Zitat:

Zitat von Briana

gibts auch ne lösung für dummis.....mein gott ich hab alles versucht aber nichts klappt
kenn mich da zwinig aus und mach glaub alles nur noch schlimmer

Auch an dich..
Es steht alles oben ON TOP über dem Thread was du machen kannst..
Wenn nix klappt, kannst nur abwarten und Tee trinken ob jemals nochmals ne Lösungen kommen wird...

Hi zusammen,
haben hier einen Kunden mit dem gleichen Problem, also den verschlüsselten Dateien ohne locked-.
Wir haben den Rechner jetzt bereits komplett neu installiert, natürlich nicht ohne vorher eine Kopie der verschlüsselten Daten zu ziehen. Der Kunde kann nun erstmal wieder auf seinem PC arbeiten.
Allerdings hat ihm das Virus zusätzlich zum Buhl-Kaufmann (auf D:!!!) auch die entsprechenden Kaufmann-Sicherungen verschlüsselt. Sicherungen auf einen USB-Stick oder ähnlichem hat er (natürlich) nicht gemacht...
Da wir seinerzeit jede Menge Anpassungen an diesem System für ihn vorgenommen hatten (Druckformulare, Datanorm-Importe mit Strukturanpassungen usw.) wäre es schon toll, wenn wir irgendwann diese ein, zwei Sicherungsdateien wenigstens wieder entschlüsseln könnten.
Das hat sicherlich ein, zwei Monate Zeit aber es würde uns halt helfen, wenn es klappte.

Die 8 Entschlüsselungsprogramme haben nicht gegriffen, Volumenschattenkopien sind wohl leider keine vorhanden.

Ich könnte Euch, wenn Ihr möchtet, eine saubere Datei und deren verschlüsseltes Gegenstück schicken.

Denkt Ihr da geht noch was?

Danke Euch (und Riesen-Applaus für Eure Hammer-Arbeit!!!)
Sascha

Zitat:

Zitat von tafkaz

Da wir seinerzeit jede Menge Anpassungen an diesem System für ihn vorgenommen hatten (Druckformulare, Datanorm-Importe mit Strukturanpassungen usw.) wäre es schon toll, wenn wir irgendwann diese ein, zwei Sicherungsdateien wenigstens wieder entschlüsseln könnten.
Das hat sicherlich ein, zwei Monate Zeit aber es würde uns halt helfen, wenn es klappte.

Die 8 Entschlüsselungsprogramme haben nicht gegriffen, Volumenschattenkopien sind wohl leider keine vorhanden.

Ich könnte Euch, wenn Ihr möchtet, eine saubere Datei und deren verschlüsseltes Gegenstück schicken.

Denkt Ihr da geht noch was?

da das ganze IMHO gezippt wird, sollten sich die Sicherungen wiederherstellen lassen. Ein paar Dateien Verlust, aber mit Glück unwichtige.

Gruß
Joh

Zitat:

da das ganze IMHO gezippt wird, sollten sich die Sicherungen wiederherstellen lassen

Du meinst die Datei (verschlüsselt) einfach entzippen?
Meine Frage war eigentlich auf eine funktionierende Version eines Decrypters für die neuen Varianten ausgerichtet, so dass ich die entsprechenden Dateien wieder entschlüsseln kann, aber wenn das auch anders geht, dann gerne.
Die fraglichen DaSi-Dateien sind in dem Fall *.BPS Dateien.


Danke
Sascha

wenn du die fghDSsmgddryagvDD - Dateinamen hast, wird ein entschlüsseln nicht funktionieren.

Hallo Sascha,

Zitat:

Zitat von tafkaz

Wir haben den Rechner jetzt bereits komplett neu installiert, ...
Volumenschattenkopien sind wohl leider keine vorhanden.

Das verstehe ich nicht ganz, was heißt "wohl"?
Entweder Ihr habt nach Schattenkopien gesehen oder nicht und da weiß man mit Sicherheit, ob welche da sind oder nicht.
Das sieht so aus, als hättet Ihr den Rechner erst platt gemacht und nehmt an, dass keine Shadows da waren.
Wenn dem so ist, dann war das ein grober Fehler.

Zitat:

Denkt Ihr da geht noch was?

Wenn Du da auf einnen Decrypter hoffst, eher nein.

Zitat:

Zitat von tafkaz

Du meinst die Datei (verschlüsselt) einfach entzippen?
Meine Frage war eigentlich auf eine funktionierende Version eines Decrypters für die neuen Varianten ausgerichtet, so dass ich die entsprechenden Dateien wieder entschlüsseln kann, aber wenn das auch anders geht, dann gerne.
Die fraglichen DaSi-Dateien sind in dem Fall *.BPS Dateien.

Einfach entzippen wird wohl nix.
Es kommt halt darauf an, wie die Daten komprimiert sind.
Wenn, dann helfen möglicherweise nur Reparaturtools für gepackte Dateien.

Was sagt denn der Hersteller, ich glaube SAGE, dazu?
Vielleicht sehen die eine Möglichkeit der Wiederherstellung von BPS-Dateien.

Einen Decrypter wirst Du mit an Sicherheit grenzender Wahrscheinlichkeit zu Lebzeiten nicht mehr sehen.
Da Du wahrscheinlich mit der Systempartition auch die *.$0x-Dateien gekillt hast, wird die Entschlüsselung nahezu unmöglich.

Volker

Zitat:

Das sieht so aus, als hättet Ihr den Rechner erst platt gemacht und nehmt an, dass keine Shadows da waren.
Wenn dem so ist, dann war das ein grober Fehler.

Schon klar,
wir haben natürlich VORHER nachgesehen, ob da Schattenkopien da waren.
UND wir haben für den Ernstfall auch noch ein Festplatten-Image gezogen, wir könnten also auch jederzeit wieder zurück...

Also:
Das "wohl" nehme ich hiermit zurück, es waren keine Schattenkopien zu sehen.
Welche Variante ich habe, dachte ich mit

Zitat:

...einen Kunden mit dem gleichen Problem, also den verschlüsselten Dateien ohne locked-.

gesagt zu haben.
Ich weiss allerdings nicht genau, welche Varianten-Version das ist. Eben die mit den DsnnssJnfjApVOAXpO Dateien.

Ich habe den Virus (inkl. Mail) hier, eine saubere Datei und das verschlüsselte Gegenstück und bin bereit, wie auch immer zu helfen.

Und ich hab mich nicht wirklich an einen rettenden Strohhalm gehangen mit meiner Frage und nicht genau gelesen, was oben steht, sondern wollte eigentlich nur erfahren, ob man mit einem Decrypter noch rechnen kann.

Die Idee mit der Herstellerfirma ist nicht verkehrt, da könnte man mal nachhaken!

Wie gesagt...wenn ich helfen kann, gerne!

Danke
Sascha

Zitat:

Zitat von tafkaz

UND wir haben für den Ernstfall auch noch ein Festplatten-Image gezogen, wir könnten also auch jederzeit wieder zurück...

OK, sind also doch noch ein paar Fachleute unterwegs.
Dein Posting war da etwas irreführend.

Zitat:

Ich habe den Virus (inkl. Mail) hier, eine saubere Datei und das verschlüsselte Gegenstück und bin bereit, wie auch immer zu helfen.

Den Dropper schicke bitte an @markusg, der Link steht in meiner Signatur.
Das Dateipaar hilft wenig, da jede Datei ihren eigenen Schlüssel besitzt.
Das Verschlüsselungsprozedre und wo die Verknüpfungen zwischen Originaldatei, verschlüsselter Datei und Schlüssel zu finden sind, ist bekannt, nämlich in der *.$02, zu finden im Temp-Verzeichnis des Benutzers.
Allein der Schlüssel für diese Datei befindet sich nicht auf dem Rechner, sondern auf irgend einem C&C Server, wenn er überhaupt gespeichert wird.

Volker

Ok prima! :-D
Dann schick ich das gleich mal raus, wenn ich ein paar Minuten hab.
Sieht also nicht so aus, also ob man da irgendwann eine Datei entschlüsseln können wird, was?

Sch*****...

Nunja...weiss ich Bescheid.

Danke
Sascha

Zitat:

Zitat von tafkaz

Sieht also nicht so aus, also ob man da irgendwann eine Datei entschlüsseln können wird, was?

wie gesagt, je nach Dateityp kann man durch entzippen, einfaches Kopieren der ersten 12k oder ähnlichem schon was machen.

wenn .bps einfach ne umbenannte .zip ist, wirds relativ einfach, dann kann man sehr schnell sehen, was verschlüsselt ist.

Joh