Zitat:

Zitat von Undertaker

Wie sehen denn die verschlüsselten Dateien aus?

Ja der Name der Datein z.b fVXpnLJvGGllAAggU
ohne einer Endung hinten

Zitat:

Zitat von PrinzZ

Hallo Volker,

das habe ich in der Tat aber schaffe das einfach nicht! habe auch das DecryptHelper-0.5.3.exe probiert, habe jedoch keine Originaldatei die verlangt wird.
.
.
.
Ja der Name der Datein z.b fVXpnLJvGGllAAggU
ohne einer Endung hinten

Siehst Du, genau das meine ich mit dem Lesen.
Nix hast Du gelesen.
Du wüsstest sonst, dass der decrypthelper und die anderen Tools nur bei der locked- Version helfen und bei FGHtzDrTVGBnhj unwirksam sind.

Weiterhin hättest Du auch den Reparaturthread für die neue 12k-Version bemerkt und etwas über JPEG-Recovery gelesen.

Das ist alles schon hundertmal beschrieben.
Vielleicht verstehst Du nun, dass einem das ständige Widerkauen zum Halse raushängt, nur weil die Leute zu faul sind, sich über das Machbare für ihr selbstverschuldetes Problem zu informieren und die Lieferung auf dem silbernen Tablett erwarten.

Volker

Hallo Volker,

was erwartest Du? Die Personen, die alles gelesen haben haben die Email mit der Schadsoftware wohl auch nicht richtig gelesen und können keine Zusammenhänge deuten. Hab etwas Mitleid ;-).

Bei mir ist es jetzt auch zu spät. Ich habe vorhin einen Antivir-Scan gestartet und dann das Kiew-Spiel geguckt. Als ich zurück an den Rechner kam, zeigte er nur das Bild von links oben an und nichts ging mehr. Neu gestartet. Das ging. Mein Benutzeravatar war verändert. Ein Blick auf den Desktop: Ettliche Dateien umbenannt! Anxt! Panik! Ich habe nichts wertvolles auf meinem Rechner, aber zwei Sourcecodes die mich viele, viele Arbeitsstunden gekostet haben. Beide noch da und in Originalzustand, gleich gesichert (waren in Programmordnern). Es scheint als wären nur Dateien vom Desktop und den darauf befindlichen Ordnern betroffen.

hier schreibt einer mit MS Security Essentials kriegt man das Problem in den Griff?! Das versuche ich gerade. Wird die Nacht durchlaufen.

Was mich interessieren würde:
-Wird der Troj noch weiter um sich greifen, sprich mehr Dateien massakrieren?
-Wird irgendwann auch der Punkt erreicht, wo sich das System nicht mehr kontrollieren lässt? Also im Moment kann ich noch surfen, Programme starten, usw... aber später?

Hab übrigens XP 32 Bit. An eine zwielichtige Mail kann ich mich nicht erinnern. Ich surfe allerdings öfter auf, sagen wir mal: Seiten mit netten Filmchen . Ist bekannt wie viel Zeit von der Infektion bis zum Aktivwerden des Trojaners vergeht?

Zitat:

Zitat von Undertaker

Siehst Du, genau das meine ich mit dem Lesen.
Nix hast Du gelesen.
Du wüsstest sonst, dass der decrypthelper und die anderen Tools nur bei der locked- Version helfen und bei FGHtzDrTVGBnhj unwirksam sind.

Weiterhin hättest Du auch den Reparaturthread für die neue 12k-Version bemerkt und etwas über JPEG-Recovery gelesen.

Das ist alles schon hundertmal beschrieben.
Vielleicht verstehst Du nun, dass einem das ständige Widerkauen zum Halse raushängt, nur weil die Leute zu faul sind, sich über das Machbare für ihr selbstverschuldetes Problem zu informieren und die Lieferung auf dem silbernen Tablett erwarten.

Volker

Zitat:

Zitat von Sven S.

Hallo Volker,

was erwartest Du? Die Personen, die alles gelesen haben haben die Email mit der Schadsoftware wohl auch nicht richtig gelesen und können keine Zusammenhänge deuten. Hab etwas Mitleid ;-).

Hi Leute,
ich bin neu hier. Es liegt mir eigentlich total fern, mich gleich mit dem ersten Beitrag zu beschweren, denn ich finde es ganz große Klasse, dass es hier Menschen gibt, die ihre Zeit dafür opfern Lösungen für Probleme zu finden, die Andere durch ihr unbedachtes Handeln fabriziert haben.

Aber wenn ich solche Antworten lese wie von Volker oder Sven, dann muss ich ehrlich gestehen, dass ich mich schon gar nicht mehr traue mein Problem zu schildern.

Mein PC wurde auch von diesem scheiß Trojaner befallen und ich sitzte hier seit mehr als 6 Stunden - lese das Forum rauf und runter - habe sämtliche Tools ausprobiert - habe das Internet nach weiteren Möglichkeiten durchforstet - alles leider ohne Erfolg. Meine Daten bleiben verschlüsselt.

Aber keine Sorge, ich werde nicht alles nochmal widerkäuen, ich fasse mich in Geduld und hoffe, dass es demnächst auch ne Lösung für das " FGHtzDrTVGBnhj" Problem gefunden wird, denn mir ist mit einer Formatierung und Neuaufspielen des Betriebssystems nicht geholfen. Ich brauche meine Daten zurück !!

Von mir aus kann mein Post jetzt auch wieder sanft hinaus begleitet werden, aber ich musste es einfach los werden. Sorry

Zitat:

Zitat von ShitHappens

Ich surfe allerdings öfter auf, sagen wir mal: Seiten mit netten Filmchen . Ist bekannt wie viel Zeit von der Infektion bis zum Aktivwerden des Trojaners vergeht?

Der Trojaner ist in Sekunden fertig, er überschreibt je nach Version nur ca, 3 kB der Dateien. Selbst bei tausenden Dateien ist dank moderner schneller Platten das in kürzester Zeit erledigt. Zur Zeit sind die Dateien ohne folgenden Tipp unrettbar.
Solltest Du Volumenschattenkopien schon immer aktiviert haben ist nach einer Desinfektion Shadow Explorer vielleicht für dich eine Hilfe.

Zu den Seiten mit netten Filmchen: überlege dir einen etwas sichereren Browser zu benutzen, z.b. den neuen Chrome mit Sandbox Technik. Oder eine virtuelle Maschine, ohne Werbung machen zu wollen, in der letzten com! Zeitschrift, 7.2012 steht beschrieben wie man die handhabt.
Der Firefox ist anfällig, habe ich schon genug infizierte Laptops in der Hand gehabt.

Hi,

ich habe mal eine technische Frage. Warum ist es denn so viel einfacher eine durch diesen Trojaner verschlüsselte JPEG-Datei wiederherzustellen, als eine DOC-Datei?

Danke euch schon mal für meine Erleuchtung.

EDIT: Kann man eigentlich noch irgendwie nachvollziehen (ohne die Original Datei zu kennen) um welchen Dateityp es sich handelt?

Gruß

Zitat:

Zitat von Ansasafi

... ich sitzte hier seit mehr als 6 Stunden - lese das Forum rauf und runter - habe sämtliche Tools ausprobiert - habe das Internet nach weiteren Möglichkeiten durchforstet...

moin moin Ansasafi,
genau das unterscheidet Dich von den von mir angesprochenen Betroffenen.

Zitat:

- alles leider ohne Erfolg. Meine Daten bleiben verschlüsselt.
...
ich fasse mich in Geduld und hoffe, dass es demnächst auch ne Lösung für das " FGHtzDrTVGBnhj" Problem gefunden wird

Auch hier sieht man wieder den Unterschied.
Du weißt dass das "Problem" einer universellen Entschlüsselung für diese Art der Dateiverschlüsselung besteht und nicht durch Dateipaare a la locked- zu lösen ist.

Vielleicht kannst Du auch nachvollziehen, dass einem manchmal die Hutschnur platzt, wenn man schlimmstenfalls angemacht und beschimpft wird, dass man Unsinn faselt, weil die Tools nicht helfen.

Auch ist es nicht nachvollziehbar, dass viele das Angebot der individuellen Hilfe nicht nutzen.
Einzige Erklärung für mich, sie wissen es nicht, weil sie es nicht nachlesen.

Für die FGHtzDrTVGBnhj Dateien gibt es ja zumindest Teilerfolge, abhängig von der Dateiart.
So sind MP3s ohne Probleme zu retten und für viele JPGs gilt das gleiche.
Der Shadow-Explorer ist ja auch ein mächtiges Werkzeug, solange die Option der Schattenkopien aktiv war.

Gruß Volker

Hallo Leute,

ich bin neu hier aber ein "alter" Forumserfahrener.
Also ist stelle keine fragen ohne vorher zu lesen!
Egal, Themawechsel

Seit 2 Tagen bin ich in diesem Thema am lesen und halte die Füße still.
Möchte aber auch etwas beitragen können:

Habe gerade eine Mailfrische Mail erhalten die ich naturlich nicht geöffnet habe!



Sehr geehrter Rainer Kuck,

Sicher ist es Ihnen entgangen, dass die Zahlungsfrist der nachfolgenden Rechnung abgelaufen ist. Auf unsere Mahnungsschreiben haben Sie ebenfalls nicht reagiert.

Artikel: Nikon IDK CD
Artikelnummer: 3478090118981
Stück: 2
Zwischensumme: 544,58 Euro

Aufgrund zusätzlicher Kosten anlässlich des Ausgleichs von Gebührenforderungen erheben wir Mahngebühren und Einschreibegebühren in der Höhe von 10.- Euro inkl. MwSt.

Wir bitten Sie, den ausstehenden Rechnungsbetrag in den nächsten 7 Tagen zu überweisen. Ansonsten sehen wir uns leider gezwungen, ein Betreibungsverfahren in die Wege zu leiten und ein Inkasso Unternehmen für die weiteren Massnahmen zu beauftragen.

Sollte sich dieses Mahnungsschreiben mit der Bezahlung des ausstehenden Betrags zeitlich überschnitten haben, so betrachten Sie dieses Schreiben bitte als gegenstandslos.

Beilagen:
- Zahlschein
- Bestellung

Mit freundlichen Grüßen

FOTO THUN GMBH






Avira hat nichts gefunden!
Bin mir aber sicher das es ein Virus ist!
Wer möchte denn diese schöne Mail zu Testen oder was auch immer haben?
Oder einfach dahin: hxxp://markusg.trojaner-board.de ?

Nichts desto trotz.
Ich habe hier 2 rechner, ein Laptop mit Win7 und ein rechner mit XP.
Das Laptop hat die rhzgdssgj7ikjtr433 Variante erwischt.
Der Rechner hat die Originalnamen und Endungen, doch wenn man eine zB Exeltabelle öffnet stehen da nur Hyroglyphen drin!


Ich vertraue auf die Cracks hier, die sich den Ar... aufreissen um leuten zu helfen die sie gar nicht kennen!
Ganz Herzlichen Dank!

Gruß Rainer

Zitat:

Zitat von icaros

Hi,

ich habe mal eine technische Frage. Warum ist es denn so viel einfacher eine durch diesen Trojaner verschlüsselte JPEG-Datei wiederherzustellen, als eine DOC-Datei?

Danke euch schon mal für meine Erleuchtung.

Hallo icaros,
das liegt am strukturellen Aufbau des jeweiligen Dateityps.
JPGs sind segmentiert, das heißt, zwischen einzelnen Bilddatenpaketen existieren Marker. Den Bilddekoder interessieren nur die Bilddaten nach dem Marker, der Rest ist für ihn uninteressant.
Aus diesem Grunde kann man auch in einem JPG-Bild Informationen verstecken und transportieren, die man nicht sieht und die den Decoder nicht kratzen. Für den Betrachter scheint das ein stinknormales Bild zu sein.
Decoder mit einer hohen Fehlertolleranz können somit noch Datenpackete erkennen und retten.
Nagle mich jetzt nicht im Detail fest, dazu weiß ich darüber zu wenig.

Übrigens gilt sowas ähnliches auch für MP3s, guckst Du hier.

Zitat:

EDIT: Kann man eigentlich noch irgendwie nachvollziehen (ohne die Original Datei zu kennen) um welchen Dateityp es sich handelt?

Da "nur" die ersten 12k der Datei verschlüsselt sind, ist es für Spezialisten sicher möglich, mit einem Hexeditor aus dem Rest der Datei auf das Format zu schließen.
Wenn beispielsweise in regelmäßigen Abständen FF D8 auftaucht, deutet das auf Marker eines JPGs hin.
Für uns Normalsterbliche ist das aber nicht zu erkennen.

Du kannst es testen.
Hänge an alle verschlüsselten Dateien ein .mp3.
Wenn der Player das abspielt, dann war es eine MP3.
Hänge an alle Dateien ein .jpg.
Wenn JPEG-Recovery ein Bild anzeigt, dann war es auch eins.

Gruß Volker

Zitat:

Zitat von kurai

Ich vertraue auf die Cracks hier, die sich den Ar... aufreissen um leuten zu helfen die sie gar nicht kennen!
Ganz Herzlichen Dank!

Gruß Rainer

Hallo Rainer,
Vertrauen ist gut, allein die Fakten sprechen eine andere Sprache.
So sind mittlerweile alle involvierten Coder der Meinung, dass nur eine behördliche Beschlagnahme oder das Hacken der C&C Server mit den Passwörtern Erfolg verspricht.
Inwieweit dann die Zuordnung des Passwortes auf die jeweilige Computer-ID des Betroffenen erfolgt wäre auch noch zu klären.

Die Hoffnung stirbt aber nie.

Gruß Volker

Zitat:

Zitat von ShitHappens

Hab übrigens XP 32 Bit. An eine zwielichtige Mail kann ich mich nicht erinnern. Ich surfe allerdings öfter auf, sagen wir mal: Seiten mit netten Filmchen . Ist bekannt wie viel Zeit von der Infektion bis zum Aktivwerden des Trojaners vergeht?

Ja, dubiose Seiten mit Browser- bzw. Browserplugins-Exploits hatten wir sind bei der nicht-verschlüsselnden Ransomware in dringendem Tatverdacht

Hallo... Ich bin neu hier und habe wie alle das fast gleiche problem... Mein freund bringt mich sonst um da sind soo viele Bilder drauf gewesen...

Ich habe seit gestern echt schiet problem mit meinem Rechner.. Habe ne email im Postfach gehabt Welche mit dem namen meiner Mutter gekommen ist. Dies war/ sollte eine rechung sein und ein anhang mit einer Zip datei war mit dran. die ich leider echt dummer neugieriger weise öffnen wollte. so richtig hatte ich nicht das gefühl das ich das geöffnet hatte..

naja dann hatte ich später als ich den rechner ausstellen wollte dieses Bild welches hier die seite schmückt auf dem rechner..
Habe dann rechner ausgemacht und hatte mir das heute erst angesehen was das genau war, und mit Malwarebytes gelöscht nun habe ich aber wie alle hier das problem das ich absolut KEINE Datein/ bilder lesen kann...

Hallo,
ich habe heute einen Rechner einer Bekannten bekommen. Er wurde gestern infiziert, sie meint von einer Webseite.

Virus ist bereinigt, jedoch bleiben die "verschlüsselten" Dateien.

Mittel Originaldatei und verschlüsstelte Datei vergleichen habe ich versucht den Code zu bestimmen. Erfolglos.

Anschließend habe ich festgestellt, dass die Dateien garnicht verschlüsselt sind. Gibt man den Dateien ihre richtige Endung, kann man sie wieder öffnen.

Leider ist der Dateiname dadurch nicht wiederhergestellt, und es wird schwer bei allen Dateien die richtige Endung herauszufinden.

Gibt es dafür eine Lösung?

[EDIT: Definitiv umbenant wurden .doc .docx .pdf .wma:: Nicht umbenannt wurde .mp3]

[Edit2: In der Registry befindet sich ein Autostarteintrag (run cu) namens ybova.exe. Sofern diese Datei aktiv läuft trägt sie den Registry Eintrag (sich selbst) wieder ein, sobald man ihn löscht]

Zitat:

Zitat von Heike28

Hallo... Ich bin neu hier und habe wie alle das fast gleiche problem... Mein freund bringt mich sonst um da sind soo viele Bilder drauf gewesen...

Ich habe seit gestern echt schiet problem mit meinem Rechner.. Habe ne email im Postfach gehabt Welche mit dem namen meiner Mutter gekommen ist. Dies war/ sollte eine rechung sein und ein anhang mit einer Zip datei war mit dran. die ich leider echt dummer neugieriger weise öffnen wollte. so richtig hatte ich nicht das gefühl das ich das geöffnet hatte..

naja dann hatte ich später als ich den rechner ausstellen wollte dieses Bild welches hier die seite schmückt auf dem rechner..
Habe dann rechner ausgemacht und hatte mir das heute erst angesehen was das genau war, und mit Malwarebytes gelöscht nun habe ich aber wie alle hier das problem das ich absolut KEINE Datein/ bilder lesen kann...

Hast Du Win7 oder Vista gehabt dann besteht vielleicht Hoffnung, wenn der Rechner wieder sauber ist.
Suche Shadow Explorer und schau ob du damit Dateien retten kannst. Es ist z.Z. die einzige Möglichkeit, es gibt noch ein Programm das Bilder z.b. reparieren kann, aber das auch nicht in 100% der Fälle.

Bitte beachte auch das:
hxxp://www.trojaner-board.de/69886-alle-hilfesuchenden-eroeffnung-themas-beachten.html

Hallo Zusammen!

Also meine Email sah so aus:

Sehr geehrter xxxxxxx xxxxxxx,

Sicher ist es Ihnen entgangen, dass die Zahlungsfrist der nachfolgenden Rechnung abgelaufen ist. Auf zwei Erinnerungen haben Sie ebenso nicht reagiert.

Artikel: Lenovo IDK HE
Artikelnummer: 8547001753835
Stück: 4
Summe: 610,98 Euro

Aufgrund zusätzlicher Kosten anlässlich des Ausgleichs von Gebührenforderungen erheben wir Mahngebühren und Einschreibegebühren in der Höhe von 10.- Euro inkl. MwSt.

Wir bitten Sie, den ausstehenden Rechnungsbetrag in den nächsten 7 Tagen zu überweisen. Ansonsten sehen wir uns leider gezwungen, ein Gerichtsverfahren in die Wege zu leiten und ein Inkasso Unternehmen für die weiteren Massnahmen zu beauftragen.

Sollte sich dieses Schreiben mit der Bezahlung des ausstehenden Betrags zeitlich überschnitten haben, so betrachten Sie dieses Schreiben bitte als gegenstandslos.

Beilagen:
- Zahlschein
- Artikel

Mit besten Grüßen

FOTO THUN AG

---------------
Als ich den Anhang geöffnet habe, schlug sofort auch mein Avast free Antivirus an und gab eine "blockiert"-Meldung im popup aus. Allerdings durfte ich mir zweimal den "Trojaner-Willkommensbildschirm" ankucken...
Nach einmaligem Neustart konnte ich keinerlei Probleme feststellen. Ich nutze Opera und das darin integrierte Email-Programm. Wie stelle ich überhaupt fest, welche Dateien infiziert sind?
Es ist ein x64 System.
Den Anhang der Mail versende ich an Markus. Bei mir handelt es sich um eine .zip

Grüße Mathias