das ist doch der thread für den Verschlüsselungstrojaner.....

Zitat:

Zitat von Markus7488

das ist doch der thread für den Verschlüsselungstrojaner.....

Ja, aber für Diskussionen!

Hallo einmal wieder,

die Untersuchung der HDD mit dem forensischen Programm war mehr oder weniger erfolgreich. Es wurden alle *.doc Dateien in ein Verzeichnis extrahiert. Ich habe dann mit einem Skript einen Grössenvergleich mit den originalen, verschlüsselten gemacht und die Kandidaten, die in Frage kommen in ein Unterverzeichnis des Ursprungsverzeichnisses kopiert.
Ebenfalls habe ich ein grep auf Schlagwörter, wie Namen etc. gemacht, und diese dann ebefalls in ein Verzeichnis kopiert. Es sind definitv Dateien dabei, die verschlüsselt sind/waren. Also ich konnte nun einen Großteil der Daten wieder herstellen. Wie im anderen Beitrag erwähnt, habe ich es mit DOCs gemacht.

EDIT:
Die Dateien sehen nach der Wiederherstellung wie folgt aus:
16768530.doc

Gruß
Keks5

Zitat:

Zitat von Keks5

Hallo,

ich habe geschafft einige Dokumente wieder zu beschaffen. Allerdings habe ich es bisher nur mit *.doc probiert. Die Namen sind alle nur noch numerisch, man kann sie aber an Hand der Größe einigermaßen identifizieren. Ob es sich um alle Dokumente kann ich nicht beurteilen, da es sich nicht um meinen Rechner handelt.

So, nun genug zurück gerudert:
Funktionieren tut es mit dem forensischen Tool "foremost" unter Linux.
Ich habe aus der CT die desinfeC'T - Ubuntu Version genommen, die ich bereits auf einem USB-Stick habe. Das nur am Rande, mit knoppix usw. geht es identisch gut. Ich kann hier nochmal unetbootin (UNetbootin - Homepage and Downloads) empfehlen, was einem simpel einen bootbaren Linux USB Stick zaubert, Anleitung auf der entspr. Seite.
1. Linux booten (Mit Kabel am WLAN Router, da ein paar Sachen herunter geladen werden müssen)
2. eine Console auf machen und folgendes eingeben

Code: Alles auswählenAufklappen

ATTFilter

sudo su -
apt-get update
apt-get install aptitude
aptitude update
aptitude search foremost
         

3. Wenn hier foremost gefunden wird, folgendes eingeben

Code: Alles auswählenAufklappen

ATTFilter

aptitude install foremost
         

Und bei Punkt 5 weiter machen

4. wenn nicht, dann müssen wir uns eine Version selber aus den Sourcen bauen und installieren einen Compiler

Code: Alles auswählenAufklappen

ATTFilter

aptitude install gcc make
         

Quellcode runterladen:
hxxp://foremost.sourceforge.net/pkg/foremost-1.5.7.tar.gz

mit der Console in das Verzeichnis wechseln, wo das heruntergeladene Paket "foremost-1.5.7.tar.gz" liegt. Was wir mit

Code: Alles auswählenAufklappen

ATTFilter

tar -xzvf foremost-1.5.7.tar.gz
         

entpacken

nun in das entpackte Verzeichnis wechseln "foremost-1.5.7" und folgende Befehle ausführen

Code: Alles auswählenAufklappen

ATTFilter

make
make install
         

Nun sollte das Programm compiliert und installiert sein.

5. Ich habe eine eine andere Platte angeschlossen, um dort meine Dateien drauf zu speichern. Die Syntax sieht folgermaßen aus:
foremost -t doc -i /dev/hda3 -o /media/meineplatte/recovery
-t gibt den Filetype an (im Link sind noch ettliche mehr beschrieben)
-i das Device, wie Linux die Partition anspricht
-o wo der Output gespeichert werden soll

Ein Link, der hilft:
https://help.ubuntu.com/community/DataRecovery


Evtl. sollte man jemanden Fragen, der sich mit Linux etwas auskennt.

Hier muss man auch Geduld mitbringen. Der Rechner, bei dem ich es gerade mache ist schon eine Weile bei der Arbeit.
Ich hoffe, dass ihr einiges retten könnt!!

Gruß
Keks5

vor 2 tagenb hatte meine bekannte diesen virus draufgehabt hab windows 7cd rein gelegt und auf
system wiederherstellung gegangen danach normal aufgefahren und anschliessend virenscan durch geführt trojana gefunden und vernichtet und alle undifinierbare code gelöscht wie uudddeemmssnn der rechner schnurt wieder wie ne 1
troj/isys.8501. heist der trojanar
die daten stehen in appdatei ganz unten.

Ps soll nicht heißen das es bei jeden so klappt

Hola

Gestern hats mich nun auch erwischt...
Mail hab ich leider gelöscht, der Inhalt war aber halbwegs identisch wie bei allen anderen,
bei mir handelte es sich um eine Bestellung auf trendshop.de bzw .com!

Rechnung im Anhang geöffnet,
nach ca 2 Minuten wurde der PC autom. runtergefahren.
Nach dem Neustart erschien dann das Fenster wie auf Seite 1 Beschrieben.
Selbst neu gestartet und im abgesicherten Modus hochgefahren,
alle Datein die auf dem Desk neu waren gelöscht und nochmal
neu gestartet.
Schien alles in Ordnung, 2-3 Scanner drüber laufen lassen und bereinigt war der PC,
hoffe ich jeden Falls
Ein paar Verknüpfungen auf dem Desk wurden unbrauchbar,
Alle Bilder,Dokumente,Videos UND installierte Spiele wurden verschlüsselt (3 Festplatten)
Weder ein Backup noch die Shadogeschichte sind bei aktiviert,
seit 10 Jahren PC Besitzer und noch nie gebraucht,
Spams lass ich normalerweise auch immer geschlossen...naja einmal ist...^^

Ich hatte auf dem Handy noch ein Bild deren Quelle ich auf dem PC kannte,
wenn ich das Bild auf dem PC nun umbennene, also wieder in den Orginalnamen,
dann wird das Bild als Vorschau angezeigt,
das wars aber auch schon, öffnen nicht möglich!

Orginal: IMAG0313(jpg)
Verschlüsselt: pNxuVUadTXTpjg

Alle Programme die angeboten werden können mit diesem Schlüssel nix anfangen...

Blöde Frage,
statt nun für die verschiedenen Dateiarten entschlüsselungen zu schreiben,
wäre es nicht einfacher den Virus umzuschreiben?
Oder man hofft darauf das Matthias den DeCryptHelper auf die neue Verschlüsselung patchen kann
(Schlüssel konnte nicht bestimmt werden)

Ich belasse mein PC wie er ist,
nur ein Spiel wird neu installiert,
wenn ich was neues hab, sag ich bescheid, andernfalls freu ich mich von euch zu hören!

@Uni87,

ich würde weder was installieren noch deinstallieren und die Daten so lassen, wie sie sind. Neue HDD rein, und fertig. Es sei denn es sind unnütze Dokumente etc.
Es werden sonst Bereiche im Filesystem überschrieben, wo evtl. nocht die Urdokumente vorhanden sind.

Gruß
Keks5

Hab ich mir auch eben gedacht

Ich werd einfach alles so lassen und hoffen, das man bald nen
entsprechenden Decrypter dazu raushaut!

Ne neue HDD rein weil?
Also ich hab 3 (1. System, 2. Spiele, 3. Datein)
Da das System ja soweit läuft wollt ich eigentlich nix neu aufsetzen,
erst wenns ne Lösung zum entschlüsseln gibt, so dringend brauch ich
die verschlüsselten Datein zum Glück nicht,
alles wichtige landet eh auf CDs

Zitat:

Zitat von uni87

Orginal: IMAG0313(jpg)
Verschlüsselt: pNxuVUadTXTpjg

Alle Programme die angeboten werden können mit diesem Schlüssel nix anfangen...

Das ist doch Unsinn, es wird weit mehr angeboten.
Das setzt natürlich voraus, dass man vor dem Post etwas liest, dann hättest Du Dir die Arbeit mit den Schlüsseln sparen können.

Zitat:

Blöde Frage,
statt nun für die verschiedenen Dateiarten entschlüsselungen zu schreiben,
wäre es nicht einfacher den Virus umzuschreiben?

Was den Anfang betrifft, stimmt.
Zum Rest folgende Fragen:
Was weißt Du vom Virus und seiner Arbeitsweise?
Was sind konkret Deine Ansatzpunkte?

Oben stehtwas, fängt mit Diskussionsforum an.

Volker

Volker

Zitat:

Zitat von Undertaker

Das ist doch Unsinn, es wird weit mehr angeboten.
Das setzt natürlich voraus, dass man vor dem Post etwas liest, dann hättest Du Dir die Arbeit mit den Schlüsseln sparen können.

Ich habe mir die Nacht ALLE Seiten durchgelesen!!!
Daraufhin die angebotenen Programme ausprobiert,
ohne Erfolg, was darauf schließen lässt, wie bei anderen auch,
das es sich um eine neue Verschlüssellungvariante handelt...

Zum Thema Virus selbst...
Ich kenn mich nicht wirklich aus,
aber erstellt werden diese Dinger auch nur von Menschen Hand...

Ich kann mir gut vorstellen das es genügend Helle Köpfe gibt,
die diesen Virus "lesen" können bzw so modifizieren können,
das er genau das selbe tut, halt nur umgekehrt...
Das wird doch tagtäglich so gemacht,
User senden Viren an XY, diese lesen ihn aus und
entwickeln nen Gegenvirus bzw wie in meinem Fall benötigt,
DecrypterProgramme...

Oder versteh ich deine Aussagen falsch?

Zitat:

Zitat von uni87

Ich habe mir die Nacht ALLE Seiten durchgelesen!!!
Daraufhin die angebotenen Programme ausprobiert,
ohne Erfolg, was darauf schließen lässt, wie bei anderen auch,
das es sich um eine neue Verschlüssellungvariante handelt...

Wenn du wirklich ALLE Seiten (alleine nur in diesem Thread) gelesen hättest, dann hättest du die Programme gar nicht ausprobieren brauchen, denn dann hättest du vorher schon gewußt, dass diese bei diesem Schädling nichts bewirken können.
Wie sagt man so schön: Lesen bildet! (Allerdings auch nur dann, wenn man es auch wirklich tut, und nicht nur vorgibt, es getan zu haben.)

Zitat:

Zitat von sonshice

Wenn du wirklich ALLE Seiten (alleine nur in diesem Thread) gelesen hättest, dann hättest du die Programme gar nicht ausprobieren brauchen, denn dann hättest du vorher schon gewußt, dass diese bei diesem Schädling nichts bewirken können.
Wie sagt man so schön: Lesen bildet! (Allerdings auch nur dann, wenn man es auch wirklich tut, und nicht nur vorgibt, es getan zu haben.)

Woher soll ich den vorher wissen,
das es sich bei meinem Virus um den neuen handelt???
Hätte doch noch genauso gut einer der alten Varianten sein können...

Ich habe weder um Hilfe noch sonst was gebeten,
wollte mein Geschehen einfach nur Teilen und
da ich ein wohl Aktuelles Virenproblem geschildert habe,
werden die neuen Leser/Betroffenen nun besser Bescheid wissen,
hat doch auch was

Hallo zusammen,
ich muß auch kurz was zum Thema beitragen...
Ich habe gestern morgen auch diese dämliche Email von Flirt Fever bekommen und daraufhin unüberlegter Weise den Anhang entpackt. Nachdem ich dann hier gestern den ganzen Tag mit Beiträgen lesen verbracht habe, habe ich heute morgen im abgesicherten Modus den Malwarebytes Anti-Malware drüberlaufen lassen und zwei betroffene in die Quarantäne geschickt. Danach ebenfalls im abgesicherten Zustand Avira Anti Vir und Sybot Search and Destroy drüber und neu gestartet. Alles noch da, nix verschlüsselt.. ob das reicht?

@ uni87
Du hast nichts Neues geschildert. Dieser Thread basiert seit über 3 Wochen auf dem Trojaner, der die Dateien in diesen wirren Buchstabensalat verwandelt und in diesem Thread steht mehrfach (auch verlinkt), dass es kein Tool gibt, um das rückgängig machen zu können und wahrscheinlich auch nie geben wird.

Wenn du also auch diesen Buchstabensalat hast, dann kannst du davon ausgehen, dass dich ebenfalls diese Variante erwischt hat, dann liest man etwas weiter und stellt schnell fest, dass die vorhandenen Tools nichts bewirken können. Das hast du offensichtlich nicht getan, willst uns hier aber jetzt weismachen, du hättest etwas Aktuelles entdeckt (lol).

Zitat:

Zitat von uni87

Woher soll ich den vorher wissen,
das es sich bei meinem Virus um den neuen handelt???
Hätte doch noch genauso gut einer der alten Varianten sein können...

Na das ist doch offensichtlich.
Du schreibst selbst, wie Deine verhunzten dateien aussehen.

Orginal: IMAG0313(jpg)
Verschlüsselt: pNxuVUadTXTpjg

Sieht das etwas so aus?

locked-IMAGE0313.jpg.hzrf

Es steht hier bis zum Erbrechen, dass die Tools nur bei locked. Dateien helfen.
Für die neue Variante gibt bes Umwege, aber das steht hier auch bis zum Abwinken.

Wo ist das Probelm???????????

Ich habe die Programme ausprobiert,
festgestellt das sie nicht gehen
und mir dann den Rest durchgelesen,
festgestellt es ist einer der neuen...

Damit sich keiner nochmal alle Seiten durchlesen muss,
und die Mail nun mal aktuell war, hab ichs einfach nochmal
geschildert...

Jeder neue undbelesene wird sich drüber freuen