Ich habe gestern an einem vom Verschlüsselungstrojaner befallenem Rechner WIndows neu installiert. Vorher habe ich alle verschlüsselten eigenen Dateien gesichert. Die verschlüsselten Dateien haben alle kryptische Dateinamen ohne Dateiendung.
Mit dem neuen WIndows habe ich dann mit dem ScareUncrypt Tool versucht die Dateien zu entschlüsseln. Den Schlüssel hat das Tool auch berechnen können. Dazu habe ich einfach ein MP3 File von dem eine unverschlüsselte Kopie vorhanden ist anhand der Dateigröße einer verschlüsselten Datei zugeordnet.
Das Tool hat auch eine Schlüsseldatei angelegt.
Im nächsten Schritt kann man dann ja einen Ordner auswählen der entschlüsselt werden soll. Das habe ich auch gemacht. Dann kommt im Statusfenster direkt die Meldung mit dem Spendenhinweis. Ich habe nicht den Eindruck, dass das Tool irgendetwas macht.

Frage: Ist das ein Bedienungsfehler meinerseits? Woran kann es liegen, dass das Tool nicht entschlüsselt?

Zitat:

Zitat von LordExcalibu

Ich habe gestern an einem vom Verschlüsselungstrojaner befallenem Rechner WIndows neu installiert. Vorher habe ich alle verschlüsselten eigenen Dateien gesichert. Die verschlüsselten Dateien haben alle kryptische Dateinamen ohne Dateiendung.
Frage: Ist das ein Bedienungsfehler meinerseits? Woran kann es liegen, dass das Tool nicht entschlüsselt?

Für diese Art gibt es noch keine Hilfe!! Die Tools greifen nur bei der Variante "locked_deinbild.jpg.eght" steht aber mittlerweile mehrfach beschrieben. Bitte lest doch erstmal im Forum, denn meistens ist da alles schon erklärt auch wenn es schwer fällt als Betroffener

Hallo zusammen,

auch mir ist es jetzt passiert. Ich habe mir diesen "BKA" bzw. "UKash" Trojaner eingefangen.

Ich konnte ihn mit dem Avira DE Cleaner entfernen und habe auch noch mal den "Malwarebytes" durchlaufen lassen. Soweit, so gut.

Nun sind aber alle meine Dateien verändert worden. Leider konnte ich zu der Art der Verschlüsselung meiner Dateien keine Information im Netz finden. Kein Programm (weder Avira Ransom File Unlocker, Dr.Web, Decrypthelper usw.) können die Dateien entschlüsseln.

Meine Dateien sehen auch anders aus, wie überall beschrieben, Beispiel: EALqTsyJlElqolXJ so sieht eine veränderte Datei bei mir aus. Das war vorher eine mp3 Datei, also ein Lied. Es steht kein "locked" vor der Datei und es gibt auch keine Dateiendungen. Nur die wilde Buchstabenanordnung.


Kann mir jemand helfen, oder ist zumindest Hilfe in Sicht ?


Vielen lieben Dank


LG Roger

Zitat:

Zitat von Libertad80

Meine Dateien sehen auch anders aus, wie überall beschrieben, Beispiel: EALqTsyJlElqolXJ so sieht eine veränderte Datei bei mir aus. Das war vorher eine mp3 Datei, also ein Lied. Es steht kein "locked" vor der Datei und es gibt auch keine Dateiendungen. Nur die wilde Buchstabenanordnung.


Kann mir jemand helfen, oder ist zumindest Hilfe in Sicht ?

Genau das habe ich auch. Schau mal einen Beitrag weiter oben. Momentan gibt es dazu offenbar noch keine Lösung.

moin moin,
wenn es sich ausschließlich um MP3-Dateien handelt, dann kann man die verschlüsselten Dateien kurzerhand mit der Extension .mp3 versehen.
Sie sollten sich dann abspielen lassen.
Da der Virus nur die ersten 4 - 12kB einer Datei verschlüsselt, was bei anderen Dateien schlimm genug ist, stört das den MP3-Decoder weniger, denn der synchronisiert sich auf den Datenstrom automatisch.
Die Arbeit ist dann, den Dateien manuell wieder erkennbare Namen zu geben.

Gruß Volker

@Libertad80
nicht vergessen:
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
markusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

Hallo,

danke für die Antworten. Es ist "schön" zu lesen, dass man nicht der Einzige mit diesem Problem ist. Ich hoffe, es wird möglichst bald ein brauchbares Entschlüsselungstool gefunden.

Leider sind alle Dateien auf meinem Rechner betroffen, nicht nur mp3 Dateien.

Die von mir verdächtigte Mail (übrigens eine mit einer Mahnung im Anhang) habe ich aber bereits gelöscht, verbannt und verflucht.

Schönes Wochenende an alle.


MfG Roger

Hi,

also ich komme leider nicht weiter, dein Programm ist das einzigste was Schlüssel bei mir erstellen kann und die Dateien auch entschlüsselt und zwar alle (jpg-doc-pdf-xls usw.). Das Problem ist nur das ich danach die Dateien nicht benutzen kann weder Doc/XLS da nur wirrwar herrscht, oder jpg´s die man zwar öffnen kann aber dann scheinbar kein Inhalt darin ist.

Was läuft bei mir falsch? Hatte die loocked Dateien alle auf einen Stick gesichert und den PC neu aufgesetzt da er schnellstens wieder laufen musste..

Meine Dateien sehen im grunde so aus:

locked-2011-Unterschriften.pdf.rlku
locked-Dietrich.tif.orpf

dannach sehen Sie so aus:

2011-Unterschriften
Dietrich

Sie haben auch die richtige Dateigrößen.
Hab es auch schon mit mehreren Schlüsseln versucht.

Aktuell kommt ich nicht mehr weiter hat jemand einen Rat?

!!!!Trotzdem möchte auch Ich mich herzlich für die Hilfe und das Prog. bedanken!!!!

Gruß Alex

Hallo, also ich hatte von einem Befall auch einige Daten die danach Müll waren, habe sie aber mit http://www.trojaner-board.de/114709-...32-rannoh.html

noch mal entschlüsselt, dann ging alles wieder.
Versuch einfach mal

die Anke

@007Alex007,
welches Original benutzt Du zum generieren des Schlüssels und wieviel Paare stehen Dir insgesamt zur Verfügung?

Volker

Hallo, bin heute um Hilfe gefragt worden bei einem Ransom-Fall. Leider sind meine Informationen sehr duerftig. Weder habe ich eine exakte Identifizierung
noch ein Exemplar zur Analyse.
Das gute Stueck ist wohl relativ neu. Es verschluesselt die Dateinamen mit.
Wobei sich die Dateinamenslaenge auch aendert.
Am liebsten wuerde ich das Teil mal selber ansehen. Aber die Email ist geloescht und den Rest hat Kasperskys BootCD ins Nirvana geschickt.
Und ich habe keine Moeglichkeit auf physischen Zugriff zum Rechner.
Hat jemand schon mehr Informationen oder kann mir ein Exemplar zukommen lassen? Offensichtlich entschluesselt der Trojaner bei Aktivitaet die Dateinamen in Echtzeit. Zudem hatte ich Zugriff auf Dateipaerchen. Der Dateiname muss Teil des Schluessels sein. Da zwei fast identische Dateien von Anfang an unterschiedlich sind ausser die Blocklaenge waere sehr gross.
Zudem ist nur unterhalb 3000h verschluesselt.

moin moin bombinho,

Du schreibst da nichts Neues.
Schau Dir mal den Blog von @pcberlin an.

Wenn Deine Euphorie dann nicht gedämpft ist, wende Dich an @markusg, der ist Sammler der Dropper und stellt Dir gern verschiedene Versionen zur Verfügung.

Gruß Volker

Huebsche Zusammenfassung aber die Call Routine ist interessant, nicht der Call selber. Viel Text, wenig konkrete Information.
Kein Wort ueber den Hook fuer die Dateinamen.
Kurz: Informationen, die man schon vor der Analyse kennt.

Nun dann hättest Du ja ein Betätigungsfeld.
Kannst ja auch mal bei Delphi Praxis reinsehen.

Und wie gesagt, Dropper gibt's bei @markusg.

Danke erst mal fuer die Links, da ist ein wenig Lesestoff. Leider muss auch ich mein Geld legal verdienen und habe familiaere Verpflichtungen. Aber es waere mal interessant reinzuschauen.
Ein Augenpaar mehr.