Hallo Community,

jetzt ist es auch bei einem Bekannten von mir passiert, er hat ein Anhang einer Mail geöffnet und dabei einen Verschlüsselungstrojaner aktiviert.

Er arbeitet unter Windows 10 und dort ausschließlich mit einem eingeschränkten Benutzerprofil (Standardbenutzer), so dass sich der Trojaner nicht als Programm installieren konnte, jedoch hat der Trojaner beim Aufruf trotzdem sehr viel Schaden anrichten können. Viele Dateien, darunter leider auch eine etwas größere Hausarbeit ca. 150 Seiten wurden verschlüsselt und lassen sich jetzt nicht mehr öffnen.

Zum Thema Datensicherung, die letzte Datensicherung ist leider über einen Monat her, die Hausarbeit ist dort nur ganz am Anfang (21 Seiten) gespeichert worden. Es liegt leider auch keine ältere Vorgängerversion vor, da sich die Dateien auf einer externen Festplatte befanden und dort keine Dateirevisionen aktiviert waren. Mein Bekannter ist jetzt schon ziemlich verzweifelt und hat derzeit keine Ahnung, was er machen soll.

Ich habe versucht ihm zu helfen und seine Festplatte mit Antivir untersucht, es wurde ein Virus Batch-Virus BAT/Agent.435 gefunden. Die Entschlüsselung der Dateien habe ich mit den Tools von https://bitbucket.org/jadacyrus/ransomwareremovalkit/downloads versucht, jedoch hat leider kein Tool dabei geholfen.

Bei durchgehen des Temp Ordners des lokalen Profils ist mir aufgefallen, dass der Trojaner 3 .cmd Files, 1 .js File, 3 .key Files (4077430c_trun.KEY, CONFIRMATION.KEY und trun.KEY) 1 .txt File (trun.txt) gespeichert hat.

Im Textfile gibt der Virenverursacher freundlicherweise seine Kontaktdaten (trunhelp@yandex.ru) mit weiteren Hinweisen (ecrypted using a RSA cryptographic algorithm) an.

Habt Ihr vielleicht eine Idee, ob die Dateien auf Basis der .KEY Files wieder entschlüsselt werden können?
Gibt es vielleicht noch andere Tools, welche beim Entschlüsseln der Dateien helfen können?

Wir sind für jeden Hinweis dankbar.

Dirk

p.s: Kommentare zur Datensicherung oder zum öffnen des Anhangs helfen hier leider nicht weiter, mein Bekannter hat schon eingeräumt, dass er sich dort nicht gerade besonders Clever und vorbildlich verhalten hat.

Wenn er eingeschränkte Rechte hatte, hat er bessere Karten. Denn die Verschlüsselungsviecher wollen auch die Schattenkopien löschen, das gelingt wenn überhaupt nur mit Adminrechten.

Siehe => http://www.trojaner-board.de/115496-...erstellen.html

Zitat:

Zitat von cosinus

Wenn er eingeschränkte Rechte hatte, hat er bessere Karten. Denn die Verschlüsselungsviecher wollen auch die Schattenkopien löschen, das gelingt wenn überhaupt nur mit Adminrechten.

Siehe => http://www.trojaner-board.de/115496-...erstellen.html

Vielen Dank für den Hinweis, dann besteht schon mal bei den lokalen Dateien die Hoffnung diese Wiederherzustellen. Bei der externen Platte mit den wichtigen Dateien waren die Schattenkopien leider nicht aktiv.

Dann wird das wahrscheinlich nix. Verschlüsselungs-Trojaner TeslaCrypt 2 geknackt; Kriminelle rüsten nach | heise online