Zitat:

Zitat von Nusshund

es gibt hier im Thema und auch in vielen anderen mehrfach die Erläuterung, dass es bei dieser Art der Verschlüsselung im Moment leider keine Hilfe gibt (ausgenommen Schattenkopie unter Vista bzw. Win7 wenn aktiviert)!!

Mir ist klar, dass man aufgeregt und verärgert ist wenn man betroffen ist.
Aber wenn wir hier zig mal das selbe sagen müssen, ist das auch nicht schön

Also bitte immer erst lesen und dann drauf los ;o)

ok ich bitte um entschuldigung die 76 seiten nur überflogen zu haben.

nein du musst dich nicht entschuldigen es ist ja auch nicht böse gemeint aber ein bischen lesen wäre schon schön *g*

Ich hab ne Frage! Sowas solls ja geben

Mir ist beim kopieren aufgefallen, das der Virus die Ordnerstruktur unberührt gelassen hat und nur die Dateien verändert. Aber halt nicht jede Datei. Den Windows Ordner kann ich ja noch verstehen, aber auch die ganzen Programme laufen noch. Ich hab ein Programm drauf, welches eine SQL Datenbank über den MSDE nutzt. Jene Datenbank, welche offen war wurde in Ruhe gelassen und jene die geschlossen war wurde gecryptet. Heißt für mich, das das Misstteil nur jene Dateien befällt, welche es über einen "Editor" öffnen kann. Und das geht nur bei unbenutzten Dateien.

Was die Verschlüsselung angeht, so konnte ich feststellen, das die Dateien nur am Anfang umgeschrieben wurden. Wenn ich die Dateien vom Schluss her vergleiche, ist keine Verschlüsselung zu finden. Gibt es ein Proggy, womit ich die Codes von zwei Files miteinander vergleichen kann?
Verschlüsselt sind ja nur die ersten 100 Codezeilen oder so. Zumindest in den Excel Dateien die ich verglichen habe!!!
VON HAND

Zitat:

Zitat von timeagent

Ich hab ne Frage! Sowas solls ja geben

Mir ist beim kopieren aufgefallen, das der Virus die Ordnerstruktur unberührt gelassen hat und nur die Dateien verändert. Aber halt nicht jede Datei. Den Windows Ordner kann ich ja noch verstehen, aber auch die ganzen Programme laufen noch. Ich hab ein Programm drauf, welches eine SQL Datenbank über den MSDE nutzt. Jene Datenbank, welche offen war wurde in Ruhe gelassen und jene die geschlossen war wurde gecryptet. Heißt für mich, das das Misstteil nur jene Dateien befällt, welche es über einen "Editor" öffnen kann. Und das geht nur bei unbenutzten Dateien.

Was die Verschlüsselung angeht, so konnte ich feststellen, das die Dateien nur am Anfang umgeschrieben wurden. Wenn ich die Dateien vom Schluss her vergleiche, ist keine Verschlüsselung zu finden. Gibt es ein Proggy, womit ich die Codes von zwei Files miteinander vergleichen kann?
Verschlüsselt sind ja nur die ersten 100 Codezeilen oder so. Zumindest in den Excel Dateien die ich verglichen habe!!!
VON HAND

Ja das gibts z.B. Winmerge habe aber selbst schon probiert einfach den Bereich zu tauschen welcher verändert ist, aber Datei bleibt Müll

Weil der obere Teil wirklich anders ist klappt das nicht. Ich will auch nur diesen Teil mit mehreren anderen Dateien vergleichen. vieleicht hab ich ja Glück und finde übereinstimmungen in den verschiedenen Dateien. Wäre zumindest ein Anhaltspunkt für die Position des Schlüssels oder?

Hi,
auch ein geschädigter....
habe auf dem Notebook meiner Frau unter folgendem Pfad

C:\ProgramData\Microsoft\Crypto\Keys

2 Dateien entdeckt

84ab8a235f6ccbcac90b9c99ec9a1b5b_1a0007b4-e239-4b86-8870-b72086789fd4
ist ca. 1h älter seit dem öffnen des Anhangs und wird als Systemdatei mit 2kb deklariert
Datum 28.05.2012 19:11Uhr

vGjeTDpeaxftUGfgJ
ist schon 8 Monate alt wird als Datei mit 2kb deklariert
Datum 05.11.2011 08.04Uhr

zusätzlich gibt es in diesem Pfad
C:\ProgramData\Microsoft\Crypto\
die Ordner
DSS\MachineKeys\ --> leer
RSA\MachineKeys\ --> viele Systemdateien ohne Endung wie obriges Beispiel
RSA\S-1-5-18\ --> einige Systemdateien und Dateien ohne Endung

helfen evtl. diese weiter....

Gruß
Wastel

Hallo, gibt es denn schon eine Möglichkeit die Dateien zu entschlüsseln, die mit dem neuesten Trojaner verschlüsselt worden sind?

Ich hab mir den nämlich auch eingefangen.

Grüße