Liebe Board-Mitglieder,
mein Name ist Erich und ich bin neu hier. In der Hoffnung dass ich hier möglicherweise für mein Problem eine Unterstützung bzw. einen Rat für Abhilfe bekomme möchte ich Euch mal mein Problem beschreiben. Im Board habe ich leider nichts gefunden das mir weiterhilft oder ich kann es nicht verwenden oder richtig interpretieren.
Trotz Symantec Internet Security habe ich mir wohl einen Trojaner, Malware oder sonst etwas auf meinem PC eingefangen, bin mir aber nicht bewusst wodurch dies passiert ist.
Einige Tools von Kaspersky hatte ich bereits probiert und wohl dadurch (hoffentlich) den Eindringling erwischt und gelöscht. Bin mir aber nicht sicher.

Was aber als Resultat des Angriffes ist dass alle meine Office-Dateien und andere (xls, docx, pdf, jpg, zip usw.) durch einen Trojaner oder Malware verschlüsselt wurden.
Alle Dateiendungen lauten nun z.B. Filename.pdf.ctb2 oder Filename.xls.ctb2
Die Dateien lassen sich teilweise öffnen und haben ein kryptischen Inhalt wie z.B. diesen: ©¸þ˜%x�eŽ«¢gêœ[Ûô¬èù…YÔ�S×pº�øi˜Ó0žW8¬F¹é¥¿YÈt,ŸÖ:—/¬.ëMÞ-Š+âºÈ?E¬�Åõl�Þ/?Ë�ÚsÅ>©ñ”˜Dlœ -’+=ãån+ç&kë3L;Cû™µpM¥ûO§áœM¼ !f�

Ohne meine Originaldateien werde ich ein massives Problem bekommen. Denn auch meine Datensicherung ist befallen.

Nun hoffe ich auf Euch dass ihr mir vielleicht einen Weg zeigen könnt wie ich diese Dateien wieder "entschlüsselt" bekomme.

Die Hoffnung stirbt zuletzt!

Gruss Erich

Hi,

alle gängigen Entschlüsselungstools versucht?
http://www.trojaner-board.de/116851-...tml#post842337

Danke Mr. Schrauber,
leider hat keines der Tools angeschlagen. Die sind vermutlich alle schon älteren Semester und kennen die neuen Gegebenheiten (Schadversionen) nicht.
Einzig und allein der ShadowExplorer findet ein bisschen etwas, leider liegen aber die Kopien viel zu weit zurück und sind somit auch nicht wirklich verwendbar.
Trotzdem eine Frage dazu. Wieso findet der Explorer keine neueren Shadow-Kopien?

Grus Erich

Keine Ahnung warum der Shadow Explorer sonst nix zeigt, vielleicht waren die Schattenkopien deaktiviert.

Fakt ist, dass deine Daten futsch sind, ausser du zahlst an den Malwareautor:

New Critroni variant offers free test decryption and now uses CTB2 extension - News

Schönen guten Abend,
das hört sich ja gar nicht gut an. Gibt es wirklich keine Möglichkeit die Dateien wieder zu entschlüsseln?

Wie sicher kann man sich denn sein dass der Malwareautor nach der Bezahlung auch Wort hält und die Daten wieder verwendbar sind und nicht eine weitere Infizierung der PC's passiert?

Ich habe da ein File AllFilesAreLocked.txt mit folgendem Inhalt auf dem Rechner entdeckt. Da wird nichts erwähnt von bezahlen.

Wie soll man darauf reagieren?
--- snip ------
Your documents, photos, databases and other important files have been encrypted
with strongest encryption and unique key, generated for this computer.

Private decryption key is stored on a secret Internet server and nobody can
decrypt your files until you pay and obtain the private key.

If you see the main locker window, follow the instructions on the locker.
Overwise, it's seems that you or your antivirus deleted the locker program.
Now you have the last chance to decrypt your files.

1. Type the address hxxp://torproject.org in your Internet browser.
It opens the Tor site.

2. Press 'Download Tor', then press 'DOWNLOAD Tor Browser Bundle',
install and run it.\

3. Now you have Tor Browser. In the Tor Browser open the hxxp://zt6bycgnjvatzzvi.onion
Note that this server is available via Tor Browser only.
Retry in 1 hour if site is not reachable.

4. Copy and paste the following public key in the input form on server. Avoid missprints.
ZD3LII-INJJAJ-3HAJID-HTKRSH-3R5UG3-2GRKKQ-K7VISZ-QBRESG
QFOCMF-IHZWRU-SM4OQ3-WEQL6I-6BS2WF-E6DSX3-DJ3BOG-6IEHYW
KFKAKN-5PY4QX-LHUD7N-QNHHLA-UZDPKL-23KHLX-O7K3ZJ-QODLXR
5. Follow the instructions on the server.

---snip---

Noch eine Idee?

Gruß
Erich

steht doch alles genau da. Wenn der Lockscreen nicht kommt wurde die Malware vom AV oder Dir gekillt, was in dem Fall blöd is. Dann die Schritte mit dem TOR Browser machen.
Dann bekommste wieder die Opton zu zahlen.

In der Regel, wie im Thread bei BC beschrieben, bekommste 5 freie Versuche zum Entschlüsseln, als Beweis dass die Entschlüsselung funktioniert. Zum Rest kann ich nix sagen, da ich die Infektion selbst nie hatte und keinen kenne der bezahlt hat.

Bei einer andern Variante, Cryptolocker, weiß ich aber dass nach Bezahlen die Daten sauber entschlüsselt wurden.

mir ist schon bewusst was da steht......wollte nur wissen was Du mir aus Deiner Erfahrung heraus rätst und ob es nicht doch eine Möglichkeit gibt wieder an die Daten zu kommen....ohne die Vorgaben zu befolgen oder zu bezahlen!

gruß
enrico12

Du musst Dir das so vorstellen. Wir alle, sprich alle Securityforen (oder zumindest die namhaften), arbeiten zusammen.

Bei BC läuft das meiste an solchen Fällen auf, und dort sind auch die meisten der Leute aktiv, die eine Entschlüsselung versuchen.

Wenn im Thread bei BC im ersten Satz schon steht, dass eine Entschlüsselung nicht möglich ist, brauch man nicht weiter suchen. Dann gibt es keine.

Also kann ich das Ganze abhaken und kann eigentlich aufgeben.

Du schreibst weiter oben dass Du keinen kennst der bezahlt hat. Wie stehst Du dazu doch zu bezahlen? Das Ganze ist doch fragwürdig und unsicher, oder?



gruß
enrico12

Ich kenne einen der bei Cryptolocker bezahlt hat. Ebenso kenne ich einen Cryptolocker Thread wo mehrere Leute gepostet haben dass bezahlen die Daten zurückgebracht hat.

Bei dieser Variante kenne ich keinen. In dem verlinkten Thema bei BC musst Du mal nachlesen, ob sich dort jemand diesbezüglich geäussert hat.

Zitat:

Das Ganze ist doch fragwürdig und unsicher, oder?

Naja, egal wie groß oder klein die Chance ist, es ist deine einzige Chance. Ausser die ganzes Files zu löschen und das Thema unter "Lernen durch Schmerz" abzuhaken.