Nur um das klar zu stellen, es werden nicht die verschlüsselten Dateien entschlüsselt, sondern gelöschte Dateien wiederhergestellt. Das Wiederherstellungsprogramm PhotoRec kann dabei zwar DateiTypen erkennen, aber nicht den Dateinamen. Es wird ein neuer Dateiname generiert. Praktisches Beispiel:
Die Datei Mandant001.mdb wird nach der Verschlüsselung gelöscht und ist auch nicht mehr im Windows-Mülleimer, dann kann PhotoRec die Datei zwar wiederherstellen, sie kann dann aber f0132445ff.mdb heissen.
Also nicht die verschlüsselte Datei wird entschlüsselt, sondern die nach der Verschlüsselung gelöschte Originaldatei wird "undeleted".
Ich habe auf diese Weise schon zwei von fast 400 Dateien wiedergefunden. Ist mühselig, aber das Ergebnis ist unbezahlbar.

Zitat:

Zitat von Didi63

Nur um das klar zu stellen, es werden nicht die verschlüsselten Dateien entschlüsselt, sondern gelöschte Dateien wiederhergestellt.

Um das klar zu stellen.
Der Trojaner löscht keine Datei, er überschreibt lediglich die Daten von 0000h bis 2fffh.
Das macht er On the Fly, also so als ob ich Dir im Vorbeigehen einen Eimer Farbe ins Gesicht schütte und Du musst dann damit durch eine Gesichtskontrolle.

also ich habe versucht so langsam meine ganzen musik dateien wieder herzustellen....es klappt bei 80 % dass man einfach die endung .mp3 dranhängt aber bei den 20 % obwohl es als mp3 wieder hergestellt ist KANN ICH ES NICHT ÖFFNEN UND HÖREN !!!!!!!!!!!!!!! WIESO NICHT ICH WERDE NOCH WAHNSINNIG

wieso klappt es bei den meisten aber bei den ausgerechnet NICHT ?????

Zitat:

Zitat von bobby187

... obwohl es als mp3 wieder hergestellt ist KANN ICH ES NICHT ÖFFNEN UND HÖREN !!!!!!!!!!!!!!! WIESO NICHT ICH WERDE NOCH WAHNSINNIG

wieso klappt es bei den meisten aber bei den ausgerechnet NICHT ?????

Du unterliegst einem Trugschluß, beim bloßen Umbenennen wird nix wiederhergestellt.
Dass die Datei abgespielt wird liegt allein an der Struktur einer MP3-Datei und am Decoder.
Schon mal mit nem anderen Player probiert?

Oder kann es eventuell sein, dass außer MP3s auch andere Dateien in den Ordnern waren, beispielsweise Cover oder M3Us (Titellisten).
Das würde die 20% auch erklären.


Volker

Hallo zusammen,

habe heute auch den ersten Kundenrecher mit so einem Teil bekommen.
Scheint mir wieder eine andere Variante zu sein. Die Kundin hat per google etwas für die Schule gesucht und dann kam diese Meldung der Verschlüsselung. Mir scheint es also so, dass inzwischen das Zeugs auch auf Websites verteilt wird.
Ich habe bisher schon einiges versucht, (abgesicherter Modus geht keiner) der Rechner verhält sich völlig normal, solange er keine Internet Verbindung hat, ist diese wieder hergestellt, kommt sofort wieder das Zahlbildchen.
Kasperskys Rescue Disk hat zwei Sachen erkannt als "Trojan-Dropper.Win32.injektor.fdds". Diese (fdds) Endung konnte ich bisher nirgendwo finden und auf den ersten Blick sieht der Rechner (eigene Dateien) normal aus. Das ganze Ausmaß wird sich sicherlich erst noch zeigen. Kundin hat natürlich auch keine Sicherung gemacht und es gibt ja bald Zeugnise ;-)

Gefunden wurde (im User Profil unter lokale Einstellungen)
tpl_0_c.exe
sowie im temp Internetfiles eine index1.htm, die als Trojan-Downloader.JS.Expack.si erkannt wird

Noch habe ich diese Dateien nicht gelöscht, wenn ich diese hochladen soll, dann mache ich das gerne, auch wenn der Rechner ohnehin neu aufgesetzt werden wird.

Sorry,

weiß nicht wie ich das wieder angestellt habe...
Könnte ein Mod den Post bitte ans Ende setzten, sonst ließt den ja keiner mehr, Danke

hxxp://www.trojaner-board.de/115183-neue-verschluesselungs-trojaner-variante-umlauf.html#post845874

Hallo Forum,

seit 5 Tagen bin ich auch in den Fesseln dieses Trojaners. Viele (...) meiner Dateien wurden a la TWVvhvswcmjwsFDS verschlüsselt.
Nachdem ich jetzt seit einigen Tagen mitlese ist mir bei "meinem Trojaner" folgendes aufgefallen :
- Bilder wurden gar nicht verschlüsselt, jedoch alle MP3 (die sich durch Umbenennung .mp3 wieder abspielen lassen) und .doc - und .xls-Dateien.

- die Software Malwarebytes habe ich seitdem mehrfach durch laufen lassen (Intensivscan) und die liest die Dateien aber mit ihrem richtigen Namen (also nicht ZTRFEvbbGZHBBb, sondern mit Elvis Presley - Fever.mp3)

Anscheinend hat der Trojaner bei mir nicht ganze Arbeit geleistet, obwohl der Rechner danach weiterhin am Netz war.
Zum Glück habe ich am Abend vor dem Befall meine Firmendaten gesichert, obwohl ich das (...zu...) selten mache ... den Rechner werde ich mit neuer HDD neu aufsetzen.

Mich würde das Phänomen interessieren, warum Malwarebytes bei allen Dateien (also nicht nur MP3, sondern auch bei .mpg, .doc und .xls) mit dem richtigen Namen scannt und nicht mit der Dateiumbenennung ... ???

Grüße, smart8900

Zitat:

Zitat von Didi63

Nur um das klar zu stellen, es werden nicht die verschlüsselten Dateien entschlüsselt, sondern gelöschte Dateien wiederhergestellt. Das Wiederherstellungsprogramm PhotoRec kann dabei zwar DateiTypen erkennen, aber nicht den Dateinamen. Es wird ein neuer Dateiname generiert. Praktisches Beispiel:
Die Datei Mandant001.mdb wird nach der Verschlüsselung gelöscht und ist auch nicht mehr im Windows-Mülleimer, dann kann PhotoRec die Datei zwar wiederherstellen, sie kann dann aber f0132445ff.mdb heissen.
Also nicht die verschlüsselte Datei wird entschlüsselt, sondern die nach der Verschlüsselung gelöschte Originaldatei wird "undeleted".
Ich habe auf diese Weise schon zwei von fast 400 Dateien wiedergefunden. Ist mühselig, aber das Ergebnis ist unbezahlbar.

Wenn das mit photorec geht, hat dann schon mal jemand Recuva auf die Platte losgelassen? Das kann nämlich in günstigen Fällen die Dateinamen & sogar die Ordnerstruktur wiederherstellen: hxxp://www.piriform.com/recuva
Das Programm ist Freeware, ist z.B. auch auf Hiren's Boot CD drauf, damit kann man starten und die Platte unangetastet lassen: hxxp://www.hirensbootcd.org/