Hallo TB-Team,

der User Tobias hat bereits benannt, was nun auch mein Problem ist, vgl. http://www.trojaner-board.de/171488-...ner-crypt.html

D.h. eine befreundete Firma hat sich o.g. eingefangen, und nun sind sämtliche PDF-, Excel- und Text-Dateien nun verschlüsselt und haben die Endung .crypt.

Ich habe die als .pdf "getarnte" .exe mal auf nem mac runtergeladen, und online checken lassen. Folgendes warfen die Antivirenscanner aus:

sophos: Troj/Agent-AOTV
malwarebytes: Ransom.Chimera
kaspersky: UDSangerousObject.Multi.Generic

Ich habe im Anhang mal ein paar verschlüsselte Dateien angehängt, sowie die html-Datei, die der Virus/Trojaner zur Information mit abgelegt hat.
YOUR_FILES_ARE_ENCRYPTED.HTML

Wie bei Tobias auch steht dort:

----------------------------------------------------------
Chimera® Ransomware

Sie wurden Opfer der Chimera® Malware. Ihre privaten Dateien wurden verschlüsselt und sind ohne eine spezielle Schlüsseldatei nicht wiederherstellbar. Möglicherweise funktionieren einige Programme nicht mehr ordnungsgemäß!

Hiermit werden Sie aufgefordert Bitcoins an die unten stehende Adresse zu transferieren, um Ihre persönliche Schlüsseldatei zu erhalten.
Adresse: (siehe Datei)
Forderung: 1,05938856 Bitcoins
Das Entschlüsselungsprogramm und weitere Informationen, die Sie zur Wiederherstellung Ihrer Dateien benötigen, werden auf der folgenden Webseite zur Verfügung gestellt:

https://mega.nz/ChimeraDecrypter
Wenn Sie der Forderung nicht nachgehen, werden wir Ihre persönlichen Daten, Fotos und Videos in Verbindung mit Ihrem Namen im Internet veröffentlichen.

Sollten Sie über keine technische Innung verfügen kontaktieren Sie bitte einen Techniker, der Ihnen bestätigen kann, dass diese Forderung echt ist.

Profitieren Sie von unserem Affiliate-Programm!
Weitere Informationen im Quelltext dieser Datei.
----------------------------------------------------------

Ich fände es auch schön, wenn mir jemand sagen könnte, ob und wie die Dateien zu entschlüsseln sind.

Danke sehr und beste Grüße,

Karl

P.S.: Original, d.h. unverschlüsselte Dateien, habe ich leider nicht vorliegen.

P.P.S.: Ist es überhaupt realistisch, die Dateien entschlüsselt zu bekommen, ohne den Erpressern das Geld zu senden?

Hi,

bei den letzten Varianten gab es keine realistische Chance mehr.

Die ersten Verschlüsselungstrojaner haben wir Anfang/Mitte 2012 beobachtet, die damit verschlüsselten Dateien ließen sich tw. recht einfach wiederherstellen.

Wo du von Firma sprichst. Sagma, hab diesen kein vernünftiges Backup?
Ich mein, dass man nicht alle 10 Minuten ein neues Backup machen kann ist ja klar, aber zumindest Daten ablegen auf einem Windows-Server (als Fileserver und meinetwegen noch Domaincontroller) mit aktiven Schattenkopien, das wird nicht praktiziert?

Zitat:

Zitat von cosinus

Hi,

bei den letzten Varianten gab es keine realistische Chance mehr.

Die ersten Verschlüsselungstrojaner haben wir Anfang/Mitte 2012 beobachtet, die damit verschlüsselten Dateien ließen sich tw. recht einfach wiederherstellen.

Wo du von Firma sprichst. Sagma, hab diesen kein vernünftiges Backup?
Ich mein, dass man nicht alle 10 Minuten ein neues Backup machen kann ist ja klar, aber zumindest Daten ablegen auf einem Windows-Server (als Fileserver und meinetwegen noch Domaincontroller) mit aktiven Schattenkopien, das wird nicht praktiziert?

Schade, dass es anscheinend keine Chance mehr gibt, die Daten wiederherzustellen.

Und Du sprichst den wunden Punkt an: ich habe ebenfalls die Hände über dem Kopf zusammengeschlagen, als ich das gehört habe: keine regelmäßigen Backups. Zwar sind die Kern-Geschäftsdaten täglich gesichert. Aber sämtliche .doc .pdf .xls etc. Dateien werden (wurden!) alle Jubeljahre mal gesichert. Glaube, die haben Ihre Lektion gelernt.

Bleibt wohl nichts anderes übrig, als es zu versuchen, mit den Herren/Damen Erpressern zusammenzukommen.

Melde mich!

Danke für Eure Hilfe!

Wo werden die Dateien für die tägliche Arbeit denn gespeichert? Nicht auf einem Windows-Server?

Zitat:

Zitat von cosinus

Wo werden die Dateien für die tägliche Arbeit denn gespeichert? Nicht auf einem Windows-Server?

Die haben 2 Win 7 Prof Rechner und 1 NAS Laufwerk mit nem Raid-1-Verbund drauf. Da is nix mit Windows-Server. Blöd ist die fehlende Versionierung der Backups. Originaldateien haben die deshalb nicht mehr. Deren Glück ist sogar noch, dass der Trojaner "nur" Textdateien verschlüsselt hat.

Genau das wäre ja der Vorteil bei einem Windows-Server. Die Schattenkopien sind ja eine Versionierung ("Vorgängerversionen"), aber das wird ja nicht benutzt weil man lieber ein Client-OS wie Windows 7 Pro als Server nimmt und dann nichtmal regelmäßige Backups....

Warum wird denn immer am falschen Ende gespart. Erst das Backup vernachlässigen und dann solche Krücken verwenden...mit nem Windows-Server hätten die Active Directory (zentrale Benutzerkontenverwaltung), einfaches und mächtiges DHCP, DNS, Gruppenrichtlinien und so weiter. Windows-Server können schon ne Menge und die Lizenzen sind gerade im Firmenalltag wirklich ihr Geld wert.

Zitat:

Zitat von cosinus

Warum wird denn immer am falschen Ende gespart.

Ich kann Dir nur beipflichten. Deine Worte sind genau das, was ich auch gesagt habe. Allerdings ist Win Server jetzt auch kein muss. Die sind so klein, dass ein vernünftiges Backup Prozedere gereicht hätte.

Aber egal. Danke Euch und Guts nächtle!

Naja, vernünftige Backups sind teuer.

Eine typische husch husch schnell schnell billig Lösung, die für Hause an 1-2 PC ja wunderbar funktioniert, also eine USB-Festplatte als Backup nehmen, wird in der Firma schnell unpraktikabel. Wenn die ständig drangeklemmt ist kann auch ein Schädling mit Adminrechten darauf schreiben und Daten manipulieren. Je nachdem wie es eingerichtet ist...