Hi an alle,

habe hier so einige Threads zum Thema Ransomware verfolgt aber bin leider für mein Problem nicht ganz fündig geworden.

Ich habe viele verschlüsselte Daten einer Ransomware die wohl vor 3 Jahren neu/aktiv war.
Mein PC ist sauber, viel mehr habe ich die Daten eines infizierten Rechners alle bei mir gesichert in der Hoffnung sie evtl. mal entschlüsseln zu können.

In 90% der Threads geht es um Dateien die entweder eine Dateiendung haben wie .locked .encrypted etc. oder um dateien die ein voran gestelltes locked- oder andere Zeichenketten als Präfix haben.
In den anderen 10% (so wie bei meinen Dateien) gibt es keine Dateiendung, jedoch sind dort viele verschiedene Zeichen (und oder Zahlen) im Namen inbegriffen was bei meinen Daten nicht der Fall ist.

Ich würde also gern herausfinden mit welcher Ransomware ich es zu tun habe und hoffe, dass mir hier geholfen werden kann.

Die Dateinamen sind beispielsweise folgende:

Code: Alles auswählenAufklappen

ATTFilter

aaaaaTTaaTTTTaaTT
ADllllDDllllDDlll
gjjAAjjjAAAjjjAAA
LLUUUUddUUddddUUdd
nuuQQuuuuQQuuQ
OggOOggOOOOggOOOO
oooEEEooooEEoooEEEoo
ssstttssttttssttssss
UggOOggggOOOgggOOg
xxxxGGGxxxGGGxxxGGx
yAAjjAAjAjjAAjjj
         

Wie es scheint, ging er nicht strukturiert durch, denn in verschiedenen Ordnern sind manchmal keine bis hin zu allen Dateien verschlüsselt oder auch mal nur 5.
Bei einigen Dateien liegt die Originaldatei auch noch daneben, ohne dass sie gelöscht wurde.

Viel mehr Informationen hab ich jetzt erst Mal nicht aber bei Fragen werde ich hoffentlich passende Antworten geben können.

Hi,

die Kenntnis des Namen des ransoms reicht noch lange nicht aus, um die Daten zu entschlüsseln. Bei den alten Dingern hast du imho schlechte Chancen....vllt hilft da => Alle Schlüssel in Decryptor: Das Ende von Bitcryptor und Coinvault | heise Security

Hey, danke schon mal für die Antwort und den ersten Hilfe-Versuch.
Über die beiden Vertreter bzw. die "Softwarefamilie" hab ich auch einiges gelesen und sogar den Decryptor getestet, aber ohne Erfolg.

Und bisher haben alle 3 Varianten (Cryptographic Locker, BitCryptor und CoinVault) an die verschlüsselten Dateien die Endung .clf angehangen. Ausnahmen sind soweit nicht bekannt. Endungen gibt es ka leider bei mir nicht.

Ja die Namen reichen zum entschlüsseln natürlich nicht, das stimmt aber was würde denn noch zur Identifikation der "Malware" helfen Außer der Sperrbildschirm und die .exe-Datei, welche mir nicht mehr vorliegen.

Ich hoffe, dass es bei der noch etwas älteren Ransomeware eben noch keine AES-Verschlüsselung angewandt wurde aber dafür muss man eben erst mal herausfinden worum es sich handelt.
Falls ein Sample hilft, oder die ersten "X"-Bytes um etwas zu analysieren, kann ich gern zur Verfügung stellen.
Gruß