@markusg,

habe gerade eine solche mail in meinem Postkasten gefunden:
Sehr geehrte Damen und Herren,

Sie haben sich für unseren Email Upgrade eingetragen und wir sind sehr erfreut Sie als unseren frischen Teilnehmer zu begrüssen
Sie können jetzt bis zu 300 Sms pro Monat gebührenfrei versenden und Ihr Onlinespeichervolumen vergrössert sich um 5 Gb.
222,89 Euro für Mitgliedschaft werden Ihnen pro 12 Monate im Voraus von Ihrem Bankkonto zu Last gelegt.

Entnehmen Sie die Vertragseinzeilheiten bitte dem Anhang, dort finden Sie auch den Formular für Ihre 2 Wochen Kündigungsfrist.

Mit freundlichen Grüßen
Ihr Support

die datei habe ich im uload channel hochgeladen, weis nicht welche version es ist, hab sie nicht ausgeführt :-)

Die Kopfzeile des Versenders ist:
From - Tue May 01 04:14:24 2012
X-Account-Key: account3
X-UIDL: 0LgWtJ-1Rt3C43WLt-00o2iX
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path: <rachyllooseyvw5@hotmail.com>
Delivery-Date: Tue, 01 May 2012 04:07:34 +0200
Received-SPF: pass (mxbap4: domain of hotmail.com designates 65.55.116.78 as permitted sender) client-ip=65.55.116.78; envelope-from=rachyllooseyvw5@hotmail.com; helo=blu0-omc3-s3.blu0.hotmail.com;
Received: from blu0-omc3-s3.blu0.hotmail.com (blu0-omc3-s3.blu0.hotmail.com [65.55.116.78])
by mx.kundenserver.de (node=mxbap4) with ESMTP (Nemesis)
id 0LgWtJ-1Rt3C43WLt-00o2iX for .......; Tue, 01 May 2012 04:07:34 +0200
Received: from BLU153-DS15 ([65.55.116.73]) by blu0-omc3-s3.blu0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4675);
Mon, 30 Apr 2012 19:07:32 -0700
X-Originating-IP: [111.250.105.75]
X-Originating-Email: [rachyllooseyvw5@hotmail.com]
Message-ID: <BLU153-ds1509E8603EFE2FF6FDFD23F5290@phx.gbl>
Return-Path: rachyllooseyvw5@hotmail.com
From: Kathryn Winebrenner <rachyllooseyvw5@hotmail.com>
To: <.....@t-online.de>
Subject: Lastschrift Nr174869
Date: Tue, 1 May 2012 06:07:01 +0400
MIME-Version: 1.0
Content-Type: multipart/related; type="multipart/alternative";
boundary="----=_NextPart_000_000B_9D16BFE7.5311D1D2"
X-Priority: 3
X-MSMail-Priority: Normal
Importance: Normal
X-Mailer: Microsoft Windows Live Mail 14.0.8064.206
X-MimeOLE: Produced By Microsoft MimeOLE V14.0.8064.206
X-OriginalArrivalTime: 01 May 2012 02:07:32.0965 (UTC) FILETIME=[2B7D0950:01CD273F]
X-UI-Loop: V01:+SX4nqdbepI=:9blwqzglraZFytvM4Nwj79ZWyoTQXx9wDfjS+FfU+Jr9
NBqTWQjxiTdz2nbgDhrq
Envelope-To: .......
X-Antispam: clean, score=64
X-Antivirus: avast! (VPS 120430-1, 30.04.2012), Inbound message
X-Antivirus-Status: Clean


by

hi,

wenn du die mail über ein mail programm erhalten hast.
öffne diese, datei speichern unter, dort als datei typ zb
.eml
wählen.
mail an:
http://markusg.trojaner-board.de
senden, und die so eben gespeicherte datei anhängen.
wenn du über ein web mailer gehst, bzw dessen internet seite, sag mir mal welchen bitte.

avira ransom unlocker update.
hier gibt es kleinere bugfixes
sobald sich ein admin bzw moderator dessen annimmt, wird die version in post1 durch diese ausgetauscht.

Moin moin,

3. Befolge folgende Anweisungen: an alle Hilfesuchenden um den Rechner vollständig zu bereinigen. Das ist wichtig, denn der Rechner ist noch nicht sauber!

Hier wird empfohlen einen Scanner (Gmer) laufen zu lassen... dieser sollte aber nur bei dem 32bit System angewendet werden.

Ich habe aber 64bit. was jetzt?

Danke schon mal

Und einen schönen ersten Mai... in HH Kaiserwetter :-)

Gruß dubsch

dann lässt du den schritt aus.
und dir auch nen schönen feiertag.

Interessante Konstellation bei mir:

Wir haben drei Terminalserver und einen Fileserver mit Fileshares.
Zwei der Mitarbeiter haben anscheinend gleichzeitig so´nen Rechnung.exe Schrott bekommen und geöffnet. Terminalserver 1 und 3 wurden dabei infiziert durch jeweils eine Mitarbeiterin. Die FileShares auf dem Filer ebenfalls.

Jetzt meine Frage: Ich hab wahrscheinlich ein Misch-Masch an verschlüsselten Dateien. Einmal durch Benutzer 1, außerdem durch Benutzer2. Wie stelle ich fest, bei welcher Datei welcher Schüssel der richtige ist? Nachdem es zwei unterschiedliche Maschinen waren, dürfte der Schlüssel auch ein Anderer sein?

ja, vor allem da du mit 2 verschiedenen samples verschlüsselt hast.
der vollständigkeit halber, kommst du an die mail rann? so was kann evtl. für weitere analysen wichtig sein.
sind meistens rechnung, manung, security update, oder lieferschein.zip.
auf jeden fall mails von unbeaknnten absendern mit zip oder rar archiv.
wenn du ein mail programm nutzt, öffne diese mail mal, datei speichern unter, und bei typ zb
.eml einstellen.
dann mail an:
http://markusg.trojaner-board.de
dort die soeben erstellte datei anhängen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.

wie siehts denn aus mit backups, gibts da welche
haben die beiden mitarbeiter das zur selben stunde geöffnet oder am selben tag.
und, haben sie die selben dateien verschlüsselt oder einer auf server 1 und der andere auf server 3?

@mtx430
update:
für dein problem haben wir bisher leider keine lösung, das einzig plausible ist wirklich, dass die verschlüsselung zwischendurch unterbrochen wurde, und deswegen evtl. ein zweiter schlüssel erstellt wurde

Hallo zusammen,
ich komme leider nicht weiter hier.
sobald ich die verschlüsselte Datei und die Originale
im Program lade, erscheint folgende Meldung:
siehe Anhang...

Könnt ihr mir bitte weiterhelfen ?

Danke !

kannst du mir die meldung mal als klartext posten bitte?

Die Fehlermeldung meinst du ?
:
Bitte wählen Sie ein anderes Locked/Original-Paar aus.
Das gegebene Paar passt nicht zusammen

danke
haben denn beide genau die selbe größe, bzw ists denn überhaupt das selbe paar.
also zb locked.urlaubsfoto1
und urlaubsfoto1
?

Ich habe mir die vista beispielbilder auf dem board geholt und möchte mit diesen den schlüssel "kreieren"
Die locked datei heisst : locked-Creek.jpg.ifrp
die original Datei heisst: Creek
die dateien sind exakt gleich groß

noch irgend ne andere datei zur verfügung, aus der man ein pärchen machen kann?

Ok, scheinbar ging es nicht mit den Originalen Dateien von windows.
Ich musste eine Datei von meinem Handy die ich noch hatte auf den Pc spielen...
und siehe da, es klappt !!!
Hoffe ich kann nun alles entschlüsseln.

Danke Dir für die wertvollen Tipps, weiter so !!!
Gruß