Hallo zusammen,

leider hatte ich das Pech, dass einer unserer Rechner im Netzwerk (Wichtiger Hinweis: Wir sind gewerblicher Nutzer!) mit dem Trojan.Ransomcrypt.F - Trojaner befallen wurde.

Der entsprechende Rechner ist in der Zwischenzeit vom Netz+ausgeschaltet. Internet Security hat auf diesem Rechner den Trojaner vermeintlich entfernt und gemeldet:

Code: Alles auswählenAufklappen

ATTFilter

Kategorie:Quarantäne
Datum/Uhrzeit,Risiko,Aktivität,Status,Empfohlene Aktion,Pfad - Dateiname
18.09.2013 10:09,Hoch,{112c4a02-1112-2f13-0e22-00181b0b15df}.exe (Trojan.Ransomcrypt.F) erkannt von Virenscanner und Auto-Protect,Isoliert,Behoben - Keine Aktion erforderlich,c:\users\XXX\appdata\roaming\{112c4a02-1112-2f13-0e22-00181b0b15df}.exe
18.09.2013 08:25,Hoch,pgengh.exe (Trojan.Gen) erkannt von Auto-Protect,Isoliert,Behoben - Keine Aktion erforderlich,c:\users\XXX\appdata\local\temp\pgengh.exe
18.09.2013 08:01,Hoch,tp3[1].exe (Suspicious.Cloud) erkannt von Auto-Protect,Isoliert,Behoben - Keine Aktion erforderlich,c:\users\XXX\appdata\local\microsoft\windows\temporary internet files\content.ie5\q0tgxi9u\tp3[1].exe
18.09.2013 08:01,Hoch,pebqoxxetxuz.exe (pebqoxxetxuz.exe) erkannt von SONAR,Isoliert,Behoben - Keine Aktion erforderlich,c:\users\XXX\pebqoxxetxuz.exe
18.09.2013 07:55,Hoch,waibfa.exe (Suspicious.Cloud) erkannt von Auto-Protect,Isoliert,Behoben - Keine Aktion erforderlich,c:\users\XXX\appdata\roaming\juyq\waibfa.exe
         

Infiziert wurde der Rechner durch eine E-Mail mit dem Betreff "citizensbank.com "Issue File I3774 Processed" spam" mit einem verseuchten-Attachement. Eine EML-Datei kann ich gerne zur Verfügung stellen, wenn das andere vor dem gleichen Problem bewahrt...

Die "Zahlmaske" wurde, wahrscheinlich da der Trojaner vor Beendigung eliminiert wurde, gar nicht eingeblendet.

Leider hat der Trojaner trotzdem volle Arbeit geleistet und bereits eine großzahl Dateien auf einer eingebundenen Netzwerkfreigabe verschlüsseln können, bevor Internet Security ihn erkannt und "das Risiko behoben" hat. Leider existiert für diese Dateien kein Backup mehr bzw. nur eine teilweise Kopie der Dateien. Auch Volumenschattenkopien sind auf dem entsprechenden Laufwerk nicht vorhanden und scheiden daher als Wiederherstellungssquelle aus.

Ich habe nun hier im Forum recherchiert (ich hoffe, dass ich nichts übersehen habe), funktionsfähige sowie verschlüsselte Dateien auf einen anderen Datenträger+Rechner kopiert. Anschließend habe ich an Kopien der Dateien die Liste der Tools (lt. Forum) ausprobiert, welche dazu dienen sollen, mit Hilfe von existierenden unverschlüsselten sowie den verschlüsselten Dateien einen Schlüssel zu extrahieren. Wichtig dabei: Die Dateien haben keine unterschiedliche Endung. D.h. es wurde kein ._CRYPTED o.ä. angefügt. Der Dateiname zwischen unverschlüsselt und verschlüsselt ist somit identisch.

Allerdings beschweren sich die Tools über eine unterschiedliche Dateigröße zwischen intakter/lesbarer und nicht verschlüsselter Datei. Bei ein paar Dateien scheint das der Fall zu sein, allerdings nicht bei allen (wenn ich der Anzeige im Filesystem glauben schenken kann). Auch scheinen sich die Tools auf andere "Versionen" (ältere?) des Trojaners zu beziehen. Ein Bedienfehler kann aber nicht ausgeschlossen werden.

Wenn ich die Symantec-Quellen zu dem Trojaner lese:
Trojan.Ransomcrypt.F Removal - Removing Help | Symantec dann sieht es so aus, als handele es sich um eine neue Version des Trojaners...?

Jetzt die Frage an das Forum: Hat jemand schon Erfahrung mit diesem Sammeln können und ggf. noch ein paar Tipps, welche Wege ich zur Wiederherstellung bzw. Entschlüsselung der Dateien gehen könnte?

Besten Dank bereits im Voraus für Eure Antworten!

Schöne Grüße
Lars

Hi,

was genau passiert wenn Du eine verschlüsselte öffnen willst? Und soll der Rechner auch noch weiter bereinigt/kontrolliert werden?

Und definier bitte mal gewerblich. Eigene IT-Abteilung?

Hallo schrauber,

Danke für die schnelle Reaktion. Ich versuche bestmöglich auf Deine Fragen zu antworten:

Zitat:

was genau passiert wenn Du eine verschlüsselte öffnen willst?

wenn ich eine der Dateien (z.B. in Excel o.ä.) öffnen möchte, dann erscheint eine Fehlermeldung in der Form: "Die Datei Anwesenheit.xlsx kann von Excel nicht geöffnet werden, da das Dateiformat oder die Dateierweiterung ungültig ist. Überprüfen Sie, ob die Datei beschädigt ist und ob die Dateierweiterung dem Dateiformat entspricht."

Zitat:

Und soll der Rechner auch noch weiter bereinigt/kontrolliert werden?

Den Rechner hätte ich in den nächsten Tagen komplett neu aufgesetzt - sicher ist sicher. Von daher hätte ich gesagt: Keine weitere Bereinigung o.ä. notwendig. Ich habe diesen nur in dem aktuellen Zustand gelassen, falls man auf dem Rechner entsprechende Daten zur Rekonstruktion benötigt.

Zitat:

Und definier bitte mal gewerblich. Eigene IT-Abteilung?

Wir sind ein kleiner Händler und haben leider keine eigene IT-Abteilung. Sonst wäre das Problem wahrscheinlich gar nicht erst in dem Ausmaß aufgetreten... :-/ Sollte unsere gewerbliche Tätigkeit ein Problem darstellen und eine Hilfestellung hier deswegen nicht in Frage kommen, dann einfach Bescheid geben.

Grüße
Lars

Nö passt. Viel helfen kann ich leider eh nicht. Wenn Du die Tools die hier in den entsprechenden Threads stehen schon versucht hast sieht es schlecht aus um die Daten.

Schade, das zu hören. Vielen Dank aber trotzdem für Deine Hilfe.

null problemo