Habe in einer vrituellen Maschine ein wenig mit dem Virus gespielt, und wollte sehen was Sandboxie kann. Es kann. Der Virus richtet nichts an in der VM! Muss schon sagen, Sandboxie greift da (noch) recht gut.

Werde künftig denen ich Rechner einrichte das Standardmailprogramm, ob nun Outlook oder Thunderbird & Co. so einrichten das es von Haus aus in der Sandbox läuft. Backuptechniken müssen natürlich angepasst werden - der Virus wird aber vermutlich in der Sandbox die dort dann befindliche Mailerdatenbank verschlüsseln.

Zitat:

es muss doch irgendein tool geben das herausfinden kann was das für daten sind und es quasi rückgängig machen(entschlüsseln) OHNE original datein zu haben so wie die meisten tools das leider verlangen...

Setz dich mal mit Verschlüsselungen auseinander
Nun rate was Sinn und Zweck einer Verschlüsselung ist.
Ohne Schlüssel ist man einfach angeschmiert

deraddi

Du weißt aber schon das manche Malware, sehr "intiligent" programmiert worden ist, so das sie nicht in einener Sandboxie, VM , usw los starten tut. Also dem zu volge merkt diese Malware, ich will in einer sicheren Zone aufgerufen werden, das merke ich -> die Malware, somit startet ich auch nicht.- !!!

So nun das war mein Gedanken gang.

THN

Zitat:

Zitat von TrojanerHunterNEW

deraddi

Du weißt aber schon das manche Malware, sehr "intiligent" programmiert worden ist, so das sie nicht in einener Sandboxie, VM , usw los starten tut. Also dem zu volge merkt diese Malware, ich will in einer sicheren Zone aufgerufen werden, das merke ich -> die Malware, somit startet ich auch nicht.- !!!

So nun das war mein Gedanken gang.

THN

stimme ich dir volkommen zu. Ist aber sogar der Idealfall - Zweck erfüllt weil die Malware nicht startet, keine Infektion, oder?
Speziell in diesem Fall beim Matsnu/Ransom Trojaner ist dem aber nicht so wie einige Analysen hier und auf dem Delphi Board gezeigt haben, er ergreift keine Maßnahmen gegen abgeschottete Umgebungen.

Hallo zusammen.

Jetzt hat es meinen Bruder erwischt, der einen kleinen Landhandel hat. Leider sind auch die Lexware Dateien (Kundendaten, Rechnungen usw.) hinüber, so dass ich echt gespannt bin, ob ich das irgendwie wieder herstellen kann . Letzte Sicherung hat er am 1.1.2012 gemacht ... .

Hat jemand schon was ähnliches erfolgreich wiederherstellen können?

Schöne Grüße.
Rudit

Zitat:

Zitat von rudit

Hallo zusammen.

Jetzt hat es meinen Bruder erwischt, der einen kleinen Landhandel hat. Leider sind auch die Lexware Dateien (Kundendaten, Rechnungen usw.) hinüber, so dass ich echt gespannt bin, ob ich das irgendwie wieder herstellen kann . Letzte Sicherung hat er am 1.1.2012 gemacht ... .

Hat jemand schon was ähnliches erfolgreich wiederherstellen können?

Schöne Grüße.
Rudit

Hallo,

an dieser Stelle würde ich mich mal an Lexware wenden, vielleicht sehen die dort eine Möglichkeit die Daten zu retten. Es ist ja bei den neueren Versionen nur der Anfang der Datei verschlüsselt. Währe auf jeden Fall ein Versuch wert da ja noch Daten vorhanden sind.

Grüße

Liebes Helfer-Team, an dieser Stelle möchte ich mich für Eure Mühe, Eure Geduld und Eure Nerven bedanken. Ihr habt einen wirklich tollen Job gemacht, auch wenn der folgende Beitrag Delphi-PRAXiS - Einzelnen Beitrag anzeigen - Verschlüsselungs-Trojaner, Hilfe benötigt alle Hoffnung schwinden lässt.- Und mir gerade ehrlich gesagt zum Heulen ist! Ich wünsche Euch allen einen schönen Tag und eine angenehme Restwoche. Macht weiter so und lasst Euch von den Verbrechern nicht entmutigen.
Herzlichen Dank,
Christina

gibte eigentlich shcon was richtung .doc oder .xls?
mann müsste halt erstmal rausfinden, was ursprünglich welceh datei war;-)

Hallo nochmal,

entweder habe ich es überlesen oder es ist noch keiner darauf eingegangen.

Im Anhang habe ich eine Datei (.doc) die Hieroglyphen beinhaltet.
Der Rechner wurde vor ca. 3 wochen befallen. XP!

Gibt es dafür eine Lösung?

Sorry falls ich es überlesen habe!!!

Gruß Rainer

Zitat:

Zitat von kurai

Hallo nochmal,

entweder habe ich es überlesen oder es ist noch keiner darauf eingegangen.

Im Anhang habe ich eine Datei (.doc) die Hieroglyphen beinhaltet.
Der Rechner wurde vor ca. 3 wochen befallen. XP!

Gibt es dafür eine Lösung?

Sorry falls ich es überlesen habe!!!

Gruß Rainer

Hallo Rainer,
leider nein.



Volker

Ich habe heute auch einen Rechner mit der neuen Verschlüsselungsvariante des Trojaners bekommen. Ein Mitarbeiter bei uns war so unvorsichtig den Anhang einer Mail zu öffnen. Da auf diesem Rechner wirklich wichtige Dateien betroffen sind, habe ich mich nach intensiver Recherche hier im Forum und anderen dazu entschlossen ein Wiederhestellungstool zu benutzen, da es so aussieht, als wenn die Dateien nach der Verschlüsselung einfach gelöscht werden ohne in dem "Windows-Mülleimer" zu landen. Ich benutze TestDisk (Überprüfung der Partition und deren Wiederherstellung) und PhotoRec (Dateiwiederherstellung) von CGSecurity. Beides ist open source -> Kostenlos und hat mir schon große Dienste erwiesen. Vom Programmnamen PhotoRec nicht täuschen lassen, es können damit alle Dateien wiederhergestellt werden. Das wirklich gute, es gibt eine Deutsche Beschreibung und Hilfe. Beides kann unter www.cgsecurity.org heruntergeladen werden.

@didi63

echt jetzt ? also auch daten wie music oder bilder können hergestellt werden ?

ich glaube es gibt 2 arten von trojaner verschlüsserungen : einmal das mit der endung locked oder so und einmal dieses : AjhjhdaHyxbvbyb ohne endung

funktionieren die open source programme auch auf diesen beiden verschlüsselungsarten ???

Nur um das klar zu stellen, es werden nicht die verschlüsselten Dateien entschlüsselt, sondern gelöschte Dateien wiederhergestellt. Das Wiederherstellungsprogramm PhotoRec kann dabei zwar DateiTypen erkennen, aber nicht den Dateinamen. Es wird ein neuer Dateiname generiert. Praktisches Beispiel:
Die Datei Mandant001.mdb wird nach der Verschlüsselung gelöscht und ist auch nicht mehr im Windows-Mülleimer, dann kann PhotoRec die Datei zwar wiederherstellen, sie kann dann aber f0132445ff.mdb heissen.
Also nicht die verschlüsselte Datei wird entschlüsselt, sondern die nach der Verschlüsselung gelöschte Originaldatei wird "undeleted".
Ich habe auf diese Weise schon zwei von fast 400 Dateien wiedergefunden. Ist mühselig, aber das Ergebnis ist unbezahlbar.

Bei der Bild-Verschlüsselung ist es einwandfrei. Doch leider sind viele
Doc-Dateien befallen. Gibt es da nichts so wie bei den jpg zur Entschlüsselung. Wie es hier beschrieben ist, blicke ich nicht durch zumal
nur eine Exel-Datei angesprochen wird.

Hallo, auch ich hab mich gestern mit dem neuen verschlüsselungs-trojaner infiziert über eine email wo ich eine deckenleuchte für über 5000 euro gekauft haben soll um nach zu schauen was das ist habe ich den zip ordner geöffnet und dann absturz. dank kaspersky rescue cd konnte ich das system wieder herstellen aber alle dateien wie bilder, videos und okumente sind dicht, alle möglichkeiten ausprobiert-nix meine dateien sehen so aus LIQqxrlDsVdpEvQ
wenn man mir helfen kann bitte schnell antworten da meine daten alle heilig sind