Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Windows 7: Mit CTB-Locker verschlüsselte Dateien entschlüsseln

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 22.06.2015, 01:29   #1
Zockerfreak112
 

Windows 7: Mit CTB-Locker verschlüsselte Dateien entschlüsseln - Standard

Windows 7: Mit CTB-Locker verschlüsselte Dateien entschlüsseln



Hallo!

Ich kümmere mich derzeit um das Problem von Bekannten mit ihrem Win 7 Laptop, der mit der Ransomware CTB-Locker befallen war. Ich kann leider nicht so häufig auf den Laptop zugreifen aus Distanzgründen, deswegen hab ich jetzt leider keine Logs von FRST und GMER anbieten. Ich denke, das ist aber nicht einmal unbedingt notwendig, aus folgenden Gründen:

Die Infizierung fand bereits vor über einem halben Jahr statt, viele Dateien wurden vom CTB-Locker verschlüsselt, zudem wurden auch vom Laptop aus Spam-Mails versendet. Die verschlüsselten (wie noch unverschlüsselten) Dateien wurden dann vor einem halben Jahr auf einer externen HDD gesichert, der Laptop formatiert.
Erst jetzt setze ich mich mit der Problematik auseinander, das bedeutet, dass leider keine Logs oder Aufzeichnungen darüber existieren, wie die Malware genau hieß.

Als Antivirenprogramm läuft Avira Antivir (Free) darauf, ich habe mit Malwarebytes Anti-Malware einen Scan des Laptops und der externen HDD durchführen lassen (in den Einstellungen hatte ich "Suche nach Rootkits" aktiviert), es wurde nichts gefunden. Das System scheint also durch die Formatierung sauber zu sein, die Dateien sind jedoch natürlich noch verschlüsselt.

Ich habe versucht mich zu informieren, und da die Verschlüsselungen individuell sind, gibt es da wenig Hoffnung. Andere Workarounds wie Backups, Schattenkopien oder sonstiges können leider nicht angewandt werden, da zum einen keine Backups angelegt wurden, zum anderen wurde ja formatiert.

Das einzige, was ich tun konnte: Mit Hilfe von Recuva (Tiefenanalyse) habe ich Bilder von einer Fotokamera wiederherstellen können, leider nur einen minimalen Bruchteil. Die Bilder wären übrigens das einzige, was gerettet werden müsste, auf die restlichen Dateien können die Besitzer des Laptops verzichten.

Die Dateien/Bilder haben als zusätzliche Dateieendung .wfexjsd durch die Verschlüsselung erhalten, diese scheint jedoch zufällig generiert zu sein, da Google dazu nichts ausspuckt.

Gibt es vielleicht doch noch Hoffnung, diese Dateien zu entschlüsseln? Ich hab mit etwas Recherche einige Programme (Decrypter, Fotorecovery, Webseiten) gefunden, die ich mal ausprobieren muss, sobald ich wieder die Chance dazu habe. Diese wären:
  • https://www.decryptcryptolocker.com/
  • Pandaunransom.exe
  • Kaspersky Decrypt Tool (xoristdecryptor & rectordecryptor)
  • Anti-CryptorBitV2
  • decrypt_cryptodefense
  • PhotoRec
  • Testdisk7.0

Soll ich diese Programme ausprobieren, oder ist von deren Gebrauch abzuraten? Könnte ich vielleicht herausfinden, mit welcher Methode die Dateien verschlüsselt worden sind (Dann fehlt mir natürlich immer noch der Schlüssel, aber man kann vielleicht abschätzen, wie hoch die Erfolgswahrscheinlichkeit sein kann)?
Wie soll ich bezüglich dieses Problems insgesamt weiter verfahren?

Ich bedanke mich bereits vielmals!
__________________
„Habe Mut, dich deines eigenen Verstandes zu bedienen.” - Immanuel Kant

Alt 22.06.2015, 05:54   #2
schrauber
/// the machine
/// TB-Ausbilder
 

Windows 7: Mit CTB-Locker verschlüsselte Dateien entschlüsseln - Standard

Windows 7: Mit CTB-Locker verschlüsselte Dateien entschlüsseln



hi,

Kannste ausprobieren, wird aber nix bringen.

1) ist CTB nicht zu entschlüsseln
2) darf das Gerät niemals formatiert werden, wenn Daten gerettet werden sollen.
__________________

__________________

Alt 22.06.2015, 13:50   #3
Zockerfreak112
 

Windows 7: Mit CTB-Locker verschlüsselte Dateien entschlüsseln - Standard

Windows 7: Mit CTB-Locker verschlüsselte Dateien entschlüsseln



Hallo,

vielen Dank für die Antwort!
Dass das Formatieren ein Fehler war, war mir bewusst, ich wurde allerdings wie gesagt viel zu spät in die Problematik eingeführt. Ich hatte Hoffnung auf eine Entschlüsselung, da hier (https://zairon.wordpress.com/2015/02/09/ctb-locker-files-decryption-demonstration-feature/) anscheinend jemand mittels Reverse Engineering den Schlüssel herausfinden konnte. Leider wurde ja bereits formatiert.

Auch dachte ich an die Möglichkeit, dass vielleicht ältere Ransomware dieser Art einfachere Verschlüsselung verwendet oder vielleicht Versionen existieren, die einen gleichen Schlüssel verwenden. Und mit viel Glück hätte es sein können, dass einige dieser Schlüssel bereits bekannt sind, und der Laptop mit einem Version infizierten war, dessen Schlüssel irgendwo bekannt sein könnte. Aus diesem Grund dachte ich an Decryptsoftware oder die angegebene Internetseite, die möglicherweise so ein Schlüsselpaket enthalten könnten - quasi eine Bruteforce-Methode mit bereits bekannten Schlüsseln.
Apropos Bruteforce: Was bei einfachen .rar-Archiven möglich wäre, könnte das nicht auch für solche Verschlüsselungen anwendbar sein? Ich denke zwar, falls das möglich ist, würde das eine Ewigkeit dauern (ist ja bereits bei einfachen Passwörtern sehr sehr langwierig), doch vielleicht ist das ja noch in einem realistischen Rahmen, wenn man über Wochen, Monate oder Jahre hinweg diese trial and error Entschlüsselung fortsetzt.
__________________
__________________

Alt 23.06.2015, 06:04   #4
schrauber
/// the machine
/// TB-Ausbilder
 

Windows 7: Mit CTB-Locker verschlüsselte Dateien entschlüsseln - Standard

Windows 7: Mit CTB-Locker verschlüsselte Dateien entschlüsseln



Eher Jahrhunderte

Bei anderer Ransomware konnte sogar der C&C Server gehackt werden und so die Keys gerettet, aber bei CTB leider nicht.
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Antwort

Themen zu Windows 7: Mit CTB-Locker verschlüsselte Dateien entschlüsseln
anti-malware, avira, besitzer, crypter, dateien, decryptor, einstellungen, entschlüsseln, folge, formatierung, free, gmer, google, kaspersky, laptop, locker, malware, malwarebytes, problem, programm, programme, ransomware, recuva, rootkits, scan, suche, system, unbedingt, webseiten, windows, zufällig




Ähnliche Themen: Windows 7: Mit CTB-Locker verschlüsselte Dateien entschlüsseln


  1. Verschlüsselte Pc's durch Bezahlung entschlüsseln?
    Diskussionsforum - 03.11.2015 (9)
  2. Daten entschlüsseln die vom CTB Locker verschlüsselt wurden
    Plagegeister aller Art und deren Bekämpfung - 15.02.2015 (3)
  3. Daten entschlüsseln die vom CTB Locker verschlüsselt wurden
    Plagegeister aller Art und deren Bekämpfung - 23.01.2015 (3)
  4. My Win Locker Problem Datei lässt sich nicht mehr entschlüsseln
    Alles rund um Windows - 20.09.2013 (2)
  5. Verschlüsselte Dateien
    Plagegeister aller Art und deren Bekämpfung - 22.07.2013 (5)
  6. DirtyDecrypt.exe - Verschlüsselte Dateien entschlüsseln
    Plagegeister aller Art und deren Bekämpfung - 02.06.2013 (7)
  7. Verschlüsselte Daten entschlüsseln
    Log-Analyse und Auswertung - 07.03.2013 (3)
  8. Verschlüsselte Dateien entschlüsseln
    Plagegeister aller Art und deren Bekämpfung - 30.07.2012 (1)
  9. Windows-Verschlüsselungs-Trojaner: wie Dateien wieder entschlüsseln?
    Plagegeister aller Art und deren Bekämpfung - 19.07.2012 (3)
  10. Verschlüsselte Dateien
    Plagegeister aller Art und deren Bekämpfung - 13.07.2012 (3)
  11. TR.Matsnu.EB.31 verschlüsselte Dateien sind nicht umbenannt nach locker etc.
    Plagegeister aller Art und deren Bekämpfung - 12.07.2012 (1)
  12. Windows Update Virus verschlüsselte Dateien
    Log-Analyse und Auswertung - 08.06.2012 (3)
  13. Windows Verschlüsselungs Trojaner --> Dateien Entschlüsseln
    Log-Analyse und Auswertung - 05.06.2012 (1)
  14. Verschlüsselte Dateien entschlüsseln
    Plagegeister aller Art und deren Bekämpfung - 03.06.2012 (1)
  15. TR/Crypt.Gypikon.B.3 verschlüsselte Daten - entschlüsseln
    Plagegeister aller Art und deren Bekämpfung - 08.05.2012 (1)
  16. Verschlüsselte Dateien entschlüsseln
    Plagegeister aller Art und deren Bekämpfung - 05.05.2012 (3)
  17. Nach "Bundestrojaner" verschlüsselte Datein entschlüsseln?
    Plagegeister aller Art und deren Bekämpfung - 27.04.2012 (1)

Zum Thema Windows 7: Mit CTB-Locker verschlüsselte Dateien entschlüsseln - Hallo! Ich kümmere mich derzeit um das Problem von Bekannten mit ihrem Win 7 Laptop, der mit der Ransomware CTB-Locker befallen war. Ich kann leider nicht so häufig auf den - Windows 7: Mit CTB-Locker verschlüsselte Dateien entschlüsseln...
Archiv
Du betrachtest: Windows 7: Mit CTB-Locker verschlüsselte Dateien entschlüsseln auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.