Hallo,

eine Freundin hat vermutlich einen Verschlüsselungstrojaner über einen Mailanhang (Mahnung) auf Ihren Rechner bekommen.
Ein Scan mit Norton 360 wurde durchgeführt: Dieser hat keinen Virus, ... gefunden.
Keine Datei unter „Eigene Dateien“ kann mehr geöffnet werden, zum Unterschied zu den anderen Threads im Forum, heissen die Dateien noch gleich, zB Foto.jpg, also ohne locked, ohne Zufallsbuchstaben, udgl.
Einzig das Erstellungsdatum ist nun bei allen Files der 13.02.1601.

„Trojan.Ransomlock.P“ ist im Norton in Quarantäne (aber lt Internet verschlüsselt der ja nichts, oder?).

Was ich erstmal gemacht habe:

- Malwarebytes Anti-Malware (vollständiger Scan) findet nichts
- Kaspersky rescue disk 10 findet nichts

Test Entschlüsseln der Files:
- Versuch erfolglos mit: DecryptHelper, Avira Ransom File Unlocker, Tool von Dr. Web, ScareUncrypt, RannohDecryptor, Panda UnRansom
- Einzig mit Trustezeb.A funktioniert es, wenn man die Originaldatei hat (wird dann ohne Endung neu abgespeichert). Allerdings ist das Backup schon recht alt, und zweitens viel zu aufwendig, weil man nicht ein ganzes Verzeichnis auf einmal entschlüsseln kann. Denn ich muss zu jeden zB jpg immer genau das Original angeben, ansonsten kommt „fehlerhafte grösse“ odgl. Aber scheinbar schafft er es, den Schlüssel zu bekommen?!

Im Forum habe ich gelesen, dass es für Trojan.Ransomlock.P noch keine Entschlüsselung gibt. Oder kann es sein, dass noch ein unbekannter Trojaner auf dem Rechner ist?

Danke!

Mittlerweilen hab ich es auch mit JPEGsnoop probiert, funktioniert auch nicht.

Wie soll ich weiter vorgehen?

Danke
loop11

EDIT: Hab wohl gerade bemerkt, dass ich im falschen Forum gepostet habe, Sorry - kann den Thread bitte jemand verschieben? Ich werde jetzt die Logfiles erstellen.

hi
viele möglichkeiten gibts nicht, schau mal hier:
http://www.trojaner-board.de/115551-...e-version.html

Hi,
danke für die Info.

Werde ich probieren.

Das Notebook wird auf alles Fälle neu aufgesetzt, wäre schön, wenn die Daten wieder hergestellt werden könnten.
Unter Umständen funktioniert das ja in ein paar Wochen (dank Spezialisten)?

Was meinst du (als Spezialist)?
(auf ein Netzlaufwerk möcht ich das nicht weg sichern, USB hab ich keine)

BTW: Werden auch Netzlaufwerke auf Servern angegriffen/verschlüsselt?

Thx

Zitat:

Zitat von loop11

Hallo,

eine Freundin hat vermutlich einen Verschlüsselungstrojaner über einen Mailanhang (Mahnung) auf Ihren Rechner bekommen.
Ein Scan mit Norton 360 wurde durchgeführt: Dieser hat keinen Virus, ... gefunden.
Keine Datei unter „Eigene Dateien“ kann mehr geöffnet werden, zum Unterschied zu den anderen Threads im Forum, heissen die Dateien noch gleich, zB Foto.jpg, also ohne locked, ohne Zufallsbuchstaben, udgl.
Einzig das Erstellungsdatum ist nun bei allen Files der 13.02.1601.

„Trojan.Ransomlock.P“ ist im Norton in Quarantäne (aber lt Internet verschlüsselt der ja nichts, oder?).

Was ich erstmal gemacht habe:

- Malwarebytes Anti-Malware (vollständiger Scan) findet nichts
- Kaspersky rescue disk 10 findet nichts

Test Entschlüsseln der Files:
- Versuch erfolglos mit: DecryptHelper, Avira Ransom File Unlocker, Tool von Dr. Web, ScareUncrypt, RannohDecryptor, Panda UnRansom
- Einzig mit Trustezeb.A funktioniert es, wenn man die Originaldatei hat (wird dann ohne Endung neu abgespeichert). Allerdings ist das Backup schon recht alt, und zweitens viel zu aufwendig, weil man nicht ein ganzes Verzeichnis auf einmal entschlüsseln kann. Denn ich muss zu jeden zB jpg immer genau das Original angeben, ansonsten kommt „fehlerhafte grösse“ odgl. Aber scheinbar schafft er es, den Schlüssel zu bekommen?!

Im Forum habe ich gelesen, dass es für Trojan.Ransomlock.P noch keine Entschlüsselung gibt. Oder kann es sein, dass noch ein unbekannter Trojaner auf dem Rechner ist?

Danke!

Hallo Leute,

Ich habe letzte Woche (29.08.2012) eine erste Mahnung (keine Ahnung von wem die sein soll) samt Anhang bekommen. Der Anhang war die angebliche Rechnung vom 29.08.2012: in einer rar- Datei verpackt, beim Öffnen der rar- Datei habe ich gesehen, dass eine MS- Dos- Anwendung gestartet werden sollte, um an die ausstehende Rechnung zu kommen.
Ich habe zwar keine Ahnung von Technik, PC´s, usw., aber sogar mir war klar, dass es KEINE "normale Rechnung" sein kann.

Leider habe ich mich darüber so aufgeregt (bin in Betreuung der Schuldnerberatungsstelle), dass ich auf dieses Mail geantwortet habe und dem Absender mit der Polizei gedroht habe, falls die mich nicht in Ruhe lassen, usw. und auch FALLS es eine offene Rechnung zu bezahlen gibt, dann sollen sie mir sofort eine rechtlich korrekte Rechnung in der richtigen Form, also GESETZESKONFORM senden.

Als Antwort kam nur noch eine Mahnung, mit demselben Text: keine Anrede, nur eine Re- Nr und wieder diese verseuchte rar- Datei. Inzwischen weiß ich, dass e sich um eine Art des "Trojan.Ransomlock.P" handelt!!

Ich möchte betonen, dass ich NIE die ms- dos- Anwendung geöffnet habe- macht das irgendeinen Unterschied????
Denn (bis jetzt) ist auf meinem PC und in unserem Netzwerk nichts Besonderes geschehen??? Ich hoffe, dass dies so bleibt, denn dieser Trojaner (wenn er aktiv geworden ist) gerade auf meiner 2 TB- Platte ist- gerade dort, wo ich die meisten Daten gespeichert habe!!

Also, ist dieses "Ding" anscheinend noch immer unterwegs und gibt einfach das Datum des Mailabsenders an, keine zip, sondern rar- Datei, mit dieser "dubiosen" ms- dos- Anwendung, die als Rechnung "getarnt" ist- nur als Warnung an alle Anderen!!

Ich schreibe das alles, um 1. die Leute zu warnen und 2. zu fragen, ob jemand eventuell weiß, wie lange es dauert, bis dieser Schädling zu arbeiten beginnt?? Könnte ich das unglaubliche Glück gehabt haben, nicht infiziert worden zu sein, weil ich diese Anwendung eben NICHT richtig geöffnet habe??
Ich hoffe sehr, dass mir jemand eine Antwort auf diese Frage geben kann???

Liebe Grüße
isabella363

Zitat:

Zitat von isabella363

Ich schreibe das alles, um 1. die Leute zu warnen und 2. zu fragen, ob jemand eventuell weiß, wie lange es dauert, bis dieser Schädling zu arbeiten beginnt?? Könnte ich das unglaubliche Glück gehabt haben, nicht infiziert worden zu sein, weil ich diese Anwendung eben NICHT richtig geöffnet habe??
Ich hoffe sehr, dass mir jemand eine Antwort auf diese Frage geben kann???

Hallo Isabella,
genauso ist es, der Schädling tritt erst nach dem Start der ausführbaren Datei im Anhang der Mail in Aktion, zumindest bei den bisher bekannten Versionen.
Eine Weiterentwicklung und andere Infektionswege sind durchaus denkbar.
Nach der Infektion, sprich nach Aktivierung des Schadcodes, geht es aber recht schnell, da er lediglich 12k jeder Datendatei umschreiben muß.
In der Regel hat er sein Werk getan, ehe dem Benutzer klar wird, was der Klick ausgelöst hat, zumal er noch durch eine Fehlermeldung im Glauben gelassen wird, das Rechnungsdokument sei fehlerhaft.

Mit der abschließenden Übertragung der Schlüsseldaten an einen externen Server ist es dann endgültig zu spät.

Ich habe den Schädling in der Version 1.xx zu Testzwecken laufen lassen und die Zerstörung von ca. 20 000 Dateien hat keine 5 Minuten gedauert, wobei das die Zeit bis zum Neustart des Rechners war.
Die Dateizerstörung war schon eher fertig.

Ich hoffe, Du hast durch Dein Erlebnis die Wichtigkeit regelmäßiger Datensicherungen erkannt und führst diese auch aus.

Gruß Volker

Zitat:

Zitat von Undertaker

Hallo Isabella,
genauso ist es, der Schädling tritt erst nach dem Start der ausführbaren Datei im Anhang der Mail in Aktion, zumindest bei den bisher bekannten Versionen.
Eine Weiterentwicklung und andere Infektionswege sind durchaus denkbar.
Nach der Infektion, sprich nach Aktivierung des Schadcodes, geht es aber recht schnell, da er lediglich 12k jeder Datendatei umschreiben muß.
In der Regel hat er sein Werk getan, ehe dem Benutzer klar wird, was der Klick ausgelöst hat, zumal er noch durch eine Fehlermeldung im Glauben gelassen wird, das Rechnungsdokument sei fehlerhaft.

Mit der abschließenden Übertragung der Schlüsseldaten an einen externen Server ist es dann endgültig zu spät.

Ich habe den Schädling in der Version 1.xx zu Testzwecken laufen lassen und die Zerstörung von ca. 20 000 Dateien hat keine 5 Minuten gedauert, wobei das die Zeit bis zum Neustart des Rechners war.
Die Dateizerstörung war schon eher fertig.

Ich hoffe, Du hast durch Dein Erlebnis die Wichtigkeit regelmäßiger Datensicherungen erkannt und führst diese auch aus.

Gruß Volker

Hallo Undertaker,

erstmals vielen, vielen Dank für die Antwort!! Bis jetzt ist nichts geschehen- zumindest nichts, was mir aufgefallen wäre, aber es kommen immer mehr solcher Mails: einmal soll ich einen PC gekauft haben, dann wieder etwas Anderes,.. und immer ist entweder eine rar oder zip- Datei dabei (mit ms- dos Anwendung). Ich habe die alle sofort gelöscht und natürlich (das ist sogar mir klar) eine Datenrettung gemacht. Muss mir erst mal Deinen Link zur Datenrettung ansehen und werde das auch durch führen- ich habe nur einen Wiederherstellungspunkt gemacht, weil mir einfach der Platz für alle Daten fehlt. Natürlich ist mir klar, dass so ein W- Punkt gerade bei Windows nicht viel bringt, wenn der PC derartig verseucht ist!!

Es tut mir sehr leid für Dich und Deine Freundin- das muss ein Wahnsinn sein, wenn alles zerstört wird, ich verstehe nur nicht, was diese Typen damit erreichen wollen: sogar Fotos zerstören?? Das bringt doch keinem etwas, oder?? Sieht für mich wie "blinde Zerstörungswut" aus!!

Nochmals Danke und viel Glück, ich hoffe Ihr bekommt dieses "ekelhafte Ding" weg!!

Liebe Grüße
isabella363

Zitat:

wenn alles zerstört wird, ich verstehe nur nicht, was diese Typen damit erreichen wollen: sogar Fotos zerstören??

Ist das nicht völlig klar, liegt das nicht auf der Hand?!

Die wollen Geld erpressen!!

Zitat:

Zitat von isabella363

sogar Fotos zerstören?? Das bringt doch keinem etwas, oder?? Sieht für mich wie "blinde Zerstörungswut" aus!!

Warum Zerstörungswut? Die haben doch deine doppelten Satzzeichen gar nicht gesehen.
Ansonsten: Dies sind Kriminelle, deine Fotos interessieren die nicht, andere Kriminelle zerstören sogar reale Leben, du musst also keinen Anstand und keine Freundlichkeit erwarten.

Mann müüste mal paar Millionen Dollar Kopfgeldprämie ausloben für die Ergreifung der Ukash Trojaner Hintermänner.

Kannst ja nen Ukash Sperrbildschirm entwickeln, um das Geld zusammen zu bekommen.

...hat es nach all den jahren jemand geschafft, diesen ransom zu entschlüsseln ?!?

Du greifst ein fast 5 Jahre altes Thema auf?

jo,... weil ich noch wichtige, verschlüsselte fotos von diesem virus herumliegen hab !

Und natürlich hatte man von den so wichtigen Daten ja niemals ein richtiges Backup gemacht....das ist dann fahrlässig.

Datei auswerten => https://id-ransomware.malwarehunterteam.com/index.php

und lesen was als Ergebnis rauskommt. Wenn es nix gibt hast du Pech gehabt bzw selber Schuld weil kein Backup.