gibte eigentlich shcon was richtung .doc oder .xls?
mann müsste halt erstmal rausfinden, was ursprünglich welceh datei war;-)

Hallo, auch ich hab mich gestern mit dem neuen verschlüsselungs-trojaner infiziert über eine email wo ich eine deckenleuchte für über 5000 euro gekauft haben soll um nach zu schauen was das ist habe ich den zip ordner geöffnet und dann absturz. dank kaspersky rescue cd konnte ich das system wieder herstellen aber alle dateien wie bilder, videos und okumente sind dicht, alle möglichkeiten ausprobiert-nix meine dateien sehen so aus LIQqxrlDsVdpEvQ
wenn man mir helfen kann bitte schnell antworten da meine daten alle heilig sind

@benton18,
da gibt es Recover for Office, ein modulares System.
Dabei ist auch Recover for Excel.
Das Packet ist aber so teuer, dass es sich wahrscheinlich nur für Firmen lohnt, wobei aber auch bei dem Tool Abstriche gemacht werden müssen.

Recover for PDF habe ich ja schon hier beschrieben.

Ich habe auch Recover for Excel und Recover for Word ausprobiert.
Bei Excel stellte sich das so dar:

Original:


Recoverdatei:


Du siehst, Texte in Zellen werden nicht erkannt und OLE-Objekte sicher auch nicht.
Aber, die Zahlen passen zumindest und Berechnungsformeln passen auch.

Bei Recover for Word war das Ergebnis hundsmiserabel, keine Formatierung, keine eingebetteten Objekte.
Lediglich reiner Text, also ASCII, war einigermaßen zu rekonstruieren.
Meines Erachtens lohn dieses Modul nicht.

Volker

Zitat:

Zitat von willi20106

... alle möglichkeiten ausprobiert-nix meine dateien sehen so aus LIQqxrlDsVdpEvQ
:

@willi20106,
alle Möglichkeiten?
Zähle mal auf, was Du probiert hast.

Volker

Hallo nochmal,

entweder habe ich es überlesen oder es ist noch keiner darauf eingegangen.

Im Anhang habe ich eine Datei (.doc) die Hieroglyphen beinhaltet.
Der Rechner wurde vor ca. 3 wochen befallen. XP!

Gibt es dafür eine Lösung?

Sorry falls ich es überlesen habe!!!

Gruß Rainer

Zitat:

Zitat von kurai

Hallo nochmal,

entweder habe ich es überlesen oder es ist noch keiner darauf eingegangen.

Im Anhang habe ich eine Datei (.doc) die Hieroglyphen beinhaltet.
Der Rechner wurde vor ca. 3 wochen befallen. XP!

Gibt es dafür eine Lösung?

Sorry falls ich es überlesen habe!!!

Gruß Rainer

Hallo Rainer,
leider nein.



Volker

Ich habe heute auch einen Rechner mit der neuen Verschlüsselungsvariante des Trojaners bekommen. Ein Mitarbeiter bei uns war so unvorsichtig den Anhang einer Mail zu öffnen. Da auf diesem Rechner wirklich wichtige Dateien betroffen sind, habe ich mich nach intensiver Recherche hier im Forum und anderen dazu entschlossen ein Wiederhestellungstool zu benutzen, da es so aussieht, als wenn die Dateien nach der Verschlüsselung einfach gelöscht werden ohne in dem "Windows-Mülleimer" zu landen. Ich benutze TestDisk (Überprüfung der Partition und deren Wiederherstellung) und PhotoRec (Dateiwiederherstellung) von CGSecurity. Beides ist open source -> Kostenlos und hat mir schon große Dienste erwiesen. Vom Programmnamen PhotoRec nicht täuschen lassen, es können damit alle Dateien wiederhergestellt werden. Das wirklich gute, es gibt eine Deutsche Beschreibung und Hilfe. Beides kann unter www.cgsecurity.org heruntergeladen werden.

@didi63

echt jetzt ? also auch daten wie music oder bilder können hergestellt werden ?

ich glaube es gibt 2 arten von trojaner verschlüsserungen : einmal das mit der endung locked oder so und einmal dieses : AjhjhdaHyxbvbyb ohne endung

funktionieren die open source programme auch auf diesen beiden verschlüsselungsarten ???

Auch ich bin von diesem Trojaner betroffen.
Bekam eine Mail einer einschlägigen Website inclusive eines Anhangs. Muss aus Versehen diesen Anhang geöffnet haben
Durch Zufall habe ich von eurem Forum erfahren und euch auch schon 2 Mails mit den besagten Anhängen zugeschickt.
Wäre echt toll, wenn ihr mir helfen könntet.
Vielen Dank

Nur um das klar zu stellen, es werden nicht die verschlüsselten Dateien entschlüsselt, sondern gelöschte Dateien wiederhergestellt. Das Wiederherstellungsprogramm PhotoRec kann dabei zwar DateiTypen erkennen, aber nicht den Dateinamen. Es wird ein neuer Dateiname generiert. Praktisches Beispiel:
Die Datei Mandant001.mdb wird nach der Verschlüsselung gelöscht und ist auch nicht mehr im Windows-Mülleimer, dann kann PhotoRec die Datei zwar wiederherstellen, sie kann dann aber f0132445ff.mdb heissen.
Also nicht die verschlüsselte Datei wird entschlüsselt, sondern die nach der Verschlüsselung gelöschte Originaldatei wird "undeleted".
Ich habe auf diese Weise schon zwei von fast 400 Dateien wiedergefunden. Ist mühselig, aber das Ergebnis ist unbezahlbar.

Zitat:

Zitat von Didi63

Nur um das klar zu stellen, es werden nicht die verschlüsselten Dateien entschlüsselt, sondern gelöschte Dateien wiederhergestellt.

Um das klar zu stellen.
Der Trojaner löscht keine Datei, er überschreibt lediglich die Daten von 0000h bis 2fffh.
Das macht er On the Fly, also so als ob ich Dir im Vorbeigehen einen Eimer Farbe ins Gesicht schütte und Du musst dann damit durch eine Gesichtskontrolle.

also ich habe versucht so langsam meine ganzen musik dateien wieder herzustellen....es klappt bei 80 % dass man einfach die endung .mp3 dranhängt aber bei den 20 % obwohl es als mp3 wieder hergestellt ist KANN ICH ES NICHT ÖFFNEN UND HÖREN !!!!!!!!!!!!!!! WIESO NICHT ICH WERDE NOCH WAHNSINNIG

wieso klappt es bei den meisten aber bei den ausgerechnet NICHT ?????

Zitat:

Zitat von bobby187

... obwohl es als mp3 wieder hergestellt ist KANN ICH ES NICHT ÖFFNEN UND HÖREN !!!!!!!!!!!!!!! WIESO NICHT ICH WERDE NOCH WAHNSINNIG

wieso klappt es bei den meisten aber bei den ausgerechnet NICHT ?????

Du unterliegst einem Trugschluß, beim bloßen Umbenennen wird nix wiederhergestellt.
Dass die Datei abgespielt wird liegt allein an der Struktur einer MP3-Datei und am Decoder.
Schon mal mit nem anderen Player probiert?

Oder kann es eventuell sein, dass außer MP3s auch andere Dateien in den Ordnern waren, beispielsweise Cover oder M3Us (Titellisten).
Das würde die 20% auch erklären.


Volker

Hallo zusammen,

habe heute auch den ersten Kundenrecher mit so einem Teil bekommen.
Scheint mir wieder eine andere Variante zu sein. Die Kundin hat per google etwas für die Schule gesucht und dann kam diese Meldung der Verschlüsselung. Mir scheint es also so, dass inzwischen das Zeugs auch auf Websites verteilt wird.
Ich habe bisher schon einiges versucht, (abgesicherter Modus geht keiner) der Rechner verhält sich völlig normal, solange er keine Internet Verbindung hat, ist diese wieder hergestellt, kommt sofort wieder das Zahlbildchen.
Kasperskys Rescue Disk hat zwei Sachen erkannt als "Trojan-Dropper.Win32.injektor.fdds". Diese (fdds) Endung konnte ich bisher nirgendwo finden und auf den ersten Blick sieht der Rechner (eigene Dateien) normal aus. Das ganze Ausmaß wird sich sicherlich erst noch zeigen. Kundin hat natürlich auch keine Sicherung gemacht und es gibt ja bald Zeugnise ;-)

Gefunden wurde (im User Profil unter lokale Einstellungen)
tpl_0_c.exe
sowie im temp Internetfiles eine index1.htm, die als Trojan-Downloader.JS.Expack.si erkannt wird

Noch habe ich diese Dateien nicht gelöscht, wenn ich diese hochladen soll, dann mache ich das gerne, auch wenn der Rechner ohnehin neu aufgesetzt werden wird.

Sorry,

weiß nicht wie ich das wieder angestellt habe...
Könnte ein Mod den Post bitte ans Ende setzten, sonst ließt den ja keiner mehr, Danke

hxxp://www.trojaner-board.de/115183-neue-verschluesselungs-trojaner-variante-umlauf.html#post845874

@Toschwil,
was ist denn mit den eigenen Dateien, lassen die sich normal öffnen oder nicht?
Das sieht nicht nach unserem Spezi aus.
Was sagt denn ein Scann mit malwarebytes ?

Volker

Hallo Forum,

seit 5 Tagen bin ich auch in den Fesseln dieses Trojaners. Viele (...) meiner Dateien wurden a la TWVvhvswcmjwsFDS verschlüsselt.
Nachdem ich jetzt seit einigen Tagen mitlese ist mir bei "meinem Trojaner" folgendes aufgefallen :
- Bilder wurden gar nicht verschlüsselt, jedoch alle MP3 (die sich durch Umbenennung .mp3 wieder abspielen lassen) und .doc - und .xls-Dateien.

- die Software Malwarebytes habe ich seitdem mehrfach durch laufen lassen (Intensivscan) und die liest die Dateien aber mit ihrem richtigen Namen (also nicht ZTRFEvbbGZHBBb, sondern mit Elvis Presley - Fever.mp3)

Anscheinend hat der Trojaner bei mir nicht ganze Arbeit geleistet, obwohl der Rechner danach weiterhin am Netz war.
Zum Glück habe ich am Abend vor dem Befall meine Firmendaten gesichert, obwohl ich das (...zu...) selten mache ... den Rechner werde ich mit neuer HDD neu aufsetzen.

Mich würde das Phänomen interessieren, warum Malwarebytes bei allen Dateien (also nicht nur MP3, sondern auch bei .mpg, .doc und .xls) mit dem richtigen Namen scannt und nicht mit der Dateiumbenennung ... ???

Grüße, smart8900