In der Textdatei steht drin, dass die Daten mit RSA4096 verschlüsselt werden. Zwei personal RSA4096keys sind auf dem Rechner generiert worden; einen öffentlichen und einen privaten. Um die Daten zu entschlüsseln brauche ich einen privaten Schlüssel auf dem Rechner.
Als nächstes kommt die Aufforderung eine bestimmte Seite zu öffnen, um einer Anleitung zu folgen einen bestimmten BitCoinbetrag zu entrichten. Keiner der Seiten habe ich bis jetzt aufgerufen. Je länger ich warten sollte, desto teurer wird es den privaten Schlüssel zu bekommen. Falls ich über den normalen Browser die Seiten nicht öffnen kann, soll ich mir den Torbrowser herunterladen und dann die angegebene Seite aufrufen. Auch das habe ich bis jetzt unterlassen.
Folgende Seiten soll ich verwenden:
hxxp://uhufnlsad7bhf4ykqfbevmxergwrth.himfinn.com/9238157BD712C493
oder
hxxp://94dbhbj3l4blaeyfgl7q45glbaer.giponfeste.at/9238157BD712C493
oder
hxxp://h5nuwefkuh134ljngkasdbasfg.corolbugan.com/9238157BD712C493
oder
hxxp://k7tlx3ghr3m4n2tu.onion/9238157BD712C493

Danach soll ich den Anweisungen auf dem Bildschirm folgen.

Der Rechner wurde mit F-Secure gescannt, aber ohne Befund. siehe Anhang

moin

aha, und was sollen wir jetzt machen? Fehlen dir einfach Infos über die längst bekannten Kryptotrojaner

Lies doch mal zB => Krypto-Trojaner Locky wütet in Deutschland: Über 5000 Infektionen pro Stunde | heise Security

Ahmd

Danke für den Hinweis. Dort gab es noch die Idee des Excel Makros!!
Na, mir wäre daran gelegen den Trojaner loszuwerden, sonst wäre ich ja nicht hier.

Ich habe die, auch hier eingestellten Unterlagen, der Polizei mitgeteilt.
Das war die Antwort:
Zu Ihrer Information möchte ich Sie auf ein Tool hinweisen, mit denen bereits erfolgreich Datenbanken entschlüsselt werden konnten:

Zurzeit gibt es eine Möglichkeit, verschlüsselte Daten der beiden Verschlüsselungstrojaner HydraCrypt und UmbreCrypt zu entschlüsseln. Bei der Sourcecode-Analyse ist aufgefallen, dass beide Schadprogramme Gemeinsamkeiten haben, welche auf CrypBoss Ransomware zurückzuführen sind.

Der Encyrption-Algorithmus konnte anhand des offen liegenden Sourcecodes entschlüsselt werden und eine entsprechende Software zur Decryptierung zur Verfügung gestellt werden.

hxxp://blog.emsisoft.com/2016/02/12/decrypter-for-hydracrypt-and-umbrecrypt-available/

Eine Anleitung und die entsprechende Veröffentlichung ist hier zu finden :

hxxp://thehackernews.com/2016/02/decrypt-ransomware-files.html?m=1

Habe ich alles versucht auszuprobieren. Funktioniert aber nicht.
Nach genauer Untersuchung des Rechners habe ich festgestellt, dass sämtliche Ordner und Unterordner diese 3 Recover-Dateien enthalten.

Kannst du mir sagen, wenn ich all diese Recover-Dateien lösche, ob das Problem dann behoben ist?
Außerdem werde ich das Office-Paket wohl löschen müssen, da es wohl mit einem ExcelMakro beaufschlagt wurde. Eventuell ist auch Outlook betroffen, bzw. PST,OST,EDB-Dateien......

Die Festplatte möchte ich nur im äußersten Notfall neu formatieren. (CAD-Rechner)

Für jede weitere Idee empfänglich.

Bis dann

Es sind Verschlüsselungstrojaner, und wenn du einen erwischt hast, für den ein keinen Entschlüsseler gibt, dann kannst du das Problem nicht lösen. Weil die Daten nicht wiederherstellerbar sind. Abgesehen von der Option, die Kohle in den Rachen der Erpresser zu schmeißen.

Eine Entfernung des Trojaners bzw Bereinigung des System macht es zwar sauber, aber die Daten bekommst du dadurch auch nicht wieder.

Danke für deine Antwort.

OK. Die verschlüsselten Daten sind nicht das Problem, da ich regelmäßig Datensicherung mache.
Aber wie bekomme ich das System sauber? So, wie ich es vorhabe, alle Recover-Dateien löschen?
Weißt du wie die Trojaner heißen? Einen hatte ich vorgestern mit F-Secure erledigen können.
Der heißt Trojan.GenerickD.3104236. Ob der allerdings für das Chaos verantwortlich ist, weiß ich nicht.
Ich werde das System heute versuchen zu säubern und melde mich an dieser Stelle wieder.

Falls noch jemand eine Idee hat. Her damit.

Hast du noch weitere Logs (mit Funden)? Malwarebytes und/oder andere Virenscanner, sind die mal fündig geworden?

Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520

Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs in CODE-Tags posten!
Relevant sind nur Logs der letzten 7 Tage bzw. seitdem das Problem besteht!



Zudem bitte auch ein Log mit Farbars Tool machen:

Scan mit Farbar's Recovery Scan Tool (FRST)

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR oder 7Z-Archiv zu packen erschwert mir massiv die Arbeit.
Auch wenn die Logs für einen Beitrag zu groß sein sollten, bitte ich dich die Logs direkt und notfalls über mehrere Beiträge verteilt zu posten.
Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

• Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
• Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
• Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
• Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

Moin Cosima

Vorgehensweise: Festplatte ausbauen und extern an sauberen Rechner gehängt.
Habe dann übers Wochenende alle Einträge gelöscht, die mit Recover*.* zu tun haben.
Benutzerprofil außer Administrator-Profile gelöscht.
Nun Festplatte wieder in den Rechner und an das Netzwerk mit SBS-Server angeschlossen.
Serverprofil war ebenfalls verseucht und wurde von mir gelöscht. Neues Profil mit dem gleichen Usernamen angelegt. Anmelden beim Client - hier kann er das Benutzerprofil nicht aufrufen und legt ein temporäres Profil an. Wahrscheinlich ein Zeitproblem, da das alte Profil zwar entfernt, aber noch nicht gelöscht ist.
Muss ich noch mal prüfen.

Fakt ist, dass alle PDF-Dateien auf dem Rechner verschlüsselt sind. Auf dem Server hat es auch ein paar erwischt, aber da kann ich die Datensicherung drüber spielen.

Auf die Frage wegen weitere Viren. Ja mein F-Secure hat während des Löschens noch:

Schädliche Datei "(@AntiVirus\MiniScan\\Historyinfected_object_name)" wurde entfernt
und das zweimal.
Ob das was mit dem Trojaner zu tun hat, weiß ich nicht.

So. Mehr habe ich nicht machen können. Aber der Rechner läuft wieder.

Wäre halt trotzdem interessant, welcher Trojaner mir das Leben so schwer gemacht hat.
Während ich hier schreibe, kann ich leider deine letzte Antwort nicht Lesen.

Ich werde mir das jetzt noch mal genauer anschauen und mich wieder melden.