Hi, einen Bekannten hat es auch erwischt. Auf die schnelle konnte ich folgende Datei in einem Sicherungsordner wiederfinden
aus 100_4498.jpg
wurde yGEVAGofjtLrDQpOe

Ich lese gerade im Nachbar-Thread dass es wichtig ist , den Trojaner ansich (in dem Falle eine **********.exe) noch zu haben, um irgendwie noch Hoffnung auf die Daten zu haben, ist das Richtig?

Nun den Trojaner ansich hab ich nicht mehr, der war in der autostart und antimalwarebytes hat dass alles gekillt.

@benton18: Das ist ein Scherz, oder?! In welchem Thread hast Du das gelesen?!

4 Rechner habe ich jetzt Back holen können mit shadow Explorer 8 welche die neusten *.pif / rechnung.zip hatten. 3 xp Gurken hab ich noch hier stehen und warte ... und warte

die malware an sich könnte evtl. nötig sein, um infos über die verschlüsselung etc zu erhalten

Zitat:

Zitat von markusg

die malware an sich könnte evtl. nötig sein, um infos über die verschlüsselung etc zu erhalten

Haste doch bekommen per email und ingame hier als link zi1 / rar in txt Form

Zitat:

Zitat von grahlke

Da diese neue Variante in einem Wahnsinnstempo beim Neustart den Schaden anrichtet, glaub ich nicht, daß dafür wirklich jede Datei angefasst wird. Wahrscheinlich manipuliert der Trojaner "nur" die MFT und stubbst den Dateianfang ein Bit nach rechts oder links, was dann wie eine Verschlüsselung aussieht aber natürlich nicht berechenbar ist. Leider weiß ich zu wenig von Dateisystemen, um mit dieser Idee weiter zu machen. Der Hinweis auf die komprimierten c:-Laufwerke hat mich auf diese Idee gebracht, da hier die eigentliche MFT nicht benutzt wird. Es existiert doch ein Backup der MFT, was passiert, wenn man dies einspielt. Falls der Trojaner wirklich das Versprechen der Dateifreigabe bei Zahlung hält, müßte auf dem Rechner irgendwo ein weiteres Backup der Original-MFT liegen, das bei Zahlung wieder eingespielt wird.

Get Data Back for NTFS meldet->

MFT entry found@sector 97xxxxx63: '$MFT'
MFT entry found@sector 97xxxxx65: '$MFTMirr'
MFT entry found@sector 97xxxxx67: '$LogFile'
MFT entry found@sector 97xxxxx69: '$Volume'

...GDBNT läuft bei mir schon zwei Tage auf n'er externen 1TB Platte.
...wird wohl noch zwei Tage dauern,,,

Werd's melden wenn's funzt...

Zitat:

Zitat von grahlke

Da diese neue Variante in einem Wahnsinnstempo beim Neustart den Schaden anrichtet, ..........

Dem ist nicht so, Die Verschlüsselung beginnt unmittelbar nach Ausführung der Datei.
Getestet mit einer Registrierung.pif, einer Variante der 12k-Verschlüsselung.

Gruß Volker

@micadig

Ich bin ziemich sicher, dass das nichts bringen wird. Wir haben hier auch schon einen Versuch mit einer 100 GB-Partition. Das Ding ist so schnell, weil es in jede Datei nur 3kb schreibt und er zusätzlich nach Dateitypen filtert. Das bedeutet, dass er bei z.B. angenommenen 30.000 Dateien gerade mal knapp 90 Megabyte (!) schreiben muss. Dass das schnell geht ist klar.

ich hab grad im shadows explorer vom tag des infects eine .pif gefunden. sol ich die extrahieren und aufheben?
Müsste der Verursacher gewesen sein oder?

ms essentians schlätg alarm und gibt in quarantäne, toll JETZT ist zu späääät;-)

Zitat:

Zitat von benton18

ich hab grad im shadows explorer vom tag des infects eine .pif gefunden. sol ich die extrahieren und aufheben?
Müsste der Verursacher gewesen sein oder?

ms essentians schlätg alarm und gibt in quarantäne, toll JETZT ist zu späääät;-)

Wenn's in der Quarantäne ist, dann ist es nicht zu spät. Da kannst du die Datei jederzeit wieder rausholen. Wie das genau bei den MSSE geht, weiß ich allerdings nicht.

Moin,

nur mal so als Tipp. Bin beim Malewarebytes-Run darüber gestolpert, dass er unter c:\$recycle.bin in berwegweise unterordnern rumwühlte. Dort sind dann ein paar verschachtelte versteckte mülleimer, wo die dateien dann unverschlüsselt drin lagen....

Gruß aus dem norden....

ne ich mein der MSSE hätte gleich zu begonn alarm schlagen collen, vor der ganzen sch***e;-)

ich trau mich das pif-file nicht mal ankopieren, kann nix passieren oder? hab die hosen gestrichen voll hier.

Vorsichsthalber würde ich falls vorhanden die 2te FP abklemmen, falls da Daten drauf sind. Ansonsten zuerst ein Backup machen, bevor was passiert.

Zitat:

Zitat von benton18

ich hab grad im shadows explorer vom tag des infects eine .pif gefunden. sol ich die extrahieren und aufheben?
Müsste der Verursacher gewesen sein oder?

ms essentians schlätg alarm und gibt in quarantäne, toll JETZT ist zu späääät;-)

Echtzeitschutz ausschalten und geht... Aber es dürfte auch nur dei Rechnung.zip mit Pif raus kommen