Hallo, ich hoffe ich habe in der richtigen Rubrik gepostet....
Ich habe ein größeres, etwas verzwicktes Problem.
Meine Tochter macht ihr FSJ in Bolivien und hat sich dort auf ihrem Tab einen Virus eingefangen, der alle Dateien verschlüsselt.
Mehrere GB Bilder und alle Berichte sind betroffen. Bis vor kurzem war Panda Endpoint protection (ehemals PCOP Advanced) auf dem Rechner. Das Symbol ist aber nicht mehr vorhanden, also scheinbar hat das Teil den auch deaktiviert...
Dort in Bolivien hat sie nur begrenztes Internet über einen Stick und das nicht immer.
Ich hatte heute die Möglichkeit ein Bildschirmfoto von der Meldung zu machen, wo sich ein rotes Fenster mit zz78 und viel text gemeldet hat. Der ganze Text steht auch in einer txt Datei auf dem Desktop und viele Dateien haben die Endung .ezz hinter docx oder jpg.
Problem ist halt, dass das Mädel ihre Reiseberichte, Bilder und sonstige Aufzeichnungen auf diesem Teil hat und nun völlig verzweifelt ist. Von vielen Bildern ist eine Sicherung vorhanden, es gibt also vorher/nachher.
Kann mir jemand helfen, was ich aus der Ferne tun kann, oder wie der Trojaner / Virus erst mal entfernt werden kann.
Vielen Dank für eure Hilfe

Ingo

Hi,

zeig mal den screenshot. Sicher dass die Endung EZZ ist und nicht ECC?

Ich hoffe es klappt

... noch vergessen, ja die Endung ist ezz - ist auf dem Screenshot links emails.docx.ezz zu sehen

ich habe mittlerweile 2 Bilder - 1 im Original und eines im verseuchten Zustand - wenns was bringt
und den Text den der Trojaner schreibt

All your documents, photos, databases and other important files have been encrypted
with strongest encryption RSA-2048 key, generated for this computer.

Private decryption key is stored on a secret Internet server and nobody can
decrypt your files until you pay and obtain the private key.

If you see the main encryptor red window, examine it and follow the instructions.
Otherwise, it seems that you or your antivirus deleted the encryptor program.
Now you have the last chance to decrypt your files.
Open hxxp://qcuikaiye577q3p2.aenf387awmx28.com or hxxp://qcuikaiye577q3p2.od9wjn4iene29.com ,
https://qcuikaiye577q3p2.s5.tor-gateways.de/ in your browser.
They are public gates to the secret server.
Copy and paste the following Bitcoin address in the input form on server. Avoid missprints.
1EL4AJsr3pA6E26MA9X5HjHuEFB18DXrpC
Follow the instructions on the server.



If you have problems with gates, use direct connection:
1. Download Tor Browser from hxxp://torproject.org
2. In the Tor Browser open the hxxp://qcuikaiye577q3p2.onion/
Note that this server is available via Tor Browser only.
Retry in 1 hour if site is not reachable.
Copy and paste the following Bitcoin address in the input form on server. Avoid missprints.
1EL4AJsr3pA6E26MA9X5HjHuEFB18DXrpC
Follow the instructions on the server.

Ich hab das mal weitergeleitet und melde mich wieder.

Kannst Du mir bitte ein Original und ein verschlüsseltes Dokument zippen und anhängen?

Besteht noch ne Chance dass der Übeltäter auch noch vorhanden ist, also die Datei die ausgeführt wurde, oder die Seite bekannt ist von der das kam?

also, die Seite, wo das Teil herkommt, war wahrscheinlich der Blog, den sie pflegt / ausfüllen muss. das ist unter ayopaya.de. ob der da noch drauf ist, kann ich nicht sagen.
die Datei die ich habe ist ein Foto welches verändert wurde. ich hab zwar aus dieser Gruppe alle da, weiß aber nicht genau welches das Original ist, da es (vor dem Trojaner) umbenannt wurde. Das kläre ich gerade, bzw versuche ein Dokument zu bekommen welches verändert wurde.
Danke

Ingo

so, jetzt hab ich auch ein pdf bekommen welches verseucht wurde.
Der Virus schreibt hinter die Datei ein .ezz (xxx.pdf.ezz)
ich hab jetzt das original pdf und das verseuchte gezippt und angehängt

Und gerade hab ich noch eine docx Datei bekommen und auch mal rangehängt

Und bitte noch das hier, mit viel Glück ist die Exe noch auf dem System:

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Hi,

Cisco's Talos Group releases decryptor for TeslaCrypt - News

Bitte mal den folgenden Decrypter testen. Der ist für die ältere Version, Teslycrypt. Dieses hier ist die neue Version, Alphacrypt. Wir wissen noch nicht ob der Decrypter auch für die neue Version geht.

Bitte testen und berichten.

so, hatte mal wieder Kontakt und hab die txts bekommen

Hast Du meinen letzten Post gesehen? Decrypter getestet?

ja, hatte ich. Hab aber immer nur stückweise Kontakt, so dass nicht alles zeitnah umsetzbar ist.
Aber jetzt hatte ich wieder Kontakt - funktioniert nicht.

Das Ding ist eben brandneu, die Tipps kommen in Echtzeit:

Bitte mal testweise bei ein paar Dateien die Endung EZZ in ECC ändern, also alte Version, dann den Decrypter wieder testen.