Hallo
wieder ein neuer ? :
seit gestern habe ich eine USB Platte von einem Kunden hier, bei der die Dateien nicht verändert sind ... gleicher Name, gleiche Grösse etc. Die komplette Platte ist verschlüsselt, der Trojaner ist vom 17.o5.
Ich werde gleich mal ein Dateien-Paar an Kaspersky senden.

Grüße
Mike

Hallo und guten Morgen zusammen, ich habe gerade eine wahrscheinlich wichtige Info von einen Systemadministrator bekommen. Er hat auch schon 5 Geräte gehabt und hätte den Schlüssel z.b in der readme.txt.xxxx gefunden. Diese hätte er dann mit einem Programm Names RANDOM mit der Orginal der readme.txt irgendwie ausgelesen und so die Dateien später mit zwei Programm *wollte er mir noch sagen* entschlüsselt. So nun seit ihr Spezialisten dran, ich habe dazu wenig Ahnung. Viel Glück bzw. ich bleibe bei meinem SysAdmin an Ball

LG
Loewe_68

@benton18
genug denke ich, das gescheft mit ransomware bring millionen, und bei verschlüsselung steigt der druck noch mehr.
@was_ein_mist
eröffne ein thema im passenden unterforum bitte
@zAUBERWOLF
für dich gilt das selbe, thema eröffnen, dann können wir uns den pc ansehen.
@golldy
die neue mal weiterleiten an mich
@loewe_68
deine info ist nicht grad aussagekräftig, bitte noch mal wenn du alles zusammen hast posten

Zitat:

Zitat von markusg

@benton18
genug denke ich, das gescheft mit ransomware bring millionen, und bei verschlüsselung steigt der druck noch mehr.
@was_ein_mist
eröffne ein thema im passenden unterforum bitte
@zAUBERWOLF
für dich gilt das selbe, thema eröffnen, dann können wir uns den pc ansehen.
@golldy
die neue mal weiterleiten an mich
@loewe_68
deine info ist nicht grad aussagekräftig, bitte noch mal wenn du alles zusammen hast posten

@markusg
ich werde es versuchen aber wie bereits erwähnt ich bin nicht der Techniker. Was ich bis jetzt weiß man soll wenn man wieder auf Betriebssystem, auf dem betroffenden Rechner, kommt nach einer .txt Datei die am Anfang hyroglüfen hat dann .txt und am Ende nochmal Hyroglüfen hier mal ein Beispiel abc123hh.txt.w34n das soll wohl die Datei sein wo sich der Schlüssel zum entschlüsseln befindet. Dann gibt es also noch die Orginal Readme.txt und die müßen über ein sogenanntes Random Programm gejagt werden das der Schlüssel wohl ausgelesen werden kann. Den Rest macht er dann mit einem Entschlüsselungsprogramm *was er wenn er wieder vom Aussendienst zurück ist* noch nennen wollte. Nochmals ich bin hier leider kein Profi wie Ihr und kann es nur so mit meinen Erklärungen versuchen zu erklären. Die Profis wie ihr könnt doch da bestimmt was mit anfangen. Ich wollte nur schon Info geben.

LG
Loewe-68

Hello

Einen meiner Kunden hat's ebenso erwischt. Alle Fotos haben nun einen cryptischen Namen (wie bei Version 1.140.1). Wenn ich allerdings auf eine Datei einen Rechtsklick mache, und "Öffnen" wähle, dann die "Windows-Fotoanzeige" wähle, lässt sich das Foto öffnen.

Grüße

wuschelchen

kommst du an die infektionsquelle?
sinds denn viele fotos, evtl. reicht hier ja schon das umbenennen per hand

Hi
habe nun den Bösewicht als ZIP ... den neuesten ... ist bei Kaspersky zur Analyse und geht jetzt gleich an Dich Markus

Grüße
Mike

Hallo,

ich hatte auch den Verschlüsselungstrojaner. Er hat keine Dateien umbenannt sondern "in place" verschlüsselt es ist nur der Anfang der Datei verschlüsselt (genau gesagt bis zum offset 0x2FF). Danach ist alles ok.

Hat es jemand schon geschafft die Daten wieder herzustellen? Bis jetzt haben alle hier diskutierten Tools nichts gebracht.

Danke
Reiner

Servus

Ich hab da auch noch nee Rechnung.zip aktuell hier liegen von einem Kunden.

252584_217787718246564_100000460136987_785540_1919832_n
und alle so ähnlich wie: rfJeNavjfQsOTxqNv

Ist auf dem Weg zu Dir

gruß
Stefan

Hallo,

ich bin mir ja nicht sicher, ob folgende Lösung hier schon kommuniziert wurde, aber sämtliche kryptisch verschlüsselten Dateien lassen sich über zB. Winamp ("öffnen mit") abspielen! Man muss anschließend nur noch die betroffende Datei umbenennen!
Ähnlich wird es sich mit Fotos/Bildern verhalten.

Viele Glück, André

Sämtliche Dateien?
Also .avi und .mpeg o.ä. gehen schon mal nicht.
Bei mir hat nur .mp3 geklappt.
Würde mich wundern wenn es bei dir anders wäre.

Und das mit den Bildern wurde hier schon endlos besprochen.
Kurzform: Einfach umbenennen klappt nicht, man braucht dafür ein (kostenpflichtiges) Tool.

hat denn hier schon wer erfolg gehabt bei der neuen variante (afasfasfasfjahslkfdLUHSDF) bilder umzubennenen? Also wenn ich hinten dran .jpg mache, kann ich das file nicht öffnen, nur bei einigen mp3s ging dass bisher, excel und word geht auch ned, da ist dann nur kryptisches zu lesen im Word oder Excel.

Bez AES256, ich denke nicht dass es diese verschlüsselung ist, weil wie hätte der trojaner in so kurzer zeit derartviele Files verschlüsseln können, bei mir sind es seeehr seehr viele, und ich war ca 10 min afk, als ich das erste mal die zahlungsaufforderung gesehen habe. Weiters denke ich optimistisch in der Hinsicht, dass die fiels vor und nachher exakt gleich groß sind, hab nun schon einige Vergleiche gemacht.

Ja, da komm ich ran. Schicke dir später alles zu. Es sind sehr viele Fotos; kann diese aber durch IrfanView jagen, der macht den Rest für mich

Grüße

wuschelchen

hi
@loewe_68
dann lass es dir von ihm erklären, es nützt uns ja nicht viel wenn du sagst, in irgendeiner datei ist ds zu finden, wie soll man solch eine info nachprüfen :-)

hab jetzt 2 mal ne Malwarebytes quarantäne und 2 bilder, ist da was von euch beiden dabei
@litzed
und
MikeStb
hier die infos zum einsenden:
makrusg - trojaner-board.de