hallo leute,

es hat mich jetzt auch erwischt ... gefeiert, gesoffen und noch e-mails checken wollen, war ein riesen fehler!

also ich hab einen anhang geöffnet und da war er dann der bka trojaner - aber die miese version!!!

hatte gerade noch genug hirn meine mobile festplatte abzuhängen, hat sehr viele daten gerettet, leider aber nicht die beiden anderen festplatten.

also erst mal den pc ausgeschaltet und den rausch ausgeschlafen - am nächsten morgen habe ich folgedes gemacht:

pc im abgesicherten modus gestartet und cc-ceaner drüber laufen lassen. hat wohl funktioniert - aber die daten auf D und E waren alle schon verschlüsselt. das habe ich dann im abgesicherten modus gesehen und habe dann von einer "datensicherung" abgesehen (bin mir jetzt aber nicht sicher ob das ein fehler war!!!)

C (system) formatiert und windows neu aufgesetzt
in www ein bisschen die foren durchsucht (unter anderem dieses hier - und es ist das beste, welches ich bisher entdeckt habe, also dickes kompliment dafür!!!) und decodierungssoftware ausprobiert (4 verschiedene - kaspari, antivir, das von markus und noch eines auf englisch) hat aber leider nichts gebracht ...

mein system ist folgendes:

win 7 x86 home premium
c: system
d: hd - daten verschlüsselt
e: hd - daten verschlüsselt
f: hd - stecker gezogen in sehr kurzer zeit sicherlich 15GB verschlüsselt, die anderen 300GB unbeschädigt



meine dateien sehen jetzt folgendermaßen aus:

codierte datei:

xQuOvrQOvNQgJrQOvN --> 5,5mb

originale datei:

George R. R. Martin - Das Lied von Eis und Feuer 11 - 02 --> 5,5mb


ich habe die dateien wie bereits geschrieben mit dem encoder von antivir (und den anderen 3) versucht zu decodieren, folgenden ist passiert:

beide dateien geladen, fehlermeldung "keine passenden paare" --> habe dann die codierte datei umbenannt in "locked-*...*" wieder die selbe fehlermeldung --> habe die codierte datei umbenannt "wie die originaldatei" wieder die selbe fehlermeldung

habe ich dabei etwas falsch gemacht oder sind die programme für die "locked-*.*" variante des BKA-Trojaner geschrieben worden und daher für meinen trojaner wirkungslos?

mein plan ist jetzt folgender:

- NICHT mehr besoffen emais lesen!
- regelmäßig nach updates der decodierungssoftware schauen
- alle daten auf eine externe festplatte sichern und in den schrank legen!!!!!!!!!

hat jemand vielleicht noch einen "geheimtip" den ich versuchen könnte?

die meissten sachen sind nicht nochmal gesichert weil ich sie ja auf einer anderen festplatte als das system hatte (c-system, d,e,f, videos, bewerbung und zeugnisse, hörbücher, spiel usw)- war ein großer fehler ... ich habe einige videos drauf (keine sauereien *ggg* ne videos als ich auf einem kreuzfahrtschiff gearbeitet habe) wäre wirklich scheiße wenn die für immer verloren wären.

bitte tips!!!

gibt jetzt übrigens neue mails.
hier 2 Beispiele.
hier wird genau geguckt, welchen mail provider man nutzt und dafür wird dann passend der betreff gewählt, kann also varieren.
Ihr Email Postfach name@web.de wird entfernt
Sehr geehrte/r name,,
Ihre E-Mail Adresse ist ab nun nicht mehr kostenfrei.
Anbei erhalten Sie die Rechnung für 6 Monate. Dabei sind auch unsere AGBs die
Sie zum Zahlen verpflichten.
Senden Sie sofort den vollständigen Betrag von 316,68 Euro bis zum 30 Juli.
Ihr E-Mail Postfach wird deaktiviert falls keine Überweisung gebucht wird.
Mit freundlichen Grüßen.
Dein Email Kundenbetreuer
Niclas Gross
Betreff: Zahlschein für Ihren E-Mail Postfach
Sehr geehrte/r name,
die von Ihnen genutzte E-Mail Adresse name@provider.de ist ab jetzt
kostenpflichtig.
Im Anhang bekommen Sie die Rechnung für 12 Monate. Dabei sind auch unsere
Geschäftsbedingungen die Sie zur Zahlung verpflichten.
Überweisen Sie umgehend den vollständigen Betrag von 345,98 Euro bis zum 30
Juli.
Ihre E-Mail wird abgeschaltet wenn kein Geldeingang zu verzeichnen ist.
Mit besten Grüßen.
Ihr Postfach Support
Teresa Jäger

wer so was bekommt, bitte an mich, wie das geht steht in meiner signatur.

@NastyNick
Zitat:
hat jemand vielleicht noch einen "geheimtip" den ich versuchen könnte?

Dann gehe ich jetzt mal von aus, das wir wieder nüchtern sind..
Dann sollte es ja nicht so anstrengend sein, die Infos die oben über dem Thread stehen, mal zu Lesen ?
Die sind nämlich echt geheim, und deswegen auch extra GROß über dem Thread aufgeführt, damit sie gänzlich ignoriert werden...

Dann gehe ich jetzt mal von aus, das wir wieder nüchtern sind..
Dann sollte es ja nicht so anstrengend sein, die Infos die oben über dem Thread stehen, mal zu Lesen ?
Die sind nämlich echt geheim, und deswegen auch extra GROß über dem Thread aufgeführt, damit sie gänzlich ignoriert werden...[/QUOTE]



danke der feststellung - ja ich bin wieder nüchtern!!!

ob du das nun glaubst oder nicht, ich habe diese threads gelesen und sogar verstanden.

was mir jetzt noch nicht ganz klar ist, weil meine verschlüsselten dateien keine "locked-*.*" sind, soll ich sie jetzt vergessen und die dinger löschen und dateinen die mir etwas bedeuten einfach in die tonne treten oder gibt es die möglichkeit das ein schlauer kopf für diese art von verschlüsselung eine lösung findet.

versteh mich nicht falsch, ich brauche diese dokumente in den nächsten monaten nicht unbedingt, doch sind da videotagebücher einer 4-monatigen kreuzfahrt dabei, eine erfahrung die ich sicherlich noch im kopf habe. doch die bilder, die stimmung kann man nur nachempfinden wenn man diese aufzeichnungen sieht!

leider bin ich kein crack der sich täglich mit dieser thematik befasst - darum suche ich ja hilfe!!!

in dem fall das es zuviel verlangt ist eine anständige antwort zu bekommen dann frage ich mich ernsthaft warum du dir überhaut die mühe machst und schreibst ... ich war mir jetzt wirklich sicher das ich das problem sehr eindeutig beschrieben habe und auch sämtliche details, wie windows version, betroffene elemente, sogar dateinamen und größen sowie meine bisherigen lösungsversuche aufgezählt habe.

also was soll dieser bescheuert-oberlehrerhafte-ironische tonfall???

wenn das alles ist, mir einen link zu schicken

http://www.trojaner-board.de/115183-...tml#post875745

dann ist mir und sicherlich mehreren hundert anderen opfern damit nicht geholfen!!! Und eines kannst du mir glauben, wir haben den scheiß trojaner nicht mutwillig auf unser system gebracht!

gruß

Zitat:

Zitat von NastyNick

ob du das nun glaubst oder nicht, ich habe diese threads gelesen und sogar verstanden.

OK, dann lass mich nur noch eine Frage stellen, bevor wir diesen Teil vergessen.
Wo steht da, dass man die Dateien der Verschlüsselungsform XCgtzVBNgherjh in locked- umbenennen und dann die Entschlüsselungstools benutzen soll?
Sind die Hinweise so missverständlich geschrieben, dass man sie so deuten kann?
Wenn ja, dann übe konstruktive Kritik und mache einen Vorschlag, wie es besser wäre.

Zitat:

Zitat von NastyNick

was mir jetzt noch nicht ganz klar ist, weil meine verschlüsselten dateien keine "locked-*.*" sind, soll ich sie jetzt vergessen und die dinger löschen und dateinen die mir etwas bedeuten einfach in die tonne treten...

Du hast ja gelesen, was zur Zeit über Schattenkopien, sowie mit Dateien der unterschiedlichen Formate, also MP3, JPG, PDF u.s.w., möglich ist.
Was Du mit denen machst, die zur Zeit nicht wiederherstellbar sind, ist Deine Sache.
Du kannst sie löschen und für immer vergessen oder sichern und auf bessere Tools hoffen.
Du kannst auch nach Tools suchen und selbst Versuche anstellen.
Vielleicht findst Du noch was, was bisher nicht bekannt ist und kannst damit anderen Betroffenen helfen.

Zitat:

Zitat von NastyNick

oder gibt es die möglichkeit das ein schlauer kopf für diese art von verschlüsselung eine lösung findet.

Die Möglichkeit ist zwar äußerst gering aber nicht auszuschließen.
Durch Dein format c:\ sind Deine Chancen einer zukünftigen Wiederherstellung weiter gesunken, da die Datei, die die verschlüsselten Informationen über die Zusammenhänge zwischen Originalnamen-Verschlüsselungsname-Schlüssel enthält, nun durch Dich über den Jordan geschickt wurde.

Zitat:

Zitat von NastyNick

in dem fall das es zuviel verlangt ist eine anständige antwort zu bekommen dann frage ich mich ernsthaft warum du dir überhaut die mühe machst und schreibst ...
also was soll dieser bescheuert-oberlehrerhafte-ironische tonfall???

Dein Problem habe ich wohl verstanden, auch was Du bisher unternommen hast und genau das widerspricht Deiner Aussage, Du hättest die Threads gelesen und verstanden.
Aus diesem Grund war meine Antwort vielleicht gereizt, vielleicht auch bescheuert aber nicht oberlehrerhaft und ironisch.

Volker

Undertaker
2 Dumme ein Gedanke

Zitat:

Zitat von seeadler

Undertaker
2 Dumme ein Gedanke

...oder Seelenverwandschaft.

@ Undertaker
Ich glaube NastyNick hat eher mich damit gemeint...

Aber recht geben muß ich dir, wenn er die Threads gelesen und verstanden hat, ist seine Frage eigentlich komplett überflüssig..


@ NastyNick
Da ich bezweifle, dass du die oberen Threads richtig gelesen habe, und ist mir auch fast egal wie du das verstehst, dann hier nochmal in kurzform was da so steht :
-Dateien mit locked im Namen lassen sich evt. mit diesen Tools noch wiederherstellen.
-Dateien mit nur Kauderwelsch lassen sich im moment nicht über irgendwelche Tools wiederherstellen
Da ich aber immer noch bezweilfe, dass du dies gefunden hast, gebe ich dir auch nochmal die 2 wichtigsten:
http://www.trojaner-board.de/116851-...strojaner.html
und dieser
http://www.trojaner-board.de/114783-...ubersicht.html

Und mehreren andert 100 Opfern wurde genau mit diesen Links schon mehrfach geholfen..

Und
-Was du probieren kannst, wäre, sofern du Windows 7 oder Vista hast, mit ShadowExplorer schauen ob du noch an Daten rankommst.
-Und das du dir diesen Trojaner mutwillig eingefangen hast, hat keiner gesagt.
-Das du in dir aus eigener Dummheit eingefangen hast, dem würde ich zustimmen, das hast du aber auch so geschrieben.
-Was die Links angeht, wenn du dir die 3 Tips anschaust, die oben ÜBER dem Thread stehen, wirst du merken, das alles was Undertaker und ich jetzt geschrieben haben, da drin steht. Inkl. Tips und ggf. weiterführender Links.

-Und ob noch irgendwas kommt, was die neuere Verschlüsselung knackt, steht in den Sternen...

Aber, wie gesagt.. Sthet alles schon des öfteren..
Habs jetzt aber für dich nochmal extra geschrieben, und hoffe du bist mit dieser Antwort nun zufrieden...

Made my Day...

moin moin Peter,
interessante Mitteilung.

Gruß Volker

Zitat:

Zitat von Undertaker

moin moin Peter,
interessante Mitteilung.

Gruß Volker

C:\\Dokumente und Einstellungen\****\Eigene Dateien\****\Mangelanzeige NG Schornstein.pdf
C:\\Dokumente und Einstellungen\****\Eigene Dateien\****\UqGEVjtrDQpOevTNDQpUy

C:\\Dokumente und Einstellungen\****\Eigene Dateien\****\Mengenermittlung Bodenplatte.acp
C:\\Dokumente und Einstellungen\****\Eigene Dateien\****\DQXOsvEfjsnUEfj

C:\\Dokumente und Einstellungen\****\Eigene Dateien\****\Mengenermittlung Bodenplatte.bak
C:\\Dokumente und Einstellungen\****\Eigene Dateien\****\rlQXOEfjtndqxEf

C:\\Dokumente und Einstellungen\****\Eigene Dateien\****\N.G. Mangelanzeige.pdf
C:\\Dokumente und Einstellungen\****\Eigene Dateien\****\tvarDupgsvaNldqGo

C:\\Dokumente und Einstellungen\****\Eigene Dateien\****\Nachtag HA Tür.pdf
C:\\Dokumente und Einstellungen\****\Eigene Dateien\****\qGEVAtndqxosvTrDu

C:\\Dokumente und Einstellungen\****\Eigene Dateien\****\Nordosten.BAK
C:\\Dokumente und Einstellungen\****\Eigene Dateien\****\dqxofjtLUQpOeJTNDu

C:\\Dokumente und Einstellungen\****\Eigene Dateien\****\Nordosten.PLA
C:\\Dokumente und Einstellungen\****\Eigene Dateien\****\yxofLUqxEVgeJaNDuX

C:\\Dokumente und Einstellungen\****\Eigene Dateien\****\Nordosten_autosave.BAK
C:\\Dokumente und Einstellungen\****\Eigene Dateien\****\OevTrlsnUqGEtnd

C:\\Dokumente und Einstellungen\****\Eigene Dateien\****\Nordosten_autosave.PLA
C:\\Dokumente und Einstellungen\****\Eigene Dateien\****\TNDupOaNluXgyxofjt

C:\\Dokumente und Einstellungen\****\Eigene Dateien\****\NT Grundstückszufahrt.pdf
C:\\Dokumente und Einstellungen\****\Eigene Dateien\****\evaNltndyxofjt

C:\\Dokumente und Einstellungen\****\Eigene Dateien\****\Plan Aussparungen.acp
C:\\Dokumente und Einstellungen\****\Eigene Dateien\****\TNlQXOTrlupgyxE

C:\\Dokumente und Einstellungen\****\Eigene Dateien\****\Prüfauftrag Meyer.pdf
C:\\Dokumente und Einstellungen\****\Eigene Dateien\****\AsLUyGEVjsnUQXgev

so sieht die Txt-Datei dann aus. Somit kann man zumindest schon die Namen rekonstruieren.

Gruß Peter

Moin auch ich habe so ne mail bekommen und passe schon immer auf wenn solche uminösen Mails ein anhang haben wenn ich alle mails die ich von verschiedenen firmen denen ich angeblich geld schulde wäre das ein betrag von gut und gerne 10k Euro den ich allen firmen angeblich schulde da merkt man diese trojaner sind nur noch schlimm geworden unbekannte wollen sich an unschuldige bereichern

Zitat:

Verehrter E-Mail Benutzer Pascal Richter,

die von Ihnen genutzte E-Mail Adresse wird ab sofort nicht mehr kostenfrei.
Anbei erhalten Sie die Abrechnung für 8 Monate. Anbei sind auch unsere AGBs die Sie zum Zahlen verpflichten.

Senden Sie sofort den vollständigen Betrag von 189,73 Euro bis zum 31 Juli.
Ihr E-Mail Postfach wird gelöscht falls kein Geldeingang gebucht wird.

Mit freundlichen Grüßen.

Dein Email Kundenbetreuer
Franz Schäfer

solche leute die tojaner per mail verschicken gehören in einen sack gesteckt und man trifft nie den falschen

gibts auch ne lösung für dummis.....mein gott ich hab alles versucht aber nichts klappt
kenn mich da zwinig aus und mach glaub alles nur noch schlimmer

Zitat:

Zitat von Briana

gibts auch ne lösung für dummis.....mein gott ich hab alles versucht aber nichts klappt
kenn mich da zwinig aus und mach glaub alles nur noch schlimmer

Auch an dich..
Es steht alles oben ON TOP über dem Thread was du machen kannst..
Wenn nix klappt, kannst nur abwarten und Tee trinken ob jemals nochmals ne Lösungen kommen wird...

Hi zusammen,
haben hier einen Kunden mit dem gleichen Problem, also den verschlüsselten Dateien ohne locked-.
Wir haben den Rechner jetzt bereits komplett neu installiert, natürlich nicht ohne vorher eine Kopie der verschlüsselten Daten zu ziehen. Der Kunde kann nun erstmal wieder auf seinem PC arbeiten.
Allerdings hat ihm das Virus zusätzlich zum Buhl-Kaufmann (auf D:!!!) auch die entsprechenden Kaufmann-Sicherungen verschlüsselt. Sicherungen auf einen USB-Stick oder ähnlichem hat er (natürlich) nicht gemacht...
Da wir seinerzeit jede Menge Anpassungen an diesem System für ihn vorgenommen hatten (Druckformulare, Datanorm-Importe mit Strukturanpassungen usw.) wäre es schon toll, wenn wir irgendwann diese ein, zwei Sicherungsdateien wenigstens wieder entschlüsseln könnten.
Das hat sicherlich ein, zwei Monate Zeit aber es würde uns halt helfen, wenn es klappte.

Die 8 Entschlüsselungsprogramme haben nicht gegriffen, Volumenschattenkopien sind wohl leider keine vorhanden.

Ich könnte Euch, wenn Ihr möchtet, eine saubere Datei und deren verschlüsseltes Gegenstück schicken.

Denkt Ihr da geht noch was?

Danke Euch (und Riesen-Applaus für Eure Hammer-Arbeit!!!)
Sascha

@DJ_Paulchen
solche dubiosen mails immer an uns weiterleiten bitte