Avira Ransom File Unlocker
danke an Moritz Kroll

wir haben jetzt eine version von avira, diese ist noch nicht offiziell draußen, deswegen gilt auch hier, nur mit dateien testen von denen ihr ein backup habt.

original beschreibung:

Zitat:

"Avira Ransom File Unlocker" is a tool written in .NET 2.0 to decrypt files encrypted by a ransom malware claiming the files have been encrypted with a 2048 PGP key. In fact it's RC4, so with a given original file (from a backup or any other source) to an encrypted file, it is possible to decrypt
all files. The tool will not change or delete the encrypted files, to avoid data loss in case the decryption didn't work probably due to a new variant of the malware.
The tool tries to derive the key from some files commonly found in the encrypted directories.
If no key is found automatically, the user has to choose an encrypted file from the HDD disk and the original version of this file from the HDD or from another source. It's absolutely necessary that the original version is an exact copy of the encrypted file before the user was infected, otherwise
the tool won't work correctly.
After that the user has to choose an encrypted file or a directory with encrypted files he wants to decrypt.

Wichtiger Hinweis:

Es ist bereits eine neue Variante im Umlauf, die sich nicht mehr einfach entschlüsseln lässt. Daher folgende Hinweise:

• Arbeitet immer mit Backup-Dateien
• Meldet Euch, wenn es Probleme gibt, denn nur so können neue Lösungen erarbeitet werden.

Aktualisierte Version:

Download: Avira-RansomFileUnlocker-1.0.1.zip

Wichtig:
bitte entpackt den avira unlocker in ein eigenes verzeichniss.
bitte die Avira-RansomFileUnlocker.exe doppelklicken,
rest sollte selbsterklärend sein

Alte Versionen
Avira-RansomFileUnlocker.zip

Teste das Teil von Avira gleich mal hier am Server....
Die 0.3.2. von Matkuni läuft bisher einwandfrei auch bei tief verschachtelten Verzeichnissen.

Zitat:

Zitat von markusg

bitte das avira programm testen und posten, ich reiche evtl. auftretene probleme weiterfeedback
und klar wurde er ins team aufgenommen, er war der erste der nen tool angeboten hatt :-)

Tests verlaufen erfolgreich. Ich hab mittlerweile so die Schnauze voll als dass ich Belastungstest mache. Die Sicherung des NAS liegt lokal auf meinem PC. Habe die Konvertierung gerade angeschmissen, 6000 Dateien hat er schon, 150000 fehlen noch, von denen 27000 infiziert sind.

Test erfolgreich. Hat alle Datein die ich so habe wieder herstellen können. Keine Fehler beim öffnen selbiger.

bitte hebe die verschlüsselten dateien sicherheitshalber ne weile auf, bis raus ist das du keine probleme mit all deinen files hast

Habe 2 Bilder versucht zu entschlüsseln, wenn ich dann die Bilder mir anzeigen lassen will, meldet er, die wären zu entweder groß für Windowsfotoanzeige oder die Datei wäre beschädigt

kannst du mir die bilder zur verfügung stellen?
Trojaner-Board Upload Channel
wenn du die originale noch hast, die ebenfalls
ist das nur bei den bildern so, oder auch bei anderen files?

Das Problem mit den Bildern habe ich auch

edit: habs hochgeladen

Habe keinerlei Probleme. pdf, xls, txt, jpg, png, gif, doc, exe, csv, war so ziemlich alles dabei. Avire Ransom File Unlocker hat also innerhalb von ca 30 Minuten ca. 500GB bearbeitet, davon 27221 Datein unlocked.
Klar, ich hab jetzt nicht alle 60GB der unlocked Dateien durchgeschaut, aber es sieht alles sehr gut aus. Da wir auch diverse Microsoft Medien auf dem NAS gespeichert haben (Office Installations-CDs), konnte ich auch ein Office 2003 erfolgreich installieren.
Also Verschlüsselte und Originaldateien habe ich keine Standard-Windows Dateien genommen. Der PC von dem der Trojaner aktiviert wurde, hatte noch ein Netzlaufwerk auf einem der Server von dem ich eine Imagesicherung hab. Die Dateien dort wurden auch infiziert, habe also eine von dort und eine aus der letzten Sicherung genommen.

hi,
ob sich wer backups aufhebt, muss er natürlich selbst entscheiden, ich persönlich würds tun, kann ja doch nen problem gegeben haben :-)
aber das tool arbeitet auf jeden fall mal flott

ja ja du hast ja recht = war lehrreich

aber was macht man wenn man keine originale hat?

Hallo zusammen,

ich habe es mit zwei Bilddateien versucht und bekomme die Fehlermeldung, dass das Paar nicht zusammen passt. Unter "verschlüsselte Datei" habe ich eine entsprechende Locked-Datei hinzugefügt und unter "original Datei" ein Beispielbild aus Windows. Anschließend habe ich unter "einzelne Datei entschlüsseln" eine locked Datei hochgeladen und bekomme die entsprechende Fehlermeldung. Siehe Anhang. Kann mir hier einer weiterhelfen?

Besten Dank schon mal & Gruß

Das Programm arbeitet sensationell gut, das hätte ich nicht für möglich gehalten, alle Dateien sind wieder korrekt zu öffnen, einfach klasse. Was mir ein wenig Probleme bereitet hat, waren die spärlichen Dienstanweisungen, weshalb ich hier nochmal für alle Ungeübten beschreiben möchte, was ich gemacht habe, um die durch den Verschlüsselungs-Virus verseuchten Dateien zu retten.

Ich habe mir vorher eine Virus-verschlüsselte Datei auf den Desktop geladen, dann habe ich mir die Selbe (noch heile) aus einem alten Backup von einer CD ebenfalls auf den Desktop kopiert. In meinem Fall waren es PDF Dateien, die aber auch Texte und Fotos enthielten. Dann habe ich das Programm gestartet und die beiden Dateien als Transskriptions-Vorlage für eine Entschlüsselung genutzt. Mehrere Probedateien ließen sich problemlos zurückholen. Nach Erstellung von Sicherungskopien ganzer Verzeichnisse entschlüsselte ich gleich mehrere Verzeichnisse erfolgreich.

Mir ist noch aufgefallen, dass es offensichtlich "verschlüsselungsresistente" Dateien gab, also solche, die durch den Virus nicht befallen worden waren. Es handelt sich dabei um Screenshots von Fotos aus dem Internet.

Kurzum, ganz tolles Datenrettungsprogramm - wenn man bedenkt, was ich hier alles an Daten über Jahrzente gesammelt hatte und von vielen Dateien keine Sicherungskopien (mehr) hatte. Meine gesamte Firmenbuchhaltung von 10 Jahren, irrsinnig viele historische Dokumente, die ich (mühsam) eingescannt hatte. Familienfilme, die ich schon bearbeitet hatte, aber noch nicht gesichert.

Ich habe jetzt viel daraus gelernt. Immer müssen Sicherungskopien gemacht werden, nicht alle Aufgaben sollte an einem Computer alleine bearbeitet werden, Buchhaltung und Hobby sollten getrennt werden. Emails sind noch viel vorsichtiger zu behandeln, denn hier kam der Virus über einen PDF-Mailanhang. Ich habe zwar seit 1984 einen Computer und hielt mich schon für sehr schlau, aber das hier war das Beschissenste, was ich je erlebt habe. Danke, danke, danke. Ich werde spenden....

Guten Morgen,

Nun hab auch ich diesen "tollen" Trojaner... nachdem mein Laptop nun soweit wieder hergestellt ist, das die Aufforderung 50€ zu zahlen für einen Code nicht mehr auftaucht, bleibt das Problem der verschlüsselten Dateien.
Den Avira Ransom File Unlocker hab ich installiert. Doch gelingt es mir nicht áuch nur eine Datei zu entschlüsseln. Wenig Sinn macht doch wenn ich eine Verschlüsselte Datei (oder Ordner) in ein und die Original- Dateien ins andere Feld einfügen soll, oder? Wenn ich die Dateien noch im Original hätte, bräuchte ich die "alten" nicht zu entschlüsseln. Es geht ins besondere um Bilder, die ich so nicht wieder bekomme.

Was mach ich falsch? Wie muss ich vorgehen?

Herzlichen Dank schon mal im Voraus

Dubsch

Hallo,
habe das Programm ausgeführt, jedoch habe ich jetzt noch Probleme um auf meine Programme zuzugreifen, da kommen jetzt noch Fehler wie "ein wichtiger Programmteil fehlt" oder "..exe ist keine zulässige Win32-Anwendung. Ebenfalls habe ich noch in meiner Start-Zeile ein Bildchen mit dem Inhalt XRAL-Datei, kann leider damit nichts anfangen. Kann mir jemand helfen. Bin selbst kein Computerexperte. Danke im Voraus