hxxp://www.heise.de/security/meldung/Neuer-Erpressungs-Trojaner-verschluesselt-mit-RSA-2048-2180482.html

Hallo zusammen,

diesen Trojaner hat ein Kunde auf seinem Rechner. Es sind in den Verzeichnissen 2 Textdateien mit Anweisungen vorhanden und ein link auf eine Seite, wo 500 $ in Bitcoins gefordert werden. Ein Link verweist auf eine Wikipedia Seite mit RSA-2048 Verschlüsselung.

Die Daten haben noch die geleichen Dateiendungen, sind aber unterschiedlich groß wie die Originaldateien, wovon ja noch einige vorhanden waren, von etliche ist aber keine Sicherung vorhanden.
.jpg .pdf .doc und einige weitere sind vorhanden. Alle Schädlinge mit adwcleaner beseitigt, System läuft wieder, aber die Dateien lassen sich nicht mehr öffnen..

Wat nu?

Zitat:

diesen Trojaner hat ein Kunde auf seinem Rechner.

Ergo wir sollen deine Arbeit machen, für die Du Kohle bekommst?

Dazu müsste man wissen welcher Schädling der Ausgangspunkt war, welche Entschlüsselungstools schon genutz wurden, ob das neue Crypthelper schon versucht wurde. Wenn der Entschlüsselungskey des Autors auf nem C&C Server liegt kannste die Dateien vergessen oder bezahlen.

bezahlen ist genauso gut wie Kohle ins Scheißhaus werfen...

das ist doch wohl klar...

nur die alten Tools von Avira wo zwei Dateien, original und verschlüsslt eingegeben werden mussten um einen Schlüssel zu erzeugen, wie vor ein par Jahren, als eine vierstellige Endung an die Dateien gehängt wurde, Meldung war nur, daß die Dateien unterschiedlich groß wären. Ich mir aber nicht sicher, ob es überhaupt eine Verschlüsselung ist, sondern etwas anderes "die Dateien im Ordner hiessen Decrypt_instruction.txt und ein link auf eine Seite mit den 500 $ als Bitcoin..

versteh ich nit

Zitat:

Zitat von schrauber

versteh ich nit

in allen Verzeichnissen mit den Dateien sind jeweils 3 Dateien, die auf "decrypt_instruction" hinweisen, eine davon eine html Datei mit links auf Wikipedia RSA-2048 und die links zu den angeblichen Entperrservern...

Ja, dort findest du dann sehr warscheinlich den Weg wie du bezahlen kannst.

Zitat:

Zitat von schrauber

Ja, dort findest du dann sehr warscheinlich den Weg wie du bezahlen kannst.

Bezahlen ist doch lt. BSI rausgeschmissenes Geld, oder bekommst du etwa das Geld?

Zitat:

oder bekommst du etwa das Geld?

Was meinste denn damit?

1) Beim BSI sitzen nur Trottel, die gerne auch mal Panik schieben wegen angeblicher geklauter einer Trilliarde Email-Adressen.
2) jetzt zum dritten Mal:

Du hast NULL Chance die Daten zu entschlüssen, ohne den Private Key des Autors. Den wirste nicht bekommen, ausser du kennst den C&C Server und bist ein begnadeter Hacker, vorrausgesetzt der Server ist überhaupt noch Online.

Wie es bei dieser Variante mit Bezahlen steht weiß ich nit, bei Cryptolocker war es echt so, dass die Daten nach Bezahlung wieder freigegeben wurden.

und du bist ein ** eleganter Tiger !! **

und du bist weg