dateinamen nur zahlen 27367409827 mal Buchstaben und Zahlenkobis D3Fds§f2 mal sind es die normalen Dateinamen aber die gehen nicht auf kommt immer nur Datei ist beschädigt. Habe dem Kunden auch schon gesagt die alle weg sind. Aber eigentlich interessiert mich ob ich es evtl hinbekommen die wiederherzustellen.

MFG

Simon

Zitat:

Zitat von Dynamic2223

Also .jpg kann man aufjedenfall wiederherstellen? Auf dem System sind sehr viele Rechnungen etc. und andere Dokumente drauf.

Ja JPG werden gerade sehr erfolgreich wieder hergestellt. Schau mal ab da http://www.trojaner-board.de/115183-...tml#post841998
Bei den anderen Dateitypen wird noch nach Lösungen gesucht, da immer die Header und Marker des Dateikopfes verschlüsselt werden.

Zitat:

Zitat von Mastercontro

Moin,

habe einen Kunden der hat sich den Verschlüsselungstrojaner eingefangen und keine Datensicherung. Habe es dann mit den Beispielbildern versucht und einen schlüssel generiert aber funktioniert nicht. Scheint aber auch unterschiedlich verschlüsselt zu sein. Mal sind die Dateinamen nur zahlen 27367409827 mal Buchstaben und Zahlenkobis D3Fds§f2 mal sind es die normalen Dateinamen aber die gehen nicht auf kommt immer nur Datei ist beschädigt. Habe dem Kunden auch schon gesagt die alle weg sind. Aber eigentlich interessiert mich ob ich es evtl hinbekommen die wiederherzustellen.

MFG

Simon

Hallo Simon,

bei Vista und Win7 bekommst du mit ShadowExplorer meist die Dateien wieder hergestellt. Bei XP leider nicht.
Die Trojaner- Schreiber sind sehr fleißig: zuerst hatten sie nur ein locked im Dateinamen und eine relativ simple verschlüsselung. Jetzt ändert sich alle paar Tage das Muster. Zahlen sind vollkommen neu für mich
Gruß DevilTH

Zitat:

Zitat von Mastercontro

Moin,

habe einen Kunden der hat sich den Verschlüsselungstrojaner eingefangen und keine Datensicherung. Habe es dann mit den Beispielbildern versucht und einen schlüssel generiert aber funktioniert nicht. Scheint aber auch unterschiedlich verschlüsselt zu sein. Mal sind die Dateinamen nur zahlen 27367409827 mal Buchstaben und Zahlenkobis D3Fds§f2 mal sind es die normalen Dateinamen aber die gehen nicht auf kommt immer nur Datei ist beschädigt. Habe dem Kunden auch schon gesagt die alle weg sind. Aber eigentlich interessiert mich ob ich es evtl hinbekommen die wiederherzustellen.

MFG

Simon

Hallo Simon,
läuft das System des Kunden schon wieder und wenn ja, hast Du das wiederhergestellt?
Hast Du Zugriff auf die Mail mit Anhang?

Wenn wir vom gleichen Übeltäter sprechen, dann wäre der Dropper sehr wichtig.
Verschlüsselungen in der von Dir beschriebenen Form sind neu.

Die bisherigen Verschlüsselungen hatten entweder den Präfix locked- oder der dateiname bestand aus Alphanumerischen zeichen ohne Extension.
Das was Du beschreibst ist neu.

Volker

Hallo

Ich hab jetzt mal das Programm ShadowExplorer ausprobiert und ich konnte alle meine Fotos Videos und mp3 wiederherstellen.

ich muß mich auch bei Trojaner-Board herzlich bedanken

Gruß

kann mir jemand den Pfad und ev. Dateinamen-extension für systemwiederherstellung nennen? war-ist bei mir aktiviert, aber Wiederherstellungspunkte waren gelöscht,konnte aber keine Dateien finden. will nun mit recover diese suchen. vermute dass durch den Trojaner ausgeführte chkdsk welches viele Dateien geändert hat einiges am System hin war. nach Win-reparatur und reg-clean läuft nun auch Office 2007 mit Registrierung wieder.

Zitat:

Zitat von Andie

kann mir jemand den Pfad und ev. Dateinamen-extension für systemwiederherstellung nennen? war-ist bei mir aktiviert, aber Wiederherstellungspunkte waren gelöscht,konnte aber keine Dateien finden. will nun mit recover diese suchen. vermute dass durch den Trojaner ausgeführte chkdsk welches viele Dateien geändert hat einiges am System hin war. nach Win-reparatur und reg-clean läuft nun auch Office 2007 mit Registrierung wieder.

C:\Windows\System32\Restore

danke. und komisch. in dem pfad finde ich im explorer nur eine *.txt vom 12.01.2011 1kb
über die systemherstelung von win finde ich wenigstens die aktuellen von gestern heute.
hatte versucht das system mit ERNT 1.1j was ja bei jeden Start ne sicherung anlegt zurück zu holen, finzt aber wohl nur bedingt, sodass win halbwegs läuft.

sollte der eigentliche ordner für die wiederherstellung nicht system volumen information sein?

Ich glaube fast, das der Dateianfang bei der neuen Variante des Trojaners mit "Zufallszeichen" überschrieben wird, welche aus Hardwareeigenschaften oder bestimmten Vorgängen gewonnen wird. Ein wirkliches entschlüsseln ist ja für den Programmierer der Schadsoftware nicht erforderlich (oder wer glaubt daran, das sich das Problem nach Zahlung löst? ;-)).

Somit wird es für diese neue Version wohl gar keine Möglichkeit der Entschlüsselung geben.

Oder gibts es doch noch einen Ansatz den Algorithmus zu erkennen?

Zitat:

Zitat von Sven S.

Somit wird es für diese neue Version wohl gar keine Möglichkeit der Entschlüsselung geben.

Oder gibts es doch noch einen Ansatz den Algorithmus zu erkennen?

Zu Satz1) warum dann die Datei .$02 im Temp?

Zu Satz2) der Inhalt der Datei .$02

Es gibt nur noch keinen Ansatz die $02 zu entschlüsseln.
Der Schlüssel ist nicht mehr auf dem Rechner,
er wurde vom Virus an den C&C Server der Gangster übermittelt.

Zitat:

Zitat von Undertaker

er wurde vom Virus an den C&C Server der Gangster übermittelt.

Wie erfolgt denn die Übermittlung? Ggf. Schlüssel abfangen (sofern ungesichert übertragen)?

Ich habe bisher nur das Schadprogramm und verschlüsselte Dateien. Praxistest mit Monitoring hab ich noch nicht gemacht, aber ihr doch sicherlich schon ;-)....

@SvenS,

Zitat:

Zitat von Sven S.

Wie erfolgt denn die Übermittlung? Ggf. Schlüssel abfangen (sofern ungesichert übertragen)?

Ich habe bisher nur das Schadprogramm und verschlüsselte Dateien. Praxistest mit Monitoring hab ich noch nicht gemacht, aber ihr doch sicherlich schon ;-)....

Ja, dem Virus wurde tief in den Rectus gesehen.
Das Ergebnis steht beispielsweise hier:

http://www.trojaner-board.de/115183-...tml#post842502

oder hier ein Zitat eines Antimalwaregurus:

Zitat:

Xylitol May 31, 2012 9:04AM

It’s impossible to decrypt files without criminal’s server.
Report to the Police if you are infected.

Gruß Volker