ransomware .xrtn - decrypt klappt nicht

riesel

Hallo,

ja, ich wurde erwischt und ja, ich habe Backups.
Win 7, Netzwerk, viele Laufwerke, noch viel mehr Dateien.
Trotzdem, weil es viel einfacher ist, da inzwischen weiter gearbeitet wurde, habe ich das Lösegeld bezahlt. Es ist ein ganz aktueller Ransomware-Fall, denn ich habe auser einem Eintrag hier im Board nix googlen können. Die Dateien wurden alle mit .xrtn umbenannt.

Ich habe inzwischen den decrypter erhalten, aber der entschlüsselt die Dateien nicht bzw. nur einige. Daher gehe ich mal davon aus, dass die Batch-Datei fehlerhaft ist. Zuerst hat er die inconv.dll vermisst. Die habe ich dann erhalten, in dem ich gpg4win installiert habe.

Nun habe ich die Hoffnung, dass mir hier jemand weiterhelfen kann.

Ich habe den betroffenen PC noch nicht bereinigt, d.h. ich habe noch kein einziges Tool laufen lassen, um das Verschlüsselsungstool zu entfernen.

Hier ist nun das decrypt-script:
@ECHO OFF
attrib -s -h -r UNCRYPT.KEY
if not exist UNCRYPT.KEY (echo UNCRYPT.KEY NOT EXIST - press any key&pause&goto eof)
gpg.exe --import UNCRYPT.KEY

FOR %%f IN ( C D E F G H I J K L M N O P Q R S T U V W X Y Z ) DO call :decode %%f
goto eof
:decode
dir /B "%1:\"&& for /r "%1:\" %%i in (*.vault) do (
RENAME "%%~fi" "%%~ni.gpg" & gpg.exe --batch --no-verbose -q --decrypt-files "%%~pi%%~ni.gpg" & del /f /q "%%~pi%%~ni.gpg"
)

dir /B "%1:\"&& for /r "%1:\" %%i in (*.gpg) do (
gpg.exe --batch --no-verbose -q --decrypt-files "%%~fi" & del /f /q "%%~fi"
)

:eof
ECHO.
ECHO FINISHED!

Wenn noch Infos fehlen, liefere ich gerne.
Da ich schon den Erpresser bezahlt habe, würde ich auch demjenigen etwas zahlen, der mir hilft, die Dateien zu entschlüsseln.

Danke und Gruß - riesel

So, ich habe selbst die Lösung gefunden.
Das Skript findet die .xrtn-Dateien nicht.
Wenn ich den Dateien die Endung .gpg verpasse, dann werden sie entschlüsselt.
Und wenn ich .vault im Skript in .xrtn umbenenne, dann brauche ich noch nicht mal das Umbenennen.
Für mich ist das Thema gelöst.