Servus beisammen,

ich habe eine Laptop einer Bekannten bei mir gehabt und die hatte sich eben einen Verschlüsselungstrojaner eingefangen. Auch einen mit diesem ganzen U-Cash mist usw.
Folgendermaßen bin ich vorgegangen....
Als erstes habe ich mittels Rettungs DVD von Kaspersky den Rechner wieder zum Starten gebracht. Es kam keine Aufforderung mehr, eine Zahlung zu leisten und der Rechner funktionierte wieder normal.
Danach habe ich alle verschlüsselten Dateien (Fotos, .xls .doc .pdf) auf eine externe Festplatte gesichert damit ich da nicht noch mehr zerstören kann.
Ein Scan mit Malwarebytes, avira und den diversen anderen Tools hier im Forum hat kein Ergebnis gebracht.
Die verschlüsselten Dateien haben nach wie vor den originalen Dateinamen, lassen sich jedoch nicht öffnen.
Ich habe mit dem Avira ransom file unlocker versucht die Bilder zu vergleichen um an den Schlüssel zu kommen. Das hat leider nichts gebracht...

Wie kann ich weiterhin vorgehen? Ich hätte eventuell Zugriff auf den befallenen Rechner über VNC...
Ich habe noch die Email, mit dem Anhang der das alles verbrochen hat


Ihr müsst mir unbedingt helfen, denn die Bekannte braucht die Bilder dringend wieder und ich habe auch ein gewisses Interesse, der Retter in der Not zu sein, wenn ihr wisst was ich meine :-)

Hallo und Herzlich Willkommen!

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:

Zitat:

• "Fernbehandlungen/Fernhilfe" und die damit verbundenen Haftungsrisken:
  - da die Fehlerprüfung und Handlung werden über große Entfernungen durchgeführt, besteht keine Haftung unsererseits für die daraus entstehenden Folgen.
  - also, jede Haftung für die daraus entstandene Schäden wird ausgeschlossen, ANWEISUNGEN UND DEREN BEFOLGUNG, ERFOLGT AUF DEINE EIGENE VERANTWORTUNG!
• Charakteristische Merkmale/Profilinformationen:
  - aus der verwendeten Loglisten oder Logdateien - wie z.B. deinen Realnamen, Seriennummer in Programm etc)- kannst Du durch [X] oder Sternchen (*) ersetzen
• Die Systemprüfung und Bereinigung:
  - kann einige Zeit in Anspruch nehmen (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst
• Ich empfehle Dir die Anweisungen erst einmal komplett durchzulesen, bevor du es anwendest, weil wenn du etwas falsch machst, kann es wirklich gefährlich werden. Wenn du meinen Anweisungen Schritt für Schritt folgst, kann eigentlich nichts schief gehen.
• Innerhalb der Betreuungszeit:
  - ohne Abspräche bitte nicht auf eigene Faust handeln!- bei Problemen nachfragen.
• Die Reihenfolge:
  - genau so wie beschrieben bitte einhalten, nicht selbst die Reihenfolge wählen!
• GECRACKTE SOFTWARE werden hier nicht geduldet!!!!
• Ansonsten unsere Forumsregeln:
  - Bitte erst lesen, dann posten!-> Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?
• Alle Logfile mit einem vBCode Tag eingefügen, das bietet hier eine gute Übersicht, erleichtert mir die Arbeit! Falls das Logfile zu groß, teile es in mehrere Teile auf.

Sobald Du diesen Einführungstext gelesen hast, kannst Du beginnen

Bevor wir etwas gegen die vorhandenen Malware unternehmen wollen:

Zitat:

Achtung!:
Im Hauptrechner ein endgültiges Löschen von Daten (also beim Entfernen von Dateien ist es mit dem Löschen der Datei mitsamt Malware und dem anschließenden Leeren des Papierkorbs auch den Quarantäne-Ordner gesamt zu leeren) kann dazu führen, dass man die Daten nicht mehr wieder entschlüsseln kann!

• Kontrolliere deine eigene Dateien (wie Dokumente, Musik, Bilder etc), ob der Trojaner sie verschlüsselt hat?!
• Welche Art und Weise wurden die Daten bereits verschlüsselt? Kannst Du mir ein paar Beispiele nennen? Dateiändung wurden zugefügt (z.B "locked- .wxyz"), oder nach einem Zufallsprinzip besteht ein Dateiname aus Groß und Kleinbuchstaben (wie z.B QsEEUTODXNVqyssQ)?

Nämlich manche Varianten lassen sich entschlüsseln, andere wieder leider nicht..

gruß
kira

Hi Kira,

Ich habe mir deine Hinweise aufmerksam durchgelesen.

Wie bereits beschrieben ist es tatsächlich so, dass alles was unter "Eigene Dateien" gespeichert ist, nicht mehr zu gebrauchen bzw. zu öffnen ist.

Die Dateinamen und erweiterungen wurden nicht verändert. Es steht kein locked noch sonst was dabei.
Es lässt sich nur nichts mehr öffnen.

Vorab schon mal Danke für deine Hilfe.

Welche Art und Weise wurden die Daten bereits verschlüsselt? Kannst Du mir ein paar Beispiele nennen? Dateiändung wurden zugefügt (z.B "locked- .wxyz"), oder nach einem Zufallsprinzip besteht ein Dateiname aus Groß und Kleinbuchstaben (wie z.B QsEEUTODXNVqyssQ) sprich umbenannt?

Hallo Kira,

ich denke wir missverstehen uns in irgendeinem Punkt ;-)
Ich habe schon zwei mal geschreiben, dass die Dateinamen der verschlüsselten Dateien komplett unverändert sind. D.h. die Dateien heißen genauso, wie sie vor der Infektion geheißen haben. Es sind auch keine misteriösen Deiteiendungen dran oder sonst was.
Einfach nur genauso wie vorher aber verschlüsselt...

Zitat:

Zitat von mulzer_2k

ich denke wir missverstehen uns in irgendeinem Punkt ;-)
Ich habe schon zwei mal geschreiben, dass die Dateinamen der verschlüsselten Dateien komplett unverändert sind. D.h. die Dateien heißen genauso, wie sie vor der Infektion geheißen haben. Es sind auch keine misteriösen Deiteiendungen dran oder sonst was.
Einfach nur genauso wie vorher aber verschlüsselt...

Zitat:

Zitat von mulzer_2k

Danach habe ich alle verschlüsselten Dateien (Fotos, .xls .doc .pdf) auf eine externe Festplatte gesichert damit ich da nicht noch mehr zerstören kann.
Die verschlüsselten Dateien haben nach wie vor den originalen Dateinamen, lassen sich jedoch nicht öffnen.
Ich habe mit dem Avira ransom file unlocker versucht die Bilder zu vergleichen um an den Schlüssel zu kommen. Das hat leider nichts gebracht...

aber lassen wir es, so geht`s weiter:

1.
Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt - OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

2.
Um festzustellen, ob veraltete oder schädliche Software unter Programme installiert sind, ich würde gerne noch all deine installierten Programme sehen:

• Download den CCleaner herunter
  
• Software-Lizenzvereinbarung lesen, falls irgendeine Toolbar angeboten wird, bitte abwählen!-> starten -> Falls nötig, auf "Deutsch" einstellen.
• starten-> klick auf `Extras` (um auf deinem System installierte Software zu anzeigen)-> dann auf `Als Textdatei speichern...`
• ein Textdatei wird automatisch erstellt, poste auch dieses Logfile (also die Liste alle installierten Programme...eine Textdatei)

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du (also am Anfang des Logfiles):[code]
hier kommt dein Logfile rein - z.B OTL-Logfile o. sonstiges
→ dahinter - also am Ende der Logdatei: [/code]

** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

gruß
kira