Hallo Community,

ein vorweg. Ich bin neu hier und daher für Verbesserungsvorschläge gerne offen.

Doch nun zu meinem Problem:

Ich habe mir einen Trojaner eingefangen, der vermutlich meine Dateien wie Office-Dateien, ZIPs, JPGs, PNGs, PDFs verschlüsselt hat.

Die Dateien heißen jetzt alle „Dateiname“.LOCKED
In jedem Verzeichnis liegt eine Datei: README TO UNLOCK.txt (siehe Anhang)
In der Datei heißt es:

Your files are locked and encrypted with a unique RSA-1024 key!
To regain access you have to obtain the private key (password).
++++++++++++++++++++
To receive your private key (password):
Go to hxxp://u5ubeuzamg54x5f3.onion.to and follow the instructions.
You will receive your private key (password) within 24 hours.
Your ID# is XXXXXXX (anonymisiert)

If you can't find the page, install the Tor browser (https://www.torproject.org/projects/torbrowser.html.en) and browse to
hxxp://u5ubeuzamg54x5f3.onion
++++++++++++++++++++
BEWARE - this is NOT a virus.
The ONLY way to unlock your files/data is to obtain your private key (password) or you may consider all your data lost.
You have just 5 days before the private key (password) is deleted from our server, leaving your data irrevocably broken.
++++++++++++++++++++

Ich habe den Trojaner an der hohen CPU Auslastung erkannt. Es lief ein Prozess „Password.exe“
Nach dem ich den Prozess beendet hatte und mit Avast beim Booten einen Scann durchgeführt habe scheint der Trojaner nicht mehr aktiv zu sein, ich habe aber viele verschlüsselte Dateien auf meinem Laufwerk.

Meine Internet-Recherche haben folgende Hinweise ergeben:
https://groups.google.com/forum/#!topic/rec.games.frp.dnd/Y8SonAEh4nw
(damit kann ich nichts anfangen und ich verstehe nicht genau ob es mein Problem ist)

http://www.trojaner-board.de/146686-...-befallen.html
(das scheint dasselbe Problem zu sein)

hxxp://www.zive.cz/poradna/cryptolocker---ochrana-oddilu/sc-20-cq-507463/default.aspx?consultanswers=1
(da versteh ich leider kein Wort)

hxxp://uk.answers.yahoo.com/question/index?qid=20131231100520AAy9LX7
(macht mir nicht gerade Hoffnung)

Folgende Erkenntnisse konnte ich zusätzlich gewinnen:

- bei einem analysierten PPT-File war nur ein Teil der Datei binar verändert. Ein Großteil war noch gleich wie bei der Originaldatei.

- Ich habe mir den Post angeschaut: http://www.trojaner-board.de/116851-...tml#post842337

Die vorgeschlagenen Tools waren jedoch größtenteils hilflos.
Ich habe es lediglich geschafft eine PST-Datei wieder zu reparieren.
Einzelne Bilder konnte ich mit JPGSnoop „retten“, allerdings nicht in der gewollten Qualität.
Bei doc, xls, ppt und pdf habe ich aber bisher gar keinen Erfolg gehabt und dort sind die wirklich wichtigen Dateien dabei.

- Einen Ordner konnte ich ausfindig machen, den ich auf einem USB-Stick hatte. Von dem kann ich euch die Originale zu ein paar verschlüsselten Dateien bereitstellen. (originale.zip und locked.zip)

Ich bin gerade völlig hilflos und fast am verzweifeln. Kann man da gar nichts machen? Ich weiß, dass das Geld bezahlen nicht die Lösung sein kann, aber wenn eine geringe Chance besteht, dass ich die Daten wiederbekomme…?!

Das Dumme ist ich habe sonst kein Backup und ich bin auf die Dateien angewiesen.
Habt ihr schon ähnliches gesehen und evtl. sogar Lösungsvorschläge/Ansätze?
Bin für jede Hilfe sehr dankbar.

Grüße
Sussi

Halllo und

Schattenkopien probiert? Wenn die nichts bringen und auch sonst keiner der hier genannten Empfehlungen sind deine Daten weg.

Hallo cosinus,

Schattenkopien sind auf dem betroffenen Laufwerk leider nicht aktiv.

Die genannten Empfehlung haben mir bis auf die Bilder und PST-Dateien leider nicht geholfen.

1) Gibt es sonst wirklich keine Möglichkeit? (hab jetzt auch die Anhänge hinzugefügt)

2) Glaubt ihr das Geld zu bezahlen hilft mir die Daten wieder zu bekommen?

Grüße
Sussi

Zitat:

1) Gibt es sonst wirklich keine Möglichkeit? (hab jetzt auch die Anhänge hinzugefügt)

Nein gibt es nicht, hab ich doch geschrieben

Zitat:

2) Glaubt ihr das Geld zu bezahlen hilft mir die Daten wieder zu bekommen?

Ob du das machen willst ist dene Entscheidung. Beispiel Cryptolocker => http://www.trojaner-board.de/144615-...ml#post1194387

Zitat:

Wichtig: Wenn die Wiederherstellung aus Schattenkopien nicht möglich ist und die verschlüsselten Daten wichtig sind, sollte eine Zahlung des Lösegeldes in Erwägung gezogen werden.

Angenommen ich bezahle und bekomme dafür einen Code?
Wie entschlüssel ich die Dateien dann wieder?
Ich hab den Trojaner ja schon entfernt?!

Beim Cryptolocker ist das so:

Zitat:

Um den privaten Schlüssel für diesen Computer zu erhalten, der die Dateien automatisch entschlüsselt, müssen Sie 300 US Dollar, 300 Euro, oder einen ähnlich hohen Betrag in einer anderen Währung bezahlen.

Hm, aber automatisch wird da vermutlich nichts laufen, da ja nichts mehr auf meinem Rechner drauf sein sollte.
Hat da jemand Erfahrungen mit?

Hier ist die Lösung:

https://in.answers.yahoo.com/question/index?qid=20140125125532AADHhIE

In meinem Fall hat der "xoristdecryptor" geholfen.

hxxp://media.kaspersky.com/utilities/VirusUtilities/EN/xoristdecryptor.exe

Ich hatte diesen Decrypter damals (Januar 2014) in einer früheren Version ausprobiert und damals hat er nicht funktioniert. Inzwischen hat Kaspersky wohl upgedatet und jetzt hat er meine Dateien entschlüsselt.

Problem gelöst und das obwohl ich die Daten schon abgeschrieben hatte.
Danke nochmals für eure Hinweise.