@smart890,
fummelst Du noch mit dem infizierten System rum oder hast Du mit Malwarebytes den Virus entfernen lassen?

Den ersten Virusscan habe ich direkt nach der Zahlungsaufforderung im abgesicherten Modus mit Avira durchlaufen lassen (Intensivscan, 7 Trojaner gefunden), danach mit Malwarebytes (Quickscan, weitere Viren, Malware gefunden) und dann noch drei Mal Malwarebytes Intensivscan (beim ersten Mal mit zwei weiteren Funden), seitdem bei Avira und Malwarebytes sauber ...

@UNDERTAKER :

ja wie auch immer hauptsache es spielt die musik ab aber einige auch wiederrum nicht wieso nur ? und nein es sind keine anderen dateien enthalten ich weiß es habe es ja auch selbst sortiert es handelt sich immer um mp3 also wieso geht das nicht einer eine idee ?

mit einem anderen player funktioniert das auch nicht es spielt es einfach nicht ab was auch immer obwohl die datei die zugehörige größe hat also 3 mb.

weiß denn einer schon ob es einen tool gibt der alle verdammten dateien entschlüsselt OHNE die originalen mit hilfe zu nehmen ? für den verschlüsselungstrojaner ohne endung also GjhkqjhwjdhaGghhdg datei


weiß denn einer wie dieser trojaner heisst ??? weil dann such ich selbst mal nach....


danke


lg

Zitat:

Zitat von bobby187

@UNDERTAKER :

ja wie auch immer hauptsache es spielt die musik ab aber einige auch wiederrum nicht wieso nur ? und nein es sind keine anderen dateien enthalten ich weiß es habe es ja auch selbst sortiert es handelt sich immer um mp3 also wieso geht das nicht einer eine idee ?

mit einem anderen player funktioniert das auch nicht es spielt es einfach nicht ab was auch immer obwohl die datei die zugehörige größe hat also 3 mb.

VLC probiert? Mp3DirectCut probiert, den defekten Header auszuschneiden?

Zitat:

Zitat von bobby187

weiß denn einer schon ob es einen tool gibt der alle verdammten dateien entschlüsselt OHNE die originalen mit hilfe zu nehmen ? für den verschlüsselungstrojaner ohne endung also GjhkqjhwjdhaGghhdg datei

es gibt keins. man könnte problemlos eines schreiben, aber ohne schlüssel wird dir das nichts nützen. such mal nach AES256 und dessen sicherheit.

Zitat:

Zitat von bobby187

weiß denn einer wie dieser trojaner heisst ??? weil dann such ich selbst mal nach....

matsnu, ransom , je nach antivirenhersteller...

Zitat:

Zitat von bobby187

danke

lg

@Didi63
Photorec habe ich auch gestestet gehabt. Bei mir hat es nicht wirklich etwas an brauchbaren Daten gefunden. Ich habe hier im Fred ein Beispiel mit foremost beschrieben. Das hat bei dem Rechner, den ich wieder herzaubern sollte, geholfen. Zumindest brauchbare Dokumente gefunden. Ob es die letzte Version war, kann ich nicht sagen, da es nicht meine Dokumente waren ..

Gruß
Keks5

@deraddi :

danke.....

also vcl auch probiert nicht funktioniert ich probiere das mit dem mp3direkt cut mal sehen ob es geht und für bilder gibt es ja die jpg recovery

aber was ist mit dem dateien wo man nichtmal weiß was der ursprung mal war ? einfach löschen weil pech gehabt ?


lg

Zitat:

Zitat von bobby187

aber was ist mit dem dateien wo man nichtmal weiß was der ursprung mal war ? einfach löschen weil pech gehabt ?

lg

per Hexeditor reingucken.

Wenn die gesamte Datei Datensalat scheint: => jpg oder mp3

ach so: bei mp3 mit TAGS v2.x steht am Ende (hoffentlich) Musiker & Titel.

bei Office-Dokumenten (OpenOffice) steht z.B. noch was wie
- META-INF/manifest.xml
drin.
bei PDF
- << /Author
bei DOC
- W o r d D o c u m e n t

etc etc...


ansonsten: jemanden fragen, der sich mit sowas auskennt!

PS: (Meine Meinung): Musik ist wurscht, die kann man neu kaufen. (oder illegal beziehen). Wichtig sind eher Bilder und Dokumente.

Joh

Guten Morgen,

auch ich hatte gestern einen infizierten Laptop einer guten Freundin da.
Wie sie sich infiziert hat kann ich leider nicht mehr sagen, sie sagte allerdings was von einem Anhang in einer Email. Leider habe ich diese nicht mehr.
Der PC lies sich noch im abgesicherten Modus starten, wo es mir möglich war, alle verschlüsselten daten (hier überwiegend Bilder) in form von AesGodDtajjpoQyrVJGOD zu sichern. Nach der Datensicherung hab ich zuerst das OTL Programm versucht, dieses beendete sich aber mit einem Bluescreen. Anschliessend hab ich die Kaspersky Rescue Disk 10 durchlaufen lassen, welches auch einige Trojaner gefunden hatte. An die genauen Namen kann ich mich nicht mehr erinnern, irgendwas mit Ramsom...

Aktueller Stand ist folgender: Laptop läuft wieder wie vorher, allerdings hatte ich noch vor, ihn komplett neu aufzusetzen, das wird am Freitag gemacht.
Im moment häng ich noch an den verschlüsselten Dateien.
Ich konnte mit dem programm JPEG Recovery
von 5631 Bildern 4101 wieder herstellen. Also knapp 72%.
Sollte jemand Hilfe für seine Bilder brauchen, biete ich mich ebenfalls an von euch Testbilder zu versuchen.
Ansonsten liegen die verschlüsselten Daten noch zwei mal gesichert auf einer anderen Festplatte in meinem Rechner.
LG und Vielen dank für die gute arbeit was hier im Forum geleistet wird.

Hallo Miteinander,

bin neu hier und wollte mal meinen Kenntnisstand vermitteln.
Wir haben jetzt in einer Woche 3 Kundengeräte bekommen mit diesem Trojaner.
Nach dem Hinweis von Didi63, der die Dateien mit Photorec wieder hergestellt hat, haben wir das System mit EasyRecovery von Ontrack gefilzt. Dabei haben wir herausgefunden, das dieser Trojaner lediglich das Inhaltverzeichis zerstört. Wir konnten alle Dateien mit RawRecovery wieder herstellen. Es sind dann nur alle Dateinamen wieder zuzuordnen, aber die Dateien sind wieder da.

Viele Grüße

Hy Bitfreak...

ist diese möglichkeit die du da gefunden hast die datein zu verschlüsseln auch für XP... und wie bekomm ich den trojaner richtig von der festplatte..

Dadurch das cih den Taskmaneger noch nicht auf rufen kann hat man mir mittlerweile dazu gesagt das der Rechner in dieser hinsicht noch net sauber ist.

Hatte bislang NUR malware drüber laufen lassen aber nun findet auch dieser nix mehr aber was dasein muss noch was..

Den Trojaner hab ich beseitigt wie hier im Forum beschrieben.
Funktioniert auch bei XP.
Wenn die Registry deaktiviert ist, hat man die Möglichkeit, mit Tuenup (Testversion reicht) auf die Registry zuzugreifen, dort kann man unter:
HKCU\Software\Micorosft\Windows\CurrentVersion\Policies\System bei den 3 Einträgen: DisableRegedit, DisableRegitryTool und Disable TaskMGR alle Werte auf 0 setzen und die Registry funktioniert wieder.
Die Verschlüsselten Dateien müssen dann von Hand gelöscht werden.

Viele Grüße

@BitFreak,
möglicherweise ein Trittbrettfahrer oder Kommunikatstionsprobleme des Virus mit dem C&C Server, bevor die Codierroutine einsetzt.
Möglicherweise auch doch eine Art von Mitleid der Trojanercoder.

Ich würde mich nicht darauf verlassen, denn bisher wurden tatsächlich die Dateien von 0000h bis 2fffh umgeschrieben, nachdem der Virus den Decodierschlüssel an den C&C Server übertragen hatte.

Hast Du den Dropper noch?
Wenn ja, bitte an markusg schicken.

Sendet uns den Virus

Volker

Leider nicht, die Mail lag bei denen auf dem Exchange-Server und wurde dann gelöscht.

Hatte heute 2 PC's mit der 1.5xx.x - Version.
Keine Verschlüsselung mehr - der C&C u.a.
scheint "down" zu sein !?

Recht gute Ergebnisse bei der Wiederherstellung hab ich unter Ubuntu mit foremost und photorec erzielen können. Die Dateinamen und der Ort sind zwar weg (z.B.: output/jpg/12345.jpg), aber wenigstens der Typ wird erkannt. Besser als nichts!

Ihr solltet zuerst ein Image der Platte mit dd_rescue erstellen und alles weitere dann aus diesem Image auf einer 2ten Platte machen. Vielleicht kommt ja doch noch eine komplette Lösung zum Entschlüsseln.