Zitat:

Zitat von aladdin455

Hallo Freunde,
durch einen Virus hatte ich jetzt verschlüsselten Dateien Zbs (locked-CIMG0001.JPG.yrnq)!
bitte Hilfen Sie mir !
Danke

Hallo aladdin455,
bei Deiner Art der Verschlüsselung betehen gute Chancen, wenn nicht gar alle, zumindest einen Teil der Dateien zurück zu erhalten.

Dazu brauchst Du aber Vergleichsoriginale.
In Deinem Beispiel die CIMG0001.JPG.
Je mehr Originale der verschlüsselten Dateien Du auf CDs, Backups oder von wo auch immer auftreiben kannst, desto besser die Chancen.
Es ist durchaus möglich, dass Dir ein Dateipaar alle Dateien zurück bringt.

Nutze zum Entschlüsseln eines der oben genannten acht Tools.
Ich habe gute Erfahrungen mit scareUncrypt gemacht.

Weiterhin empfehle ich Dir, eine Sicherungskoie Deiner verschlüsselten Dateien anzulegen, falls etwas schief geht, z.B. gelöscht wird.

Die Tools sind hinreichend beschrieben, sodass ich hier nicht näher darauf eingehen muß.

Ich wünsche Dir viel Erfolg.

Gruß Volker

Zitat:

Zitat von bobsen

Hallo

Wollte mal fragen wie das mit Avira ransom file unlocker funktioniert.
Man muss ja eine verschlüsselte Datei auswählen. Nur bei mir findet der keine.

Bei scarcrypt konnte ich schon einen Schlüssel generieren, nur der Schlüssel konnte nirgendswo drauf angewendet werden. Also es konnte kein Verzeichnis widerhergestellt werden.

Würde mich über Antworten freuen

lg

Hallo bobsen,

sehen die verschlüsselten dateien so aus wie sie von aladdin455, also fangen die mit locked- an?

Wenn nicht, helfen die oben genannten Tools nicht, da die Verschlüsselungsvariante eine andere ist.

Gruß Volker

Zitat:

Hallo bobsen,

sehen die verschlüsselten dateien so aus wie sie von aladdin455, also fangen die mit locked- an?

Wenn nicht, helfen die oben genannten Tools nicht, da die Verschlüsselungsvariante eine andere ist.

Gruß Volker

Hallo Undertaker,
ne meine Dateien heißen alle, "ruOodvALsrJgLsfQy" oder "DpsTjvTAUDQrDLqQOE", also so nach dem Klein/Groß-Buchstaben Muster. "Locked-" Dateinamen oder Dateitypen habe ich nirgendwo gefunden.
Denke dann muss ich wohl das System neu aufspielen.
Danke bis hier hin

Zitat:

Zitat von bobsen

Hallo Undertaker,
ne meine Dateien heißen alle, "ruOodvALsrJgLsfQy" oder "DpsTjvTAUDQrDLqQOE", also so nach dem Klein/Groß-Buchstaben Muster. "Locked-" Dateinamen oder Dateitypen habe ich nirgendwo gefunden.
Denke dann muss ich wohl das System neu aufspielen.
Danke bis hier hin

Du könntest höchstens mal noch den ShadowExplorer probieren..
Bringt aber nur was, wenn du Vista oder Win7 hast, und die Funktion aktiviert war.

Hallo an alle Geschädigten !

Ich will hiermit nur eine Erfolgsmeldung abgeben, vielleicht macht es ja anderen "Befallenen" Mut.
Mit der Version 0.5.3 von Matthias hat es wunderbar geklappt - alle verschlüsselten Dateien (und es waren sehr viele, primär pdf, jpg und doc) sind in kurzer Zeit wieder hergestellt worden. Und zwar über die Variante "Ordner entschlüsseln".
Ich habe gehört, dass es sich bei mir glücklicherweise um die "sanftere" Version des Trojaners gehandelt hätte, der sich per e-mail-Anhang eingenistet hatte.
Alle Dateien wurden umbenannt wie folgt:
Original: Bild.jpg
Verschlüsselt: locked-Bild.jpg.wxyz (wxyz steht stellvertretend für beliebige nicht oder selten wiederkehrende Buchstaben-Kombinationen).
______________
Ein großer Dank an Matthias!
Gruß an alle
L.

Moin,

habe einen Kunden der hat sich den Verschlüsselungstrojaner eingefangen und keine Datensicherung. Habe es dann mit den Beispielbildern versucht und einen schlüssel generiert aber funktioniert nicht. Scheint aber auch unterschiedlich verschlüsselt zu sein. Mal sind die Dateinamen nur zahlen 27367409827 mal Buchstaben und Zahlenkobis D3Fds§f2 mal sind es die normalen Dateinamen aber die gehen nicht auf kommt immer nur Datei ist beschädigt. Habe dem Kunden auch schon gesagt die alle weg sind. Aber eigentlich interessiert mich ob ich es evtl hinbekommen die wiederherzustellen.

MFG

Simon

Zitat:

Zitat von Mastercontro

Moin,

habe einen Kunden der hat sich den Verschlüsselungstrojaner eingefangen und keine Datensicherung. Habe es dann mit den Beispielbildern versucht und einen schlüssel generiert aber funktioniert nicht. Scheint aber auch unterschiedlich verschlüsselt zu sein. Mal sind die Dateinamen nur zahlen 27367409827 mal Buchstaben und Zahlenkobis D3Fds§f2 mal sind es die normalen Dateinamen aber die gehen nicht auf kommt immer nur Datei ist beschädigt. Habe dem Kunden auch schon gesagt die alle weg sind. Aber eigentlich interessiert mich ob ich es evtl hinbekommen die wiederherzustellen.

MFG

Simon

Hallo Simon,
läuft das System des Kunden schon wieder und wenn ja, hast Du das wiederhergestellt?
Hast Du Zugriff auf die Mail mit Anhang?

Wenn wir vom gleichen Übeltäter sprechen, dann wäre der Dropper sehr wichtig.
Verschlüsselungen in der von Dir beschriebenen Form sind neu.

Die bisherigen Verschlüsselungen hatten entweder den Präfix locked- oder der dateiname bestand aus Alphanumerischen zeichen ohne Extension.
Das was Du beschreibst ist neu.

Volker

Hallo

Ich hab jetzt mal das Programm ShadowExplorer ausprobiert und ich konnte alle meine Fotos Videos und mp3 wiederherstellen.

ich muß mich auch bei Trojaner-Board herzlich bedanken

Gruß

kann mir jemand den Pfad und ev. Dateinamen-extension für systemwiederherstellung nennen? war-ist bei mir aktiviert, aber Wiederherstellungspunkte waren gelöscht,konnte aber keine Dateien finden. will nun mit recover diese suchen. vermute dass durch den Trojaner ausgeführte chkdsk welches viele Dateien geändert hat einiges am System hin war. nach Win-reparatur und reg-clean läuft nun auch Office 2007 mit Registrierung wieder.

Zitat:

Zitat von Andie

kann mir jemand den Pfad und ev. Dateinamen-extension für systemwiederherstellung nennen? war-ist bei mir aktiviert, aber Wiederherstellungspunkte waren gelöscht,konnte aber keine Dateien finden. will nun mit recover diese suchen. vermute dass durch den Trojaner ausgeführte chkdsk welches viele Dateien geändert hat einiges am System hin war. nach Win-reparatur und reg-clean läuft nun auch Office 2007 mit Registrierung wieder.

C:\Windows\System32\Restore

Hallo Undertaker,

danke für den tip ich werde es versuchen!
lg
Ala

Hallo hier habe ich 2 Auszüge vom scan bitte helft mir weiter ich weiß nicht wo die Orginalen Dateien sind ich habe diesen Montag meine Prüfung und brauche meine Datein wieder.


das der vom quick scan

Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.07.02

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Sam :: SAM-VAIO [Administrator]

Schutz: Aktiviert

07.06.2012 11:19:43
mbam-log-2012-06-07 (11-19-43).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 227668
Laufzeit: 7 Minute(n), 12 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 3
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{1BD7E728-9D22-2F4F-E59F-6EF3CDF19BBB} (Trojan.ZbotR.Gen) -> Daten: C:\Users\Sam\AppData\Roaming\Ybpolui\wabeum.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{D8044F22-D4E3-E208-C872-4E4574251F38} (Trojan.ZbotR.Gen) -> Daten: C:\Users\Sam\AppData\Roaming\Ugqi\hoxyla.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{69C755FF-B260-FC9A-FA8D-7889DF83F1E6} (Trojan.ZbotR.Gen) -> Daten: C:\Users\Sam\AppData\Roaming\Qaag\yzna.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 8
C:\Users\Sam\Desktop\ADLSoft_UnCompressor_v2.exe (PUP.Adware.InstallCore) -> Keine Aktion durchgeführt.
C:\Users\Sam\Downloads\SoftonicDownloader_fuer_fussball-manager-11.exe (PUP.OfferBundler.ST) -> Keine Aktion durchgeführt.
C:\Users\Sam\AppData\Roaming\Urzubnlr\8A46F01B7014F5FEE924.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Sam\Desktop\DecryptHelper-0.5.3.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Sam\AppData\Local\Temp\jar_cache3015618715334529325.tmp (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Sam\AppData\Local\Temp\file2.exe (Trojan.Agent.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Sam\AppData\Local\Temp\ch8l0.exe (Exploit.Drop) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Sam\AppData\Local\Temp\ms0cfg32.exe (Exploit.Drop.CFG) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)




das der lange scan

Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.07.02

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Sam :: SAM-VAIO [Administrator]

Schutz: Aktiviert

07.06.2012 11:27:35
mbam-log-2012-06-07 (11-27-35).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 425620
Laufzeit: 1 Stunde(n), 21 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Uncompressor (PUP.Adware.InstallCore) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 4
C:\Program Files (x86)\Uncompressor\Uninstall\Uninstall.exe (PUP.Adware.InstallCore) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Sam\AppData\Local\Opera\Opera\cache\g_007D\opr0AVMC.tmp (PUP.Adware.InstallCore) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Sam\AppData\Local\Opera\Opera\cache\g_007D\opr0AVMQ.tmp (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Sam\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\16\3856fb90-5e6dac2e (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Danke für die Hilfe