Hallo Trojaner-Board-Team,

einen Bekannten hat es leider erwischt und er hat sich einen Verschlüsselungs-Trojaner eingefangen und unterschiedliche Dateien verschlüssel und mit .crpyt versehen.

-------------------------------------------------------------------------------------------------------------------------------------------
Chimera® Ransomware

Sie wurden Opfer der Chimera® Malware. Ihre privaten Dateien wurden verschlüsselt und sind ohne eine spezielle Schlüsseldatei nicht wiederherstellbar. Möglicherweise funktionieren einige Programme nicht mehr ordnungsgemäß!

Hiermit werden Sie aufgefordert Bitcoins an die unten stehende Adresse zu transferieren, um Ihre persönliche Schlüsseldatei zu erhalten.
Adresse: 1Pjud7tqGASyiWqkz4Ljuj2CpfnjLhSf7b
Forderung: 2,51492222 Bitcoins
Das Entschlüsselungsprogramm und weitere Informationen, die Sie zur Wiederherstellung Ihrer Dateien benötigen, werden auf der folgenden Webseite zur Verfügung gestellt:
https://mega.nz/ChimeraDecrypter

Wenn Sie der Forderung nicht nachgehen, werden wir Ihre persönlichen Daten, Fotos und Videos in Verbindung mit Ihrem Namen im Internet veröffentlichen.

Sollten Sie über keine technische Innung verfügen kontaktieren Sie bitte einen Techniker, der Ihnen bestätigen kann, dass diese Forderung echt ist.

Profitieren Sie von unserem Affiliate-Programm!
Weitere Informationen im Quelltext dieser Datei.
-------------------------------------------------------------------------------------------------------------------------------------------

2 Tage später kam er zu mir un ich habe als erstes die Platte ausgebaute, eine neue gekauft und ein frisches System installiert.

Die "alte" Platte mit den verschlüsselten Daten, habe ich an meinen Linux-Rechner gesteckt um zu sehen was noch zu retten ist. Scheinbar wurden u.a. folgende Endungen verschlüsselt. (*doc*, *xls*, *pdf, *jpg, *jpeg,...) Großgeschrieben Endungen (*JPG, *JPEG,...) sind jedoch nicht betroffen und diese konnte ich bereits wieder zurück kopieren.

In dem Forum bin ich auf Einträge gestoßen das es manchmal möglich ist die Dateien zu entschlüsseln wenn eine Original-Datei und eine verschlüsselte Datei vorliegt. Deshalb hier eine zip-Datei mit folgendem Inhalt.

-rw-r--r-- 1 root root 24 Feb 26 2010 Version.txt
-rwxrwxrwx 1 root root 1304 Okt 6 15:12 Version.txt.crypt*
-rwxrwxrwx 1 root root 4558 Okt 6 15:12 YOUR_FILES_ARE_ENCRYPTED.HTML*

Habe ich hier noch eine Möglichkeit wieder an die verschlüsselten Date zu kommen.

vielen Dank,
Sebastian

Hi,

eine Entschlüsselung ist leider nicht möglich.

Hallo Schrauber,

vielen Dank für die schnelle Antwort.

2 Fragen hätte ich zu dem Thema noch:

1. Ist es denkbar das eine Entschlüsselung irgendwann möglich ist und lohnt es sich die verschlüsselten Daten aufzuheben.

2. Meiner Meinung nach macht es keinen Sinn die bitcoins zu bezahlen und auf Unterstützung der "Verursacher" zu hoffen oder?

vielen Dank,
Sebastian

Sicher kann man die irgendwo sichern, aber idR wird das nix bringen. Du musst schon den C&C Server des Autors hacken, um an den private key zu kommen.

Zum Bezahlen:
Ich rate davon immer ab. Aber es gab ein paar sehr wenige, die bezahlt haben und Glück hatten. Das war aber eine andere Version, ein anderer Autor.