HALLO LEUTE !! Ich bin neu hier , folgendes Problem meine bekannte hat 30gb bilder alles locked dateien wie soll ich die entsperren ?? ich hab kein pärchen und ich versteh das nicht ! Wenn ich ein Pärchen hätte würde ich drauf scheissen dann hab ich die daten ! wäre nett wenn ihr mir helfen könnt danke ! am besten mit anleitung und download links oder video :-) oder beides

Ich habe diese E-Mail nicht mehr....habe sie gelöscht....ich hoffe auch das es bald eine Lösung gibt....

Zitat:

Zitat von wenxx87

HALLO LEUTE !! Ich bin neu hier ,
....
ich hab kein pärchen und ich versteh das nicht ! Wenn ich ein Pärchen hätte würde ich drauf scheissen dann hab ich die daten !

@wenxx87,
vielleicht hilft ein Gang auf die Toilette oder etwas Lesen der vielen nützlichen Postings der Leute hier.
Dann wüsstest Du, dass ein passendes Dateipaar duchaus mehrer tausend Dateien rekonstruieren kann.
Dann wüsstest Du auch, wie man eventuell zu Originaldateien kommt.

Eventuell wäre Dir dann auch dieser Thred aufgedallen:

http://www.trojaner-board.de/115551-...e-version.html

Zitat:

Zitat von wenxx87

wäre nett wenn ihr mir helfen könnt danke ! am besten mit anleitung und download links oder video :-) oder beides

Klar kannst Du Hilfe bekommen.
Frage konkret was Du nicht verstehst, etwas Eigeninitiative muß schon sein.
Was hast Du unternommen um an Originaldateien zu kommen?
Hast Du es schon mit den Beispielbildern probiert?

Links stehen ganz oben und Anleitungen gibt es bei den jeweiligen Tools.
Videos findest Du bei YouTube und Hausbesuche gibt es nicht.

Gruß Volker

Hallo alle zusammen, ich habe festhestellt, dass jeder Datei und jedem Ordner Dateien mit 9 und 3KB hinzugefügt wurden. Kann es sein, dass daran der Schlüssel liegt ?

Zitat:

Zitat von Plagi

Hallo alle zusammen, ich habe festhestellt, dass jeder Datei und jedem Ordner Dateien mit 9 und 3KB hinzugefügt wurden. Kann es sein, dass daran der Schlüssel liegt ?

kann ich nicht bestätigen.
wie meinst du das genau?

lg

Hi PCNBerlin.

Kann ich dirch irgendwie mit Trojanischen Files versorgen? oder hast du schon alles, um damit zu arbeiten? Hab mich nun etwas in die Materie eingelesen, hier und auf DeplhiPraxis, und hab von einem nach wie vor verseuchten PC die entsprechenden files gezogen:
die Rechnung.pif
die die Sicherheitskopie aus der appdata/Roaming (tatsächlich exakt gleich groß)
sowie die angesprochenen Files aus dem Temp-folder, von denen die kleinere ebenfalls gleich groß ist, wie jene bei DelphiPraxis gepostet.
Die größere Temp-datei ist etwas großer, schätze auch das hängt damit zusammen, wie viele fiels verschüsselt werden konnten, bis dem Spuck ein Ende gesetzt wurde. (ca 5Mb bei mir)

ich werde diese Feiles mitsamt der verschlüsselten erstmal verwahren. Die Hoffnung stirbt immer noch zuletzt;-) Danke nochmals für deine tolle Arbeit und auch den anderen Leuten hier.

Ist der Spuk mit neuen Opfern vorbei ?

Bezüglich des Posts von pcnberlin mit Verweis auf seinen Blogpost
"Analyse des Windows-Verschluesselungstrojaner-neue-Version"
auf Seite 37 dieses Topics, ist mir gerade aufgefallen, dass der benannte Server:
hxxp://ogutors-free.com/
nicht mehr erreichbar ist.

Leider kam der Gedanke die a.php per wget zu sichern zu spät.
Zumindest ist der Siliziumkrüppel aktuell offline;
welches neue verschlüsselte Patienten bis zu einer neuen Variante
temporär ausschließt, wenn ihr mit den Onlinekeys recht behaltet.

Frage ist, ob es eine neue Version gibt, bevor die alte Ihre
Geheimnisse Preis gegeben hat.

PS: An dieser Stelle nocheinmal ein persönlichen Gruß an den Author:

Hallo

Ich bin auch reingefallen!! Habe eine Mail bekommen, die lässt sich aber jetzt leider nicht mehr offnen! Habe dann den Anhang geöffnet. Ich weiß ich hätte eine zweite Kopie meiner Daten machen müssen aber jetzt is es nunmal zu spät!
Meine Bilder, Documente und Musik ist verschlüsselt der Dateiname besteht aus unwillkürlichen Ziffern zb:wsfirhejfiuerhgtokdk
Doc die MBs sind noch da. Habe schon verswucht den Dateiname einfach zu ändern mit .jpg das lässt sich zwar dann öffnen doch die Datei kann nich gelesen werden! Brauche unbedingt diese Bilder das sind Bilder meiner Töchter der letzten 5 Monate! Und meine Tochter ihre Ausbildungdokumente die sie braucht.
Bitte dringend um hilfe

Huhu Mitchi,

ich kann Dich nur auf
http://www.trojaner-board.de/115551-...version-2.html

verweisen, bezüglich des pst / jpg rettens,
zudem wäre da noch der Tipp mit den Schattenkopien,
siehe Video auf der zweiten Seite.

Da ich leider heute Abend keinen PC mit Verseuchung am Start habe,
stellt sich mir die Frage ob von Euch schon jemand Erfahrung mit Raw Recoverys gemacht hat ?
D.h. Photorec etc. von der Theorie her dürften alle Dateien die zuletzt
auf dem Dateisystem waren ja folglich verschlüsselt sein, solche die aber
vorher gelöscht worden sind / ältere Revisionen / etc.
ja auch diesem Wege durchaus noch dem einen oder anderen von Nutzen sein.

PS: @ Mitchi wie spät hast du denn heute die Mail geöffnet,
bin nur neugierig wegen des nicht erreichbaren Servers.

So far fdy

Das war vorige Woche Diennstag! Un da hab ich nach ner Lösung für die Bilder gesucht aber keine gefunden!

Auch bei uns hat der Trojaner einige Daten verschlüsselt. (Jedoch nicht alles)
Ich habe aber sehr vieles Davon noch Original (Unverschlüsselt) vorliegen.
Wird hier sowas eventuell benötigt um die Verschlüsselung zu analysieren?
Also Originaldateien & Infiziert.

PS: Was mich wundert, die Dateien sind exakt gleich groß. Ich probier mal, sie einfach umzubenennen.

Edit: Okay, hat nichts gebracht. Wirklich dran geglaubt habe ich aber nicht

...................

Der von madddy im Thread >>Entschlüsseln von Dateien die nicht "locked" im Namen haben<< angesprochene Trojaner ist genau der hier behandelte.
Ich habe die Mail im Papierkorb wiedergefunden und könnte sie (samt verseuchtem Anhang) zur Verfügung stellen, wenn mir jemand sagt, wie ich das bei browser-zugänglicher Mail (aol) mit dem Download hinkriege.

Tipp an alle, löscht noch keine Daten, und setzt ev auch euer system noch nicht neu auf, bzw erstellt ein 1:1 Spiegelung der C:\ Platte, die Hinweise verdichten sich, dass eine Entschlüsselung nur mit den trojanerdaten auf dem jeweiligensystem gelingen können.

Obs wirklich was wird, steht noch nicht fest, ich lese ledigich quer durchs netz die infos mit und gebe die hier weiter.

Hallo ich habe mich gestern mit einem Windows-Verschlüsselungs-Trojaner infizirt, nun sind meine dokumente, bilder, videos und Musik datein verschlüsselt sie wurden umbenannt und es steht kein dateityp hinter, habe nun leider keine originaldateien davon, kann mir jemand helfen???
Lasse gerade einen scan durchführen mit malwarebytes..
Malewarebytes

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.29.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
***** :: ***** [Administrator]

29.05.2012 13:02:14
mbam-log-2012-05-29 (13-02-14).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 358724
Laufzeit: 1 Stunde(n), 16 Minute(n), 5 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\$RECYCLE.BIN\S-1-5-21-1754600116-247446989-1744131934-1000\$RMC9D68.exe (PUP.ToolbarDownloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)