Hallo alle zusammen,

Erstmal ein großes Lob an das ganze Board-Team da es keine Selbstverständlichkeit ist, so viel Freizeit zur Hilfe anderer zu investieren, die mit infizierten Rechnern kämpfen! Nachdem was ich hier alles gelesen habe, reicht ein "Super, spitze und klasse Arbeit" schon garnicht mehr aus!

Ich bin neu hier im Board, auf dass ich gestossen bin, weil ich beim Versuchen verschlüsselte Dateien nach einem Trojanerbefall (*.police) wiederherzustellen, im Netz nach weiteren Lösungen suche.

Wie in dem Thema von Makubo http://www.trojaner-board.de/124465-...-new-post.html wurde mein System von einem Trojaner infiziert, der hauptsächlich um *.doc, *.pdf, *.mp3, *.jpg, *.png, *.wmv Dateien verschlüsselt und die Dateiendung *.police angehängt hat.
Die Infektion kam durch eine Rechnungs-Spam-Mail mit Zip-Anhang, die ich löschen wollte, dabei aber der Anhang geöffnet wurde (Incredimail ). Gut, Rückgängig kann ich es nicht mehr machen, jedoch ist auch keine komplette Datensicherung vorhanden, da ich meine externe Platte zu Testzwecken für die Aufnahmefunktion des Fernsehers vor einer Woche genommen habe. Falsches Timing erwischt. Ebenfalls wurde in den Ordnern, die der Trojaner durchlaufen hat eine Warning.txt abgelegt, die sich der von Makubo nur durch die ID unterscheidet:

Code: Alles auswählenAufklappen

ATTFilter

You id: 938306333260228821366500883797512504605647762055960684102460

If you are reading this warning.txt file, it means that your computer and IP address were suspected of copyright violation and unauthorized access to the licensed software.
All files located on your hard discs have been encrypted. Note to self: do not try to rename any files or alter their contents since it may lead to the inability of their subsequent decryption.
The copyrights are protected and governed by the articles 17 U.S.C. § 102, § 107, § 108, § 109 ? § 501 of the United States of America legislation.
Violation of the above noted laws is subject to either the money penalty of $300.000 or a 10-year term of imprisonment.
You have 48 hours in order to pay an indemnity to the copyright holders,
otherwise the US law enforcement community will have to file a lawsuit against you.
In order to pay the indemnity you need to purchase a MoneyPak with nominal value of 100 dollars.
For Europe users is other way for payment - paymer check (www.paymer.com) You can purchase Paymer codes in any exchange service such as www.buywmz.com www.exwp.org and many others.
The code shall be sent to unlock@fbilock.net using your e-mail.
You can purchase MoneyPak codes in any Walmart, CVS/Pharmacy, Kmart or Walgreens store.
As soon as we receive the code, you will be sent an application which is going to decrypt all infected files on your computer.
         

Nachdem ich das System mit den bekannten Tools nicht bereinigen konnte habe ich mich für eine Neuinstallation entschlossen, zuvor aber die verschlüsselten Daten für eine eventuelle spätere Wiederherstellung weggesichert. Schattenkopien dieser Daten bestanden nicht. Einen Teil der Daten konnte ich aus älteren Backups zurückkopieren, daher existieren auch genug Verschlüsselte und dazugehörige Originaldaten. Jedoch hat keine Wiederherstellung mit den Decryptern funktioniert, auch nicht das einfache Umbenennen der Dateien.
Da auch meine komplette MP3/WMA Sammlung, die ich komplett legal bei Amazon, Musicload, etc erworben habe - zu der kein Backup vorhanden ist, betroffen ist, halte ich an einer Wiederherstellung fest. Weiterhin möchte ich mit meinem Thema anzeigen, dass Makubo nicht allein mit seinem Problem ist, anscheinend ist dieser Trojaner noch nicht so sehr im Umlauf, weil über die Suchmaschinen im Netz, speziell zu *.police, kaum was auffindbar ist.

Aktueller Stand: System neu, clean und entsprechend der Boardrichtlinien abgesichert. *.police-Dateien auf externer Platte. Hat noch jemand eine Idee, wie man die Dateien wieder entschlüsselt bekommt?

Vielen herzlichen Dank vorab für Hilfe und Unterstützung!

hi
nutze lieber nen vernünftiges mail programm wie thunderbird.
deine variannte kenne ich nicht, hast du die mail noch, dann leite sie mir weiter.
hättest mal lieber nicht neu aufsetzen sollen, evtl. hätten wir noch infos vom system brauchen können.
hast du ne datei die dier als original und entschlüsselt vor liegt? dann hänge sie mal in der mail an mich an

Mail hab ich eingeschickt, inkl. 2 Bilder und 2 PDF (Original/Verschlüsselt).

Werde mich auf jeden Fall nach einem neuen Mail-Programm umsehen, Thunderbird klingt ja schon mal ganz gut. Hatte IncrediMail jetzt 7 Jahre ohne Probleme genutzt, irgenwann wurde dann mal der Junkfilter rausgenommen und zusätzlich kostenpflichtig...soviel zu einer "LiveTime Lizenz"...

Vielen Dank für alle Mühen!

welche der 3 mails wurden denn geöffnet

Hallo Markusg!

das kann ich nicht mehr genau sagen, welche von denen es war, zwei weitere hatte ich ja schon gelöscht, ich denke aber dass es die mit dem größeren Anhang war...zumal im Roaming-Verzeichnis (User/AppData) ständig irgendwelche *.exe mit einigen KB aufgetaucht sind....ging alles so schnell.
Was IncrediMail mit den Anhängen beim Virenscan gemacht hat ist auch ne gute Frage...wie Du schon sagtes, kein vernünftiges Programm.

Ich habe jetzt mein neu aufgesetzes Raid mit Recuva durchsucht und konnte tatsächlich einige selbstaufgenommene Videos meiner Familie und Fotos, sowie viele MP3 Dateien, Docs und PDFs wiederherstellen, zwar sind die Dateinamen völlig kurios, aber muss ich halt so nach und nach aussortieren.
Die Wiederherstellungsrate schätze ich auf 5-10% der verschlüsselten Daten, die ich nach wie vor auf externer Platte habe. Vielleicht gibt es noch einen Weg die zu entschlüsseln...die ID in der txt sowie die Hinweise auf ein Entschlüsselungstool machen mich stutzig..

Was mich sehr verwundert, ist dass von den über 380.000 gefundenen Dateien keine einzige Datei mit .police zur Wiederherstellung, sei es möglich oder nicht da überschrieben, auf dem Raid von Recuva angezeigt wurde, die sind wie vom Erdboden verschwunden.

Vielen Dank für Deine Mühen!

hi
mach aber ne sicherung der nicht wiederhergestellten dateien. dann versuche mal einige tipps aus dem hinweis fenster im forum, nicht die tools von avira, drweb etc, sondern die reperatur anleitungen