Hallo zusammen,

ich hatte letzte Woche eine hartnäckige BKA-Tojaner-Infektion.
Mit der Hilfe von den vielen Tipps hier im Forum gelang es den Schädling zu entfernen. - Schon mal DANKE dafür !!!

Er hat jedoch ganze Arbeit geleistet und viele Dateien in den "Eigenen-Dateien" codiert.
Und zwar in die Endungen: .enc.rtf

Die Dateinamen sehen dann so aus:
Beispiel.docx.enc.rtf
Codiert wurden alle möglichen Dateiarten, egal ob pdf,doc,pgn,xlsx,...

Beim öffnen der Dateien erscheint dann nun wirklich ein rtf-Text mit dem Hinweis auf eine bestimmte Datei und der Aufforderung einen Code von einem E-Cash einzugeben.

Ich habe schon einige Decodierer mit einer sauberen Originaldatei ausprobiert, jedoch ohne Erfolg. Ein großes Problem wird dabei wohl die unterschiedliche Dateigröße sein,oder!? Schliesslich wurde ja ein RTF-Text hinzugefügt.

Für weitere hilfreiche Hinweise von Euch wäre ich sehr dankbar !!

Grüße

Euer Tobi

Du hast alle gängigen Tools die du hier am Board erwähnt findest getestet?

Hallo,

ich bin mir nicht sicher ob ich "alle" Tools HIER gefunden habe.

Hast Du einen expliziten Tip zu DEM Problem?


Gruß
Tobi

gerade geschaut, gibt nix an Tools. Nimm mal bitte eine verschlüsselte Datei, sowie die im RTF erwähnte Datei und zippe diese, häng sie hier an, ich leite das mal weiter.

und das hier bitte noch:

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Dateien sind unterwegs zu Dir

Grüße
Tobi

Hi,

sorry, RSA Veschlüsselung, ein privater Key pro Gerät, dieer wiederum verschlüsselt mit dem privaten key des malware-Autors. Keine Chance das zu Entschlüsseln.

Daten wiederherstellen aus einem alten backup oder aus Schattenkopien, wenn da nix is sind die Daten futsch.