Ich habe diese E-Mail nicht mehr....habe sie gelöscht....ich hoffe auch das es bald eine Lösung gibt....

Hallo alle zusammen, ich habe festhestellt, dass jeder Datei und jedem Ordner Dateien mit 9 und 3KB hinzugefügt wurden. Kann es sein, dass daran der Schlüssel liegt ?

Zitat:

Zitat von Plagi

Hallo alle zusammen, ich habe festhestellt, dass jeder Datei und jedem Ordner Dateien mit 9 und 3KB hinzugefügt wurden. Kann es sein, dass daran der Schlüssel liegt ?

kann ich nicht bestätigen.
wie meinst du das genau?

lg

Zitat:

Zitat von wenxx87

HALLO LEUTE !! Ich bin neu hier ,
....
ich hab kein pärchen und ich versteh das nicht ! Wenn ich ein Pärchen hätte würde ich drauf scheissen dann hab ich die daten !

@wenxx87,
vielleicht hilft ein Gang auf die Toilette oder etwas Lesen der vielen nützlichen Postings der Leute hier.
Dann wüsstest Du, dass ein passendes Dateipaar duchaus mehrer tausend Dateien rekonstruieren kann.
Dann wüsstest Du auch, wie man eventuell zu Originaldateien kommt.

Eventuell wäre Dir dann auch dieser Thred aufgedallen:

http://www.trojaner-board.de/115551-...e-version.html

Zitat:

Zitat von wenxx87

wäre nett wenn ihr mir helfen könnt danke ! am besten mit anleitung und download links oder video :-) oder beides

Klar kannst Du Hilfe bekommen.
Frage konkret was Du nicht verstehst, etwas Eigeninitiative muß schon sein.
Was hast Du unternommen um an Originaldateien zu kommen?
Hast Du es schon mit den Beispielbildern probiert?

Links stehen ganz oben und Anleitungen gibt es bei den jeweiligen Tools.
Videos findest Du bei YouTube und Hausbesuche gibt es nicht.

Gruß Volker

Antwort auf mein Posting vom 25.5.2012
@benton18
Verschlüsselte Dateien sind
- umbenannt ohne Endung und ohne erkennbare Struktur, keine doppelten Buchstaben und unterschiedlich lang, mindestens 14 Zeichen
- nicht umbenannt (nur 14 Dateien .jpg)

Ich habe noch die verseuchte Original-Festplatte und eine 1:1 Kopie davon. Ich weiß, dass da der Übeltäter noch drauf ist. Ein Test ergab, dass ESET diesen findet und "behandeln" kann.

Ich habe auf der Sicherung einen Ordner "Programme" und darin die Struktur der Fakturierung. Hier scheint alles ok zu sein.

Ich habe im Webmail noch so ein Biest (noch nicht abgerufen, kann es weiterleiten)
Absender: y_hayato555@yahoo.co.jp
Betreff: Dritte Zahlungsaufforderung 23.05.2012
Anhang: Mahnung.zip 62K

Guten Morgen,

in Bezug auf unsere Rechnung Nr.: 46472838 und unsere 1. sowie auch unsere 2. Mahnung mussten wir heute feststellen, dass Ihre Zahlung bei uns noch immer nicht eingegangen ist. Dies bedeutet einen einseitigen Vertragsbruch Ihrerseits. Nach geltendem Recht könnten wir die offene Forderung bereits jetzt bei Gericht anmelden. Wir geben Ihnen jedoch trotzdem noch eine letzte Möglichkeit, Ihre vertragliche Verpflichtung zu erfüllen, indem Sie unverzüglich die ausstehende Summe in Höhe von 627.00 EURO an uns zur Zahlung bringen.

Die Rechnung und die Bestelleinzelheiten finden Sie in beigefügter Datei

Nach geltendem Recht sind wir befugt, die anfallenden Kosten geltend zu machen. Alle bereits angefallenen und noch entstehenden Kosten (Mahnkosten, Rechtsanwalts- und Gerichtskosten) gehen zu Ihren Lasten.

Vermeiden Sie unnötigen Ärger und weitere Kosten und erfüllen Sie den mit uns abgeschlossenen Vertrag!



Maolo-Elektro Aktiengesellschaft mit Sitz in Hamburg

Vorstand: Heinz Müller, Josef Moser
Aufsichtsratsvorsitzender: Thomas Lehner
Gesellschaftssitz: Essen 16210

Wenn es Spezialisten gibt, die damit was anfangen können für die Allgemeinheit, bitte melden. Danke für euren Einsatz !!!

Hallo,

ich habe vor 15 Minuten ebenfalls die 3. Zahlungsaufforderung erhalten!

Ich habe das ganze an die Virenprofis hier gemailt in der Hoffnung das allen Betroffenen geholfen werden kann.

Danke schon mal für Erure ganze Arbeit!

Hallo zusammen,
da ich, wie auch viele Leute hier, eine Hilfe brauche, wollte ich die verschlüsselten und originellen Dateien zukommen lassen. In der Quarantäne vom Malwarebytes-Programm befindet sich der Trojan-Agent (stub.exe).
Meine Frage ist wie kann ich dann ihn von dort wieder rausholen um ihn auch zu zusenden. Die entsprechende Mail hatte ich leider entfernt.
Vielen Dank für den Tipp!
Juri

Hallo benton18,

meine musikdateien ahbe ich im Original vorliegen. Beim Vergleich der Originaldatei mit der verschlüsselten stelle ich fest, dass zur Originaldatei eine mit 3KB und eine mit 9KB hinzugefügt wurde. Alle 3 sind verschlüsselt.

Hallo benton18,

meine musikdateien ahbe ich im Original vorliegen. Beim Vergleich der Originaldatei mit der verschlüsselten stelle ich fest, dass zur Originaldatei eine mit 3KB und eine mit 9KB hinzugefügt wurde. Alle 3 sind verschlüsselt.
Plagi ist gerade online Beitrag melden Beitrag bearbeiten/löschen

@alle

Ich habe mir bereits die ein oder andere Nacht um die Ohren geschlagen, um dem Geheimnis des Trojaners auf die Schliche zu kommen. Meine bisherigen Ergebnisse trage ich hier nun unter Verweis auf weitere Erkenntnisse von anderer Seite zusammen und stelle zur Diskussion, dass es sich bei der neuen Variante um ein public-private Key Verfahren handelt, dass auf absehbare Zeit nicht zu knacken sein wird:

Analyse des Windows-Verschluesselungstrojaner-neue-Version

Ich möchte in der Hoffnung mit meiner Vermutung unrecht zu haben mit diesem Post dazu aufrufen, mehr Informationen zu diesem Trojaner zu veröffentlichen, den bisher erreichten Wissensstand offener als bisher zu kommunizieren und hoffe, dass sich so noch mehr Leute finden, die Willens und in der Lage sind, diesen Virus zu analysieren. Dieser Virus ist in meinen Augen einfach zu gefährlich, als dass man sich über seinen Wissensstand ausschweigen könnte: Wer also Kenntnisse, Ergänzungen und Anregungen hat, der möge diese bitte öffentlich machen.

Hi PCNBerlin.

Kann ich dirch irgendwie mit Trojanischen Files versorgen? oder hast du schon alles, um damit zu arbeiten? Hab mich nun etwas in die Materie eingelesen, hier und auf DeplhiPraxis, und hab von einem nach wie vor verseuchten PC die entsprechenden files gezogen:
die Rechnung.pif
die die Sicherheitskopie aus der appdata/Roaming (tatsächlich exakt gleich groß)
sowie die angesprochenen Files aus dem Temp-folder, von denen die kleinere ebenfalls gleich groß ist, wie jene bei DelphiPraxis gepostet.
Die größere Temp-datei ist etwas großer, schätze auch das hängt damit zusammen, wie viele fiels verschüsselt werden konnten, bis dem Spuck ein Ende gesetzt wurde. (ca 5Mb bei mir)

ich werde diese Feiles mitsamt der verschlüsselten erstmal verwahren. Die Hoffnung stirbt immer noch zuletzt;-) Danke nochmals für deine tolle Arbeit und auch den anderen Leuten hier.

Auch bei uns hat der Trojaner einige Daten verschlüsselt. (Jedoch nicht alles)
Ich habe aber sehr vieles Davon noch Original (Unverschlüsselt) vorliegen.
Wird hier sowas eventuell benötigt um die Verschlüsselung zu analysieren?
Also Originaldateien & Infiziert.

PS: Was mich wundert, die Dateien sind exakt gleich groß. Ich probier mal, sie einfach umzubenennen.

Edit: Okay, hat nichts gebracht. Wirklich dran geglaubt habe ich aber nicht

...................

Der von madddy im Thread >>Entschlüsseln von Dateien die nicht "locked" im Namen haben<< angesprochene Trojaner ist genau der hier behandelte.
Ich habe die Mail im Papierkorb wiedergefunden und könnte sie (samt verseuchtem Anhang) zur Verfügung stellen, wenn mir jemand sagt, wie ich das bei browser-zugänglicher Mail (aol) mit dem Download hinkriege.

Tipp an alle, löscht noch keine Daten, und setzt ev auch euer system noch nicht neu auf, bzw erstellt ein 1:1 Spiegelung der C:\ Platte, die Hinweise verdichten sich, dass eine Entschlüsselung nur mit den trojanerdaten auf dem jeweiligensystem gelingen können.

Obs wirklich was wird, steht noch nicht fest, ich lese ledigich quer durchs netz die infos mit und gebe die hier weiter.

Hallo ich habe mich gestern mit einem Windows-Verschlüsselungs-Trojaner infizirt, nun sind meine dokumente, bilder, videos und Musik datein verschlüsselt sie wurden umbenannt und es steht kein dateityp hinter, habe nun leider keine originaldateien davon, kann mir jemand helfen???
Lasse gerade einen scan durchführen mit malwarebytes..
Malewarebytes

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.29.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
***** :: ***** [Administrator]

29.05.2012 13:02:14
mbam-log-2012-05-29 (13-02-14).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 358724
Laufzeit: 1 Stunde(n), 16 Minute(n), 5 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\$RECYCLE.BIN\S-1-5-21-1754600116-247446989-1744131934-1000\$RMC9D68.exe (PUP.ToolbarDownloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)