Hallo Zusammen,
habe auf einem Rechner den Virus Trojan-Ransom.Win32.Crypren.prr gefunden und über eine LiveCD auch erfolgreich entfernen können, leider hat das Teil sämtlich .doc .xls .pdf und .jpg Dateien verschlüsslet.
Habe die hier im Board genannten Decrypter alle versucht( DecryptHelper von Matthias Avira Ransom File Unlocker Tool von Dr. Web ScareUncrypt von BitFox Trojan.Ransom.HM-Decrypt_v1 (BitDefender) RannohDecryptor von Kaspersky Trustezeb.A Decryptor von ESET Panda UnRansom), leider ohne Erfolg.
Die Dateien haben den Ursprüglichen Dateinamen und sehen in Notepad++ nur nach Buchstabensalat aus
Zeile 1-5:
ÕçÍŸ0x×"ümÖ¬èÅß2CK7î¸ñ’YÝϵ¦eª·§QöÀHyiCÁñÞ‚T\¾çjJ´˜!oÙû¶µÃÞ€Ð=ÿå»ñ0.Ebó>
>µo†k@ÿŽLŠ@p]¸÷�²®»ö?áEæ÷[Üé‡
¤ˆçêS\É»¼ ÍO‹³Æ34ÐUɬÄú†¯Ówô8íOes®²AóZ¶E'¢«ó_†º|tÃ6ᛣ¼ó2Ó˜Ó‡ò’!hü’ØŒ.¹Ö›‚u°žNb»*~2XOÀH~Šìǯ£»@Å=¸‡¶K$–K5).X‰
œ;BrSŽ
Êÿ;G’ŸQ:„‚ñ‡|àÐñyŠi[Ÿ#å¿ú�£Ð«/Ú}‚}ï±µLâ¦JŸ*MY32z}9òˆú¿©î(´™NÁÌËèÍI>qo*BJ<ÄhZ½…
‹ÎvÅ«25õ]vû)*^~Oâu"ñjÿÝ�*óZeeº}a.qQÿq?Š¿¿¤½¿S¯~^yh,ïØë_ÀͬBKiòÎÒ»õãËd»p”Ý]^¡ÑÆÿ«8‚P;¹n°™‚sRß8œ*
P[¬çVVÊÃá»N"øXuˆ&zÞ]x¨ÕFƒZ+9˳Ðe³¡Ñ�ú-+åÝ�Vf\‘Ø{_ùw1pÆ‹ÜÊÌi†RÀ£=󗶨àùyùŒ|éQŸÍôÈ-Vþ[»==øx©¦Ç¢~°m˜Èm«ø÷Sxâ9ܶ4Ê#ÿK¬É+hͺCØ
àºsºá¿þ99þp
ð=lßú—‘8aKà [î€nd


Hat noch jemand eine Idee?
Ich könnte auch eine Datei hochladen die ich als Original und auch Verschlüsselt habe.
Den Virus habe ich auch gesichert, falls sich dafür jemand interessiert :-)

Gruß
Jörg

Hi,

fraglich ob die Kiste auch wirklich sauber is

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Und versuch mal das:
CryptorBit and HowDecrypt Information Guide and FAQ

Hallo Schrauber,
danke für deine Antwort. Ob der Rechner sauber ist ist für mich nicht so interessant, weil ich, wenn ich die Daten wiederhergestellt habe(testen ob das geht mache ich eh schon an einem anderen Rechner, der auf jeden Fall sauber ist), die Platte formatieren und neu installieren werde, mir ist das Restrisiko zu hoch.
Da brauchst du dir nicht die Mühe zu machen die Logfiles zu lesen :-)

Habe das mit dem CryptorBit versucht, leider auch keinen Erfolg. Schattenkopie war leider auch nicht aktiviert.

Was ich wirklich komisch finde ist das der Virus erst garnicht versucht hat Geld von mir zu erpressen, sondern einfach die Daten schreddert, das wirkt überhaupt nicht professionell und das habe ich schon länger nicht mehr gesehen. Wenn er nur zusammengeklickt ist muß es doch einen Decryptor geben, weil es nichts neues ist.

Würde mich freuen wenn du noch einen Tip hast.

Vielen Dank
Jörg

Zitat:

Was ich wirklich komisch finde ist das der Virus erst garnicht versucht hat Geld von mir zu erpressen, sondern einfach die Daten schreddert, das wirkt überhaupt nicht professionell und das habe ich schon länger nicht mehr gesehen. Wenn er nur zusammengeklickt ist muß es doch einen Decryptor geben, weil es nichts neues ist.

wenn die Dinger verschlüsselt sind, und du zum Entschlüsseln einen Code brauchst, ist dieser meist auf irgend einem Server gespeichert. Diese sind nach ein paar Tagen down, die COdes nie mehr erreichbar => No Chance.

Das ist natürlich echt Mist, ist dann aber so.
Ich danke dir auf jeden Fall für deine schnellen Antworten.

Gruß
Jörg

Gern Geschehen