Zitat:

Vielleicht sind die CC Server down?
Zuerst werden drei Verbindungen zum Server aufgebaut und Daten bezogen, dann geht's erst rund.

Nope, die CC Server sind noch aktiv. 20 Minuten hat es ungefähr gedauert, dann hat er zugeschlagen. Das Bild setz ich mir jetzt als neuen Desktophintergrund

Zitat:

Zitat von DelphiDepp

Hallo,


Das Dateidatum und die Uhrzeit bekommst Du auf der Kommandozeile mit folgendem Befehl geändert:

copy *.* +

Hierzu mußt Du in der Kommandozeile in das Verzeichnis wechseln, in dem sich die entsprechenden Dateien befinden. Mit dem Befehl werden "ALLE" Dateien in dem Verzeichnis mit dem aktuellen Datum und der aktuellen Uhrzeit versehen.

S-1-5-21 ist der eindeutige windowsinterne Schlüssel/Bezeichner... für deinen Benutzer.
Genaueres dazu siehe hier: hxxp://de.wikipedia.org/wiki/Security_Identifier

Stephan

Ich meine nicht das Dateidatum sondern das Erstellungsdatum,das vom Trojaner verändert wurde,und diese S-1-5-21 Zahlenfolge tritt nur bei den Dateien auf,die eben von diesem Trojaner verändert worden sind. Sie haben zwar alle die Originalnamen,sind aber nicht ausführbar.Im Vergleich zu den verschonten Dateien wurde weder das Datum verändert,noch gibt es diese Zahlenfolge.Mir ist noch aufgefallen,das bei den Zahlenfolge noch ein Fragezeichen im dem Bildchen ist,also unbekannter Benutzer.
Ergo,hat der Trojaner auf zwei Arten verschlüsselt.

Zitat:

Zitat von highend

Nope, die CC Server sind noch aktiv. 20 Minuten hat es ungefähr gedauert, dann hat er zugeschlagen. Das Bild setz ich mir jetzt als neuen Desktophintergrund

Hoffendlich passiert das alles in der VM, oder, warum sonst das headbang?

Zitat:

Zitat von pcnberlin

@alle:

So wie es aussieht gibt es was den Verschlüsselungs-Trojaner angeht keine Hoffnung mehr:

Delphi-PRAXiS - Einzelnen Beitrag anzeigen - Verschlüsselungs-Trojaner, Hilfe benötigt

Ich möchte hiermit die Administratoren bitten, das ab jetzt auch offen so zu kommunizieren, da es keinen Sinn macht, hier weiter Hoffnung zu Schüren, ohne dass es Aussicht auf ein Entschlüsselungs-Tool gibt.

Die Analyse von Marcu stimmt mit meinen Annahmen überein und ich denke, eine Zusammenfassung mit Hinweisen zu ShadowCopy und sonstigen Reparaturmaßnahmen sollte als sticky gesetzt werden.

So schnell gebe ich nicht auf,es sind zu viele wertvolle Daten,die ich nicht löschen werde. Bisher hat es immer eine Lösung gegeben,manchmal dauert es halt etwas länger. Die Software-Firmen arbeiten ja auch an diesem Problem.
Also Kopf hoch und Geduld haben

Zitat:

Hoffendlich passiert das alles in der VM, oder, warum sonst das headbang?

Sicher, ich bin ja nicht völlig irre^^ Das mit dem Desktophintergrundbild sollte ironisch gemeint sein, von daher die "Akzentuierung" per headbang. Ich wollte damit keine Verwirrung stiften

Zitat:

So schnell gebe ich nicht auf,es sind zu viele wertvolle Daten,die ich nicht löschen werde. Bisher hat es immer eine Lösung gegeben,manchmal dauert es halt etwas länger. Die Software-Firmen arbeiten ja auch an diesem Problem.

Nur dass Leute daran arbeiten, heißt ja dummerweise nichts. Wenn die Verschlüsselung per AES (und seien es nur 128Bit) durchgeführt wurde und so sieht es wohl derzeit aus und man an den notwendigen Schlüssel nicht ran kommt, dann kannst du deine Daten auch nicht in 100.000 Jahren entschlüsseln. Wirklich nicht, so leid es mir tut.

Als Referenz zur Berechnungsdauer bei 128 Bit Schlüsseln: hxxp://www.heise.de/security/meldung/Erster-Kratzer-fuer-Kryptoalgorithmus-AES-1324532.html

Einzug 07.06.2012 .com - Trojan-Dropper.Win32.Injector.fbii

Die Datei wird mit den aktuellsten Anti Viren Signaturen erkannt.

Mit freundlichen Grüßen Kaspersky Lab


und bitdefender erkennt den virus von heute morgen jetzt auch als
trojan.generic.kdv. 642884

greetz

Zitat:

Zitat von highend

Sicher, ich bin ja nicht völlig irre^^ Das mit dem Desktophintergrundbild sollte ironisch gemeint sein, von daher die "Akzentuierung" per headbang. Ich wollte damit keine Verwirrung stiften



Nur dass Leute daran arbeiten, heißt ja dummerweise nichts. Wenn die Verschlüsselung per AES (und seien es nur 128Bit) durchgeführt wurde und so sieht es wohl derzeit aus und man an den notwendigen Schlüssel nicht ran kommt, dann kannst du deine Daten auch nicht in 100.000 Jahren entschlüsseln. Wirklich nicht, so leid es mir tut.

Als Referenz zur Berechnungsdauer bei 128 Bit Schlüsseln: hxxp://www.heise.de/security/meldung/Erster-Kratzer-fuer-Kryptoalgorithmus-AES-1324532.html

Du scheinst ja von den Leuten,die daran arbeiten nicht viel zu halten.Schwarzsehen bringt nix.Ausserdem halte ich die 256 Bit Verschlüsselung für einen Bluff. Der wer so einen Trojaner schreiben kann,hat ganz andere Möglichkeiten Kohle zu machen,z.B. Banken infizieren oder so.
Und ausserdem sind die Leute keine Amateure,die an diesem Problem arbeiten.
Deswegen haben auch die Jungs hier meine Hochachtung.

Zitat:

Zitat von thalon05

Du scheinst ja von den Leuten,die daran arbeiten nicht viel zu halten.Schwarzsehen bringt nix.Ausserdem halte ich die 256 Bit Verschlüsselung für einen Bluff. Der wer so einen Trojaner schreiben kann,hat ganz andere Möglichkeiten Kohle zu machen,z.B. Banken infizieren oder so.
Und ausserdem sind die Leute keine Amateure,die an diesem Problem arbeiten.
Deswegen haben auch die Jungs hier meine Hochachtung.

Dein Dank in Ehren aber lies mal => http://www.delphipraxis.net/1169769-post147.html

Ich will keine falsche Hoffnungen wecken.
Man hat jedoch damals bei der WEP Verschlüsselung für WLan auch gesagt, das sei nicht zu knacken, das würde Jahre dauern. Wir haben es alle geglaubt und es stimmt sicher auch zu der Zeit. Jetzt gibt es jedoch überall Software dafür. Es gibt kaum einen Bereich, wo die Entwicklung so schnell geht wie in der IT und Sachen, die gestern undenkbar waren heute schon selbstverständlich sind. Es ist lediglich eine Frage der Zeit. Nur: Wieviel Zeit? Das wissen wir leider nicht. Es kostet glücklicherweise heute nicht mehr so viel, einfach die betroffenen Festplatten beiseite zu legen und das Sytem mit neue Platten neu aufzusetzen. Der Rest ist warten und hoffen....

Hy ich habe den Trojander auf meinem Laptop und bin gerade via anleitung den trojaner zu entfernen.
habe jetzt aus neugier eine andere emailadresse von mir reingeschaut und siehe da ich habe auch da eine Dubiose email wie ich am laptop hatte.
ich habe die datei nicht geöffnet aber die email mal noch da behalten.
ich kopiere mal den Inhalt:


Sehr geehrte/r Tobias Psst,

Danke für ihren Vertrag mit cosmochic GmbH, nachfolgend finden Sie Ihre Antragsbestätigung.

Deine Auftragsnummer: 537434406097
Bestellung: BareBone 7704859573 6956,19 Euro
Rechnung auf den Namen: Tobias Psst
Zahlungsmethode: Bank-Konto

Lieferadresse und genaue Zahlungsaufforderung finden Sie wegen Securitymassnahmen in beigefügter Datei.

Die Buchung wurde autorisiert und wird innerhalb 2 Tage abgeschrieben.
Rechnungseinzelheiten und Widerruf Hinweise finden Sie im zugefügten Ordner.


Dein Verkaufs-Team

Lange GmbH
Bleckering 86
96706 Potsdam

Telefon: (+49) 757 4385160
(Mo-Fr 11.00 - 20.00 Uhr, Sa 11.00 bis 17.00 Uhr)
Gesellschaftssitz Stuttgart
Steuer-ID: DE610216254
Geschäftsleiter: Leon Frank

(emailende)
Natürlich ist Telefonnummer und SteuerID Nicht richtig, bzw nicht vergeben.
Wollte fragen wie ich jetzt weiter verfahren soll oder ich euch helfen kann und ihr vielleicht die email "verwenden könnt" um besser zu helfen.

Zitat:

Man hat jedoch damals bei der WEP Verschlüsselung für WLan auch gesagt, das sei nicht zu knacken, das würde Jahre dauern. Wir haben es alle geglaubt und es stimmt sicher auch zu der Zeit. Jetzt gibt es jedoch überall Software dafür. Es gibt kaum einen Bereich, wo die Entwicklung so schnell geht wie in der IT und Sachen, die gestern undenkbar waren heute schon selbstverständlich sind.

Es geht dabei schlicht und ergreifend darum, ob man den Algorithmus angreifen kann. AES in seiner Grundform existiert seit etwa 1997/98. Zum Standard wurde es iirc 2000 erhoben. Das ist mittlerweile 12 Jahre her. Sehr viele erfolgreiche Attacken gab es bisher nicht. Bei AES-256 konnte man die mögliche Schlüssellänge auf 2^99 verkürzen, damit ist es theoretisch sogar unsicherer als die 128 Bit Verschlüsselung (die auch schon reduziert werden konnte). Diese letzte Attacke ist aber auch schon 3 Jahre alt.
2^99 berechnen zu lassen... Ich fürchte deine zur Seite gelegten Festplatten werden diese Zeit nicht überdauern.

Hallo,

bei meiner besseren Hälfte waren "glücklicherweise" nur wichtige JPEGs betroffen. Den Rest konnten wir verkraften bzw. hatten Backups auf dem zweiten Rechner.

Diese konnten wunderbar mit JPEG Recovery wieder hergestellt werden da bei unseren verschlüsselten Versionen nur der Dateianfang verschüsselt war.

Demo-Version gibts kostenlos zum Download um zu testen ob es funktioniert.

Vielleicht schon mal eine Hilfe für die Leute, welche um Ihre Bilder fürchten.

War zwar nicht kostenlos, aber das waren uns die Bilder wert. Nun haben wir wieder ein Backup und die Backup-Platte liegt im Schrank

Grüße
Forrest74

Hallo,

ich habe auch das Problem, dass sämtliche Fotos, die ich auf einer externen Festplatte gespeichert habe, verschlüsselt sind, die Dateien heissen jetzt z.B.
ggguQuuQQrNNNNNvvvvJ usw. Für mich stellt das eine mittlere Katastrophe dar, da diese Fotos für mich einen sehr hohen persönlichen Wert haben. Kann mir einer von Euch ein JPEG- Recovery Programm empfehlen, mit dem ich die Daten wieder herstellen kann?
Vorab schonmal vielen Dank für Eure Hilfe!!

Nein, denn dafür gibt es aktuell und wie weiter oben beschrieben auch wahrscheinlich zukünftig kein Entschlüsselungsprogramm.

@George1701

Meine Dateien hatten auch alle solche Namen.. Du kannst dir entweder "JPEG Recovery" runterladen oder mir mal ein Foto zukommen lassen und ich versuche es mal wieder herzustellen.

Meld dich zur Not einfach per PN und wir bequatschen das.

Grüße