@Blackvision,
Du hast doch schon ein Thema unter "Plagegeister" gestartet.
Warte doch erst mal ab, bis sich ein Helfer darauf meldet.

Auch wenn Du das Logfile hier noch 10 mal postest, was übrigens nicht den Regeln entspricht, wird das nicht besser.

Mache erstmal mit Deinem Helfer das System sauber.
So wie ich das im Log sehe, ist das noch komlett zu.

Volker

Hallo,

habe nun von einige Membern hier schon Bilder geschickt bekommen.

Stand der Dinge (gilt hier nur für JPGs) :

JPEG Recovery ist noch die beste Lösung, wenn auch Kostenpflichtig. Die Linux-Lösung scheint ähnlich gute Ergebnisse zu bringen, dann wohl auch kostenlos. Habe leider nicht die Zeit das zu testen, evtl. müsste man mit Keks mal ein paar Bilder tauschen und schauen wieviel die jeweiligen Programme wieder herstellen.

User1 : Bei ihm konnte ich mit einem Schwung konnte ich auf Anhieb ca. 200 von 600 Bildern wieder herstellen. (Warte auf Referenz-Bild für den Rest)

User 2 : Hatte selber schon Bilder von 2 Kameras selber wieder hergestellt. Die Bilder von der 3. Kamera waren nicht wieder herzustellen. Daraufhin habe ich es geschafft auch diese 3 Test-Bilder der Kamera mit einem Referenz-Bild von dieser Kamera wieder herzustellen.

User 3 : Konnte nicht wieder hergestellt werden, evtl. mit Referenz-Bild

User 4 : Test-Dateien die geschickt wurden konnten wieder hergestellt werden.

nur ein Auszug Daher müssen alle die sich jetzt noch melden etwas Wartezeit einplanen. Alles eingehenden Bilder werden gespeichert und, wie es die Zeit erlaubt, bearbeitet.

wie man sieht ist JPEG-Recovery nicht DIE Lösung aber es stellt zumindest schon mal einige Bilder wieder her was diverse andere Programme nicht geschafft haben. Den Rest kann man denke ich mal mit Referenz-Bildern (wie bei User 2) wieder herstellen, daran arbeite ich aber noch. Evtl. wir daraus ein kleines Tool welches in Verbindung mit JPEG-Recovery genutzt werden kann. Aber genaueres dann die Tage.

Jetzt müssen wir nur noch Lösungen für Word und Exel-Dateien finden Aber ich kümmer mich jetzt primär um die JPEG-Sachen.

Grüße

Hallo,

wie es ein User ein paar Seiten vorher schon beschrieben hatte, bin ich bei meinen "Kundenarbeiten" ebenso schon zum 2ten oder 3ten Mal auf diese Variante gestoßen die zwar die bekannte "Achtung_lesen.txt" (o.ä.) auf dem Desktop hinterlegt und auf die Verschlüsselung hinweist - eine Verschlüsselung ist dann aber jeweils nirgendwo auf dem Rechner zu entdecken gewesen.

Es könnte sich hierbei also tatsächlich wohl um eine "neue" Variante handeln. Warum diese aber nur so einen nervigen Screenblocker erstellt und nichts sonst verursacht, das weiß ich natürlich (leider nicht).

Nur eine Vermutung:
Das Teil könnte es ja in ein Script-Kiddie Baukastensystem geschafft haben und da so modifizierbar sein das es "keinen Schaden" anrichtet. Denkar?!


Grüße,
Wavetable

@wavetable
ich habe den Befehl "file" auf die verschlüsselten Dateien los gelassen. Als Ergebnis kam "data". Das ganze habe ich, mal wieder, unter Linux gemacht und der Befehl "erkennt" die Dateitypen nicht an Hand der Endung wie ein Windows. Wenn es sich um ein jpg handelt, als Beispiel, wird es angezeigt, auch wenn das irgendwas.jpg hanszuzu heisst.
Aber, es gibt viele Versionen des Trojaners, wenn Dich so etwas befallen hat ist es "nur" halb so wild.

Ich kann eh gerade nicht schlafen, daher möchte ich nochmal einen Gedanken los lassen.
Das Verschlüsseln funktioniert, imho so, dass der Algorithmus die Datei nimmt und in einen Container Packt und das Original "löscht". Modifizier Datum, rechte usw. werden an den Container übergeben.
Da löschen nicht gleich löschen ist, sollten alle Dateien noch auf dem Dateisystem erhalten sein.

Habe ich hier einen falschen Gedankengang?

Gruß
Keks5

Zitat:

Zitat von Keks5

Habe ich hier einen falschen Gedankengang?

Ja, der Vorgang ist etwas anders.
Alle Laufwerke werden nach Datei durchsucht.
Zu jeder gefundenen Datei wird ein neuer, zufälliger Dateiname festgelegt ( Groß- und Kleinbuchstaben) ohne Extension.
Jeder Datei wird ein zufälliger Schlüssel zugeordnet.
Originalname, Zufallsname und Schlüssel zur Datei werden in einer Datenbank zusammengefaßt.
Die ersten 12k der Dateien werden gelesen, der Reihe nach mit dem dazugehörigen Schlüssel + einer immer gleichen Zeichenfolge verschlüsselt und geschrieben. (on the fly, da wird nix gelöscht)

Diese Datenbank wird abschließend 2 mal verschlüsselt und im Temp der Festplatte als Rechner-ID.$02 abgelegt.
Der Schlüssel für diese Datei wird an den C&C Server übertragen und ist auf dem Rechner nicht mehr vorhanden.

Volker

Zitat:

Zitat von Wavetable

Nur eine Vermutung:
Das Teil könnte es ja in ein Script-Kiddie Baukastensystem geschafft haben und da so modifizierbar sein das es "keinen Schaden" anrichtet. Denkar?!

Denkbar ist natürlich Alles.
Ich vermute eher, die Gangster haben Schwierigkeiten mit dem Handling der Server, so dass die Kommunikation nicht gesichert werden kann.
Seit Version 1.140.1 hat sich da nichts grundlegendes geändert.

Volker

Hallo zusammen,

auf dem (XP) PC meiner Mutter hat mein Bruder leider auch diesen netten Trojaner hier erwischt. Gott sei dank, konnte ich dank euren Tipps die Outlook.pst retten und andere Dateien waren zu einem großem Teil Gott sei dank gesichert.

Es gibt ja nicht mehr viel Hoffnung auf Rettung der restlichen nicht gesicherten Dateien, aber ich habe bei mir zuhause mal alle ihre Dateien gesichert. Außerdem werde ich heute noch versuchen die $02 zu kopieren und vielleicht lässt sich ja noch die $03 wiederherstellen.

Nur mal so aus Neugierde, ich kenne mich da ja auch nicht so aus und vielleicht kann mir das jemand erklären. Wieso werden den die original Dateinamen und deren Schlüssel in dieser $02 gespeichert und wieso wird diese $03 verschickt, wenn eine Bezahlung der geforderten Summe eh keine Entschlüsselung auslöst? Zumindest habe ich jetzt schön öfter gehört, dass auch nach eine Bezahlung nichts entschlüsselt wurde.

Dann ist doch eigentlich egal wo was liegt. Und wozu wird dann auch noch mit dem Server kommuniziert? Der Trojaner könnte doch selber auch eine zufällige Verschlüsselung durchführen ohne den Server.

Danke noch an alle die Leute die sich hier wirklich soviel Mühe geben. Ich würde denke ich manchmal echt die Lust verlieren wenn schon mehrfach Erklärtes eins zu eins ein paar Fragen weiter wieder gefragt wird. Helfer stecken verdammt viel Zeit rein und manche Hilfesuchende wollen nicht suchen oder lesen sonder eine Frage stellen und sofort eine passende Antwort. Es sind inzwischen schon über 70 Seiten ja, aber wenn nicht ständig das gleiche gefragt oder gepostet würde wären man jetzt vielleicht bei 40 und das ganze wäre schon sehr viel übersichtlicher.

Zitat:

Zitat von Kabtor

Nur mal so aus Neugierde, ich kenne mich da ja auch nicht so aus und vielleicht kann mir das jemand erklären. Wieso werden den die original Dateinamen und deren Schlüssel in dieser $02 gespeichert und wieso wird diese $03 verschickt, wenn eine Bezahlung der geforderten Summe eh keine Entschlüsselung auslöst? Zumindest habe ich jetzt schön öfter gehört, dass auch nach eine Bezahlung nichts entschlüsselt wurde.

Die genauen Gedankengänge sind nur in den Köpfen der Gangster.
Man kann also nur darüber spekulieren.
Es weist aber einiges darauf hin, dass eine Entschlüsselung tatsächlich vorgesehen ist oder war.

Bei der ersten Kommunikation mit dem C&C Server werden mehrere Bitmaps geladen.
In Kurzform sagen die folgendes aus:
Bild1 -->l Der bekannte Ucash-Hinweis.
Bild2-4 --> ähnlich wie Bild1 aber mit Hinweisen über falschen Ucas-Code (3 Versuche).
Die gehen also davon aus, dass der Betroffene einen gültigen Ucash-Code eingibt.
Ist der Code strukturell in Ordnung erscheint
Bild 5 --> Der Hinweis, dass der Code in Ordnung ist und geprüft wird.
Ist die Prüfung in Ordnung erscheint
Bild6 --> Entschlüsselung läuft, Rechner soll am Netz bleiben.
Insofern macht die .$02 also Sinn.

Ich spekuliere mal:
Die haben selbst nicht damit gerechnet, dass sie die Server nicht richtig im Griff haben.
Vielleicht sind die auch nur highjacked oder die Verschleierung im Web funkt dazwischen, oder oder oder.

Volker