Ok ... ich merke gerade, das ich meine Bilder, Musik usw. auch nicht öffnen kann ... Bin gerade echt geschockt. Hoffe jemand findet bald die Lösung

logs bitte im unterforum logfiles posten

Hallo Väter!


Ich habe eine Testreihe von kleinen (gleichen!) Bildern in unterschiedliche Ordner gepackt, ihnen u.a. unterschiedliche Namen gegeben und in der VM die "Rechnung.pif" gestartet.

Das Ergebnis ist desaströs. Alle Dateien wurden unterschiedlich verschlüsselt. Kein Dateiname ist gleich, kein Inhalt mit einem anderen Vergleichbar.
Die Dateien habe ich angehängt. Die Pif-Datei habe ich auch gerade an Markus geschickt.


Michael

Hallo Leute.
Seh ich das richtig, dass es in diesem Thread auch um den Ransom geht, aber in einer anderen Variante? Bei mir ist´s der Effekt, dass die Dateien an sich nicht verschlüsselt sind, wohl aber die Dateinamen. Die Namen sind auf den ersten Blick völlig wirr. Mit Groß- und Kleinbuchstaben. Jedoch immer OHNE Erweiterung wie .doc, .xls, jpg, .pdf usw..
Das macht es mir schwer, die Dateien wiederherzustellen. Es "geht schon". Aber es ist halt ein Riesen-Aufwand bei 20.000 Dateien. Schön wäre hier ein Tool, das den Dateityp erkennt und danach wenigstens die Endung wiederherstellt.

Ich weiß nicht, ob der Dateiname völlig zufällig generiert wurde oder ob auch hier System dahinter steckt.

Weiß hier jemand mehr darüber?

LG
Andreas

Hi,

mein Bruder hat den Trojaner heut eingefangen und kommt nun weder ins netz noch an seine Dateien da die Fehlermeldung bzw. diese Verschlüsselung immer schneller greift! Was kann ich tun um den Trojaner zu löschen bzw. um wenigstens an seine Daten zu kommen?
Warum greift da eine Anti Virus Software nicht?

Danke und viele Grüße,
Anita

Guten Abend liebes trojaner board

Ich habe auch gerade einen Laptop von einer Bekannten hier, mit dieser Variation des Ukash Trojaners.

Kein programm das es hier gibt hat zum entschlüsseln funktioniert.

Ich habe das dann so gelöst:

Auf dem Laptop war Vista Home drauf.
Ich habe erstemal Malewarebyte und andere Antivirus Programme im abgesicherten Modus laufen lassen, keins der Tools hat aber etwas gefunden.

Also habe ich mal einen Systemwiederherstellungspunkt geladen, dann konnte ich schonmal normal ins Windows.
Dann habe ich mit dem Shadow Explorer von allen relevanten Dokumenten eine Schattenkopie bzw Vorgängerversion auf eine Externe HD gespeichert und dann alles Platt gemacht

Also wenn man die Schattenkopien bzw Wiederherstellungspunkte von Windows aktiviert hat, wäre das eine möglichkeit an die Daten wieder ranzukommen.

Geht aber nur für jede Datei einzeln, oder?
Und - macht die auch Dateinamensänderungen rückgängig?

Ich glaub nicht.

Hallo,

meine Freundin hat sich dieses Ding heute auch eingefangen.

Nach Entfernung konnten wir sehen was passiert ist

Auf LW C sind die verschlüsselten Dateien nicht zu öffnen, haben aber noch die gleichen Dateinamen.

Auf LW D sind die Dateien auch nicht zu öffnen, haben allerdings auch kryptische Dateinamen (z.b. tLsOXdnegqdvexqTJEGr, sNLfJDUjaQqtNpxL usw.)

Ein Vergleich eines Windows-Standard-Bildes zeigt das der Anfang der Datei verändert ist, der Rest der Datei aber nicht. von (00000 bis 03000 sind die Dateien anders, der Rest ist gleich)

Versuche gleich nochmal zu schauen ob ich an die Email rankomme wo es drin war und werde sie an Markus schicken.


Was mich wundert ist das auf LW C die Dateien die Originalnamen haben, auf LW D aber umbenannt worden sind.

Grüße


edit : Die ACHTUNG-LESEN.txt wie leahciM hatten sie auch auf dem Desktop liegen.

@fischer_andy
Nein, man kann direkt ganze Ordner wiederherstellen

Und was steht in der "achtung lesen.txt" ?

steht auf der ersten Seite im ersten Post

Hallo nochmal,

folgende Einträge gab es von Malware....

Zitat:

C:\Users\Jenny\AppData\Roaming\Yfwtnpcnzg\E2732B63846C7225A4EC.exe (Trojan.Agent.RNSGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Zitat:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|846C7225 (Trojan.Agent.RNSGen) -> Daten: C:\Users\Jenny\AppData\Roaming\Yfwtnpcnzg\E2732B63846C7225A4EC.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Vielleicht ist das ja auch von Interesse

Grüße

Ich habe nochmal die VM zurückgesetzt und das gleiche Bild in 128 nummerierte Ordner kopiert. Leider sind alle 128 Dateien unterschiedlich, auch der Dateiname unterscheidet sich in allen Dateien.
Vorher noch einen Registryabzug gemacht und dann "Rechnung.pif" gestartet.
Nachher wieder einen Abzug der Registry.
Die beiden Dateien lade ich gerade per Upload hoch.

edt: Sind fertig, kann man das irgendwie sehen? Da kam keine Meldung.


Michael

Moin zusammen,

wie das so ist, komme mittags vom Dienst und unterdessen ist die Frau Gemahlin in die Falle getappt...

Nun habe ich verschiedene Threads zu dem Thema gefunden, ich schreibe jetzt einfach mal hier rein, hoffe das ist so richtig.

"Unser" Trojaner ist offenbar von der Variante 1.140.1, d. h. die Dateinamen sind nun eine wirre Zeichenfolge. Eine befallene Datei, die ich mit dem Original vergleichen konnte (mit Windows Editor geöffnet), ist am Anfang unterschiedlich, weiter hinten jedoch wieder gleich. Entschuldigt bitte daß ich das jetzt nicht in Bits und Bytes ausdrücken kann, so gut weiß ich damit leider nicht Bescheid...

Wie stellt sich der Schaden dar: Der Trojaner kam per Mail mit einem vermeintlichen Rechnungsanhang. Die Mail ist nun nicht mehr zugänglich, weil verschlüsselt. Der Rechner lief wohl noch eine Zeit lang normal weiter, irgendwann kam das Fenster mit der Zahlungsaufforderung per Ukash. An dieser Stelle hat meine Frau nichts weiter getan und die Finger davon gelassen.

Die Maus ließ sich noch bewegen, aber die Tastatur reagierte nicht mehr (wollte mal probehalber was in eins der Eingabefelder schreiben).

Rechner ausgeschaltet und neu gestartet. Der Anmeldebildschirm, wo man das Nutzerprofil anwählen kann, erschien ganz normal, ich konnte mich mit meinem Profil anmelden. Auffällig: Mein Hintergrundbild war weg, konnte ich aber über Rechtsklick > Eigenschaften > Desktop wieder zurückholen. Vier oder fünf meiner Desktopverknüpfungen waren verschlüsselt und zerstört. Die Symbole (Bildchen) für "Arbeitsplatz", "Netzwerkumgebung" und "eigene Dateien" sind nicht mehr da, die Verknüpfungen funktionieren jedoch weiterhin.

Auf allen 4 Laufwerken (C: System, D: Programme, E: Daten, F: Backups) sind zahlreiche Dateien befallen. Auffällig: Meine Backups auf F:, erstellt mit Paragon Drive Backup, wurden, vom Zeitstempel her (08:12 Uhr) als erstes vom Trojaner bearbeitet, alles andere während der folgenden 4 Minuten.

Hauptsächlich wurden Dateien in "Dokumente und Einstellungen" verschlüsselt, allerdings auch sämtliche Ordner unserer Homebanking-Software Star-Money (was ganz besonders ärgerlich ist...).

Interessant: Dateien mit den Endungen .dat, .ini, .inf, .log, .db wurden offenbar verschont, auch innerhalb ansonsten komplett verschlüsselter Ordner.

DecryptHelper.exe und Avira Ransom File Unlocker konnten nichts ausrichten. Avast Antivirus und Malwarebytes Anti-Malware haben nichts gefunden. Vom "sauberen" Laptop, auf dem Avira Antivirus installiert ist, komme ich übers Netzwerk nicht auf den befallenen Rechner (kostenlose Programmversion geht nicht mit Netzlaufwerken), so daß ich mir nicht sicher bin ob der Trojaner nun noch auf dem "großen" Rechner ist oder nicht. Die Festplatten auszubauen, hatte ich noch keine Zeit (und, um ehrlich zu sein, noch keine Nerven).

Ach ja, der Vollständigkeit halber: Der infizierte Rechner läuft mit Win XP SP3, zwei Benutzerkonten eingerichtet. Mit meinem kann ich halbwegs arbeiten, schreibe ich auch gerade von. P.'s Nutzerkonto habe ich bislang nicht versucht aufzurufen, traue mich jetzt irgendwie auch nicht, ebensowenig wie den Rechner nochmal neu zu starten.

Ich hoffe, ich konnte mit der Schilderung vielleicht ein klein wenig beitragen, das Problem einzugrenzen und vielleicht gar zu lösen. Falls zweckdienlich, kann ich gern ein paar Dateipaare (kaputt - heile) beisteuern, wenn gewünscht, wie stelle ich's am besten an? Per Mail an Markus, oder besser hier irgendwie hochladen? Sorry, in der kürze der Zeit konnte ich mich noch nicht so eingehend einlesen, wie sich das eigentlich gehört wenn man neu in einem Forum ist...

So, jetzt gehe ich schlafen, aber nicht, ohne mich GANZ HERZLICH bei allen zu bedanken, die hier ihre kostbare Zeit drangeben, um uns mit unseren Problemen, welcher Art auch immer, zu helfen!!!!

Gute Nacht und viele Grüße

Uwe

Ich habe mir jetzt mal erlaubt, in der Delphi-Praxis ein Posting zu setzen, welches um Hilfe bittet und auf dieses Posting verweist.
Mein Aufruf: hxxp://www.delphipraxis.net/168380-verschluesselungs-trojaner-hilfe-benoetigt.html