Zitat:

Zitat von Ice2000

Hallo
war jetzt schon länger nicht mehr on
gibt es mittlerweile ein programm zur entschüsselung von datein die so verschüsselt sind: dhfjfiehfjsdbfi
danke Gruß Ice

Ich habe bei meinen "verschlüsselten" Dateien mal mit Notepad nachgesehen, um was es sich handelt. Danach umbenannt und den korrekten Dateityp zugewiesen und siehe da: Ich konnte die Dateien wieder öffnen, egal ob excel, elfo, word, pdf usw.

Bitte versucht das mal und gebt Rückmeldung.

Zitat:

Zitat von hm123de

Ich habe bei meinen "verschlüsselten" Dateien mal mit Notepad nachgesehen, um was es sich handelt. Danach umbenannt und den korrekten Dateityp zugewiesen und siehe da: Ich konnte die Dateien wieder öffnen, egal ob excel, elfo, word, pdf usw.

Dann hast du nicht den Trojaner, der verschlüsselt.
Wenn du z.B. eine pdf-Datei mit dem Hex-Editor anschaust, siehst du, wie die beginnt: %PDF-1.4 (je nach Version).
Bei den verschlüsselten Versionen steht nur Datenmüll drin; wenn ich auch nur das erste Byte durch ein Leerzeichen ersetze, ist es keine konforme pdf-Datei mehr.

Ähh, Außerdem: Notepad zeigt (unter XP) bei pdf-Dateien eh nur Datenmüll an; daraus kann man nichtmal den Dateitypen ablesen.

Joh

Hallo,

habe mir ebenfalls den o.g. Trojaner eingefangen. War mir nicht bewusst, dass meine Dateien durch den Trojaner verschlüsselt sind und habe einfach alle wichtigen Dateien (Dokumente und Bilder) im abgesicherten Modus auf einen USB-Stick gezogen und anschließend die Festplatte formatiert.
Nachdem ich die Neuinstallation von Windows 7 abgeschlossen hatte, habe ich den Stick angeschlossen um die Daten wieder auf meinen PC zu ziehen. Erst jetzt bemerkte ich, dass die Dateien (Dokumente) nicht mehr zu öffnen sind. Bilder jedoch schon. Da ich die wichtigsten Dokumente schon vor der Infizierung auf einem anderen Stick gesichert hatte und im wesentlichen nur die Fotos retten möchte ist nun meine Frage: Sind die Daten, die ich auf den Stick gezogen habe alle ,,verseucht'' oder einfach nur nicht mehr zu öffnen? Kann ich mir die Bilder einfach vom Stick ziehen ohne mir weitere Sorgen machen zu müssen? O.g. Programme zeigen mir auch keine schädliche Software an.

Vorab vielen Dank für eure Hilfe!

Hallo,

Zitat:

Zitat von thalon05

Hallo an Alle,also ich verfolge schon seit mehreren Tagen dieses Forum und habe mich heute registriet.
Bei mir war es auch so,wie hier schon 1000mal beschrieben. Trojaner eingefangen,mit ESET davongejagd,Dateien verschlüsselt.
Meine Frage ist,ob es eine Möglichkeit gibt, von Dateien das Erstellungsdatum zu ändern,da bei den verschlüsselten Dateien folgendes Datum auftaucht:
13.Februar 1601 9:28:18. Es ist zwar schon 2mal erwähnt worden,aber niemand
ist weiter darauf eingegangen.Desweiteren ist mir aufgefallen,das bei diesen Dateien folgende oder ähnliche Eintragungen vorhanden sind:
Unter Eigenschaften-Sicherheit sieht man unter Gruppen-oder Benutzernamen
sowas wie S-1-5-21-1614895754-1958367476-839522115-1004.Vielleicht könnt
ihr ja was damit anfangen.Ich benutze Win 7 Ultimate 32bit. Das oben erwähnte
betrifft übrigens nur Dateien, deren Namen original geblieben sind.
Gruss Rainer

Das Dateidatum und die Uhrzeit bekommst Du auf der Kommandozeile mit folgendem Befehl geändert:

copy *.* +

Hierzu mußt Du in der Kommandozeile in das Verzeichnis wechseln, in dem sich die entsprechenden Dateien befinden. Mit dem Befehl werden "ALLE" Dateien in dem Verzeichnis mit dem aktuellen Datum und der aktuellen Uhrzeit versehen.

S-1-5-21 ist der eindeutige windowsinterne Schlüssel/Bezeichner... für deinen Benutzer.
Genaueres dazu siehe hier: hxxp://de.wikipedia.org/wiki/Security_Identifier

Stephan

Moin zusammen!

Ich reihe mich ein in die Liste der Betroffenen:

Naja, eher passiv, da ich die Daten von Jemandem retten möchte; selbst blieb ich bisher verschont.

Ich arbeite an einem der mit

Version 1.150.1
Dateien werden verschlüsselt
keine Umbenennung mehr


betroffen ist. Naja, zum Glück keine Namensverschlüsselung, was?

Jedoch kann bis dato keines der Tools erfolgreich entschlüsseln, ich werde heute zumindest für die Bilder die JPEG Recovery Tools testen.

Bis dahin und überhaupt:

Toi toi toi bei der Entwicklung einer Decrypter-Lösung!

Grüße aus MD

Jens

@alle:

So wie es aussieht gibt es was den Verschlüsselungs-Trojaner angeht keine Hoffnung mehr:

Delphi-PRAXiS - Einzelnen Beitrag anzeigen - Verschlüsselungs-Trojaner, Hilfe benötigt

Ich möchte hiermit die Administratoren bitten, das ab jetzt auch offen so zu kommunizieren, da es keinen Sinn macht, hier weiter Hoffnung zu Schüren, ohne dass es Aussicht auf ein Entschlüsselungs-Tool gibt.

Die Analyse von Marcu stimmt mit meinen Annahmen überein und ich denke, eine Zusammenfassung mit Hinweisen zu ShadowCopy und sonstigen Reparaturmaßnahmen sollte als sticky gesetzt werden.

schon sonderbar. Kann es sein, dass es mehrere Versionen dieses Trojaners gibt. Ich hatte ansonsten genau die selben Symptome: Indentischer Sperr-Bildschirm ("Ucash"), denselben Buchstabensalat bei den Dateinamen. Umbenennung fast aller Dokumente unter "Eigene Dokumente" (außer JPG und Videos). Trotzdem kann ich, nachdem ich den korrekten Dateityp identifiziert und wieder zugewiesen habe, die Dateien wieder öffnen. Soll ich mal ein Dateimuster schicken? Leider habe ich die sch... E-Mail nicht mehr. Es war die bekannte "Flirt-Fever"-Mahnung.

Zitat:

Zitat von pcnberlin

@alle:

So wie es aussieht gibt es was den Verschlüsselungs-Trojaner angeht keine Hoffnung mehr:

Delphi-PRAXiS - Einzelnen Beitrag anzeigen - Verschlüsselungs-Trojaner, Hilfe benötigt

Ich möchte hiermit die Administratoren bitten, das ab jetzt auch offen so zu kommunizieren, da es keinen Sinn macht, hier weiter Hoffnung zu Schüren, ohne dass es Aussicht auf ein Entschlüsselungs-Tool gibt.

Tja wen dem so ist Kann man wohl nix machen ca 900 GB an Daten für die tonne immerhin konte ich mit JPEG Recovery 95% meiner bilder Wiederherstellen.

An der stelle Möchte ich Meinen Dank an alle ausprechen die es sich zur aufgabe gemacht haben den opfern zu helfen , Macht weiter so Vielleicht findet ihr ja irgendwan doch noch eine lösung !

Gruß Marcel

Ich habe den Tronjaner auf meinem Rechner
von der flirt-fever.de email.

Diese habe ich aber gelöscht. Gibt es irgendwie eine Chance meine Daten zu sichern.

Sorry, im Intenet surfen bekomme ich hin- aber son Technik schnick schnack ist mir zu hoch

Daher falls es eine Möglichkeit gibt, bitte auf eine gaanz einfache Art erklären.

Hallo,
habe mir leider auch diesen Müll auf dem Laptop eingefangen......... Habe das auch schon mit der CD probiert von meinem Zweit Rechner aus. Allerdings ohne Erfolg. Der Monitor bleibt schwarz........ Ohne CD fährt er hoch und das Bild kommt wieder........

Wer kann mir da weiter helfen????

Ich verfolge die Beiträge hier nunmehr seit einem Monat, denn ein Kunde von mir ist auch betroffen.
Vielleicht habe ich es übersehen, aber ich glaube, es hat sich hier noch niemand gemeldet, der bezahlt hat und dann seine Daten wieder entschlüsseln konnte. Gibt es solche Fälle überhaupt und wenn ja, wäre einer dieser Rechner nicht sehr wertvoll für die Analyse?
Vielleicht könnte man sogar einen Rechner absichtlich verschlüsseln lassen, zahlen und dann den Entschlüsselungsvorgang beobachten bzw. analysieren.

Ich kann mir nicht vorstellen, dass die Personen, die zahlen nicht wieder ihre Daten zurückbekommen, denn wäre das nicht der Fall ist schnell bekannt, dass zahlen sinnlos ist. Das kann ja nicht im Interesse des Trojanerprogrammierers sein.
Mann müsste nicht einmal wirklich Geld ausgeben, denn man kann die Zahlung, die meist über Paysafe oder ähnlich läuft, sofort wieder sperren lassen. Zumindest Paysafe kennt die Problematik und bietet Hand dazu.

Vielleicht wäre das ein Ansatz, die Entschlüsselung doch noch zu erreichen.

An dieser Stelle einen Dank an alle, die sich viele Stunden bemüht haben!!

Grüsse, LMS

ich denke der entschlüsselt die daten gar nicht. die paysafe daten werden abgefasst und fertig. was hat der programmierer davon die systeme wiederherzustellen. gar nix

habe heute son nen ganz neuen gefangen. bitdefender kennt den noch nicht. hab schon ans board geschickt

greetz

Ich hab dann mal den vermutlich neuesten auf eine abgeschottete virtuelle Maschine losgelassen. Internet Verbindung hat sie, andere Rechner im Netz kann sie nicht erreichen, es wurden sicherheitshalber alle Freigaben auf meinem aktuellen Arbeits-PC (auch die Administrativen) abgeschaltet.

Nach dem Start hat sich die Datei selber gelöscht, aktiv sollte sie also sein.

Allerdings hat bisher keine Verschlüsselung eingesetzt. Weder im Benutzerordner, noch auf einer zusätzlichen Partition, die ich dafür extra eingebunden habe (natürlich auch virtuell). Vorher wurde ein Haufen Bilder in die entsprechenden Orte kopiert, damit er auch "was zu tun hat".

Selbst nach einem Neustart tut sich bisher noch nichts, auch keine Zahlungsaufforderung, o.ä. erscheint.

Der angemeldete Benutzer hat (eingeschränkte) Adminrechte und das Ganze läuft auf einer Win 7 Pro Version mit integriertem SP1 Update. Allerdings ist (absichtlich) kein einziges zusätzliches Windowsupdate eingespielt worden.

Fragt sich nur, worauf er wartet...

Jedes Mal wenn ich die Antimalware durchlaufen lasse, funzt es nicht mehr ... "Keine Rückmeldung" was kann ich jetzt machen?

@LMH,

das Eingabefeld wurde bereits mit Originaldaten gefüttert, eine Entschlüsselung erfolgte nicht.

Dem Trojaner wurde auch schon soweit in den Rectus geschaut, dass man den Kehlkopf sehen konnte.
Die Funktionsweise und die Routinen sind auch bekannt und nachvollzogen.

Aber was rede ich hier, 5 Posts weiter zurück , #576, hat @pncberlin drei Links eingestellt, die tiefgreifende Informationen über die Arbeitsweise des Trojaners geben.

Volker

Zitat:

Zitat von highend

...

Fragt sich nur, worauf er wartet...

Vielleicht sind die CC Server down?
Zuerst werden drei Verbindungen zum Server aufgebaut und Daten bezogen, dann geht's erst rund.

Volker

Zitat:

Zitat von TypischFrau

Jedes Mal wenn ich die Antimalware durchlaufen lasse, funzt es nicht mehr ... "Keine Rückmeldung" was kann ich jetzt machen?

ganz oben steht unter Hinweise: Thema starten


Folge dem Link und erstelle Dein individuelles Hilfethema.
Dann wird sich jemand um Dich kümmern und an die Hand nehmen.

Hier im Diskussionsforum gehen Deine Hilferufe unter, und eine individuelle Hilfestellung ist unmöglich.

Volker