Hallo,

in unserer Firma hat sich jemand auf dem Notebook Win7 einen Trojaner eingefangen, der Dateien verschlüsselt hat, wie es scheint.
Auf dem Rechner sind 3 Dateien entstanden, die in fast jedem Ordner zu finden sind:
1. RECOVERjvxqe.html
2. RECOVERjvxqe.png
3. RECOVERjvxqe.txt
Öffnet man diese findet man folgenden Text:

NOT YOUR LANGUAGE? USE https://translate.google.com

What's the matter with your files?

Your data was secured using a strong encryption with RSA4096.
Use the link down below to find additional information on the encryption keys using RSA4096:https://en.wikipedia.org/wiki/RSA_(cryptosystem)

What exactly that means?

It means that on a structural level your files have been transformed. You won't be able to use, read, see or work with them anymore.
In other words they are useless, however, there is a possibility to restore them with our help.

What exactly happened to your files?

*** Two personal RSA4096 keys were generated for your PC/Laptop; one key is public, another key is private.
*** All your data and files were encrypted by the means of the public key, which you received over the web.
*** In order to decrypt your data and gain access to your computer you need a private key and a decryption software, which can be found on one of our secret servers.

What should you do next?

There are several options for you to consider:
1. You can wait for a while until the price of a private key will raise, so you will have to pay twice as much to access your files or
2. You can start getting BitCoins right now and get access to your data quite fast.
In case you have valuable files, we advise you to act fast as there is no other option rather than paying in order to get back your data.

In order to obtain specific instructions, please access your personal homepage by choosing one of the few addresses down below:
hxxp://uhufnlsad7bhf4ykqfbevmxergwrth.himfinn.com/BA4A177DB58F63BE
hxxp://94dbhbj3l4blaeyfgl7q45glbaer.giponfeste.at/BA4A177DB58F63BE
hxxp://h5nuwefkuh134ljngkasdbasfg.corolbugan.com/BA4A177DB58F63BE

If you can't access your personal homepage or the addresses are not working, complete the following steps:
1 Download TOR Browser - hxxp://www.torproject.org/projects/torbrowser.html.en
2 Install TOR Browser
3 Open TOR Browser
4 Insert the following link in the address bar: k7tlx3ghr3m4n2tu.onion/BA4A177DB58F63BE
5 Follow the steps on your screen

IMPORTANT INFORMATION

Your personal homepages:
hxxp://uhufnlsad7bhf4ykqfbevmxergwrth.himfinn.com/BA4A177DB58F63BE
hxxp://94dbhbj3l4blaeyfgl7q45glbaer.giponfeste.at/BA4A177DB58F63BE
hxxp://h5nuwefkuh134ljngkasdbasfg.corolbugan.com/BA4A177DB58F63BE

Your personal page Tor-Browser k7tlx3ghr3m4n2tu.onion/BA4A177DB58F63BE
Your personal identification ID: BA4A177DB58F63BE

Komischerweise sind die Dateiendungen noch wie vorher, wie sie sein sollten. Wenn man jedoch bspw. eine PDF öffnen will kommt die Meldung: Adobe Reader konnte "Dateiname nicht öffnen, da der Dateityp nicht unterstützt wird oder die Datei beschädigt ist.
Bei Exceldateien öffnen sich immer die selben 3 Fenster.
In zweien ist der selbe Text enthalten, wie in den 3 entstandenen Dateien in der einen kann man leider nichts lesen, da nur komische Zeichen zu sehen sind. Ich denke er öffnet hier die oben genannten 3 Dateien. Die Dateien lassen sich auch alle löschen, allerdings sind das einfach zu viele.
Komischerweise lässt sich Word ganz normal öffnen und bearbeiten.

Ich habe Avira von Avast ohne Erfolg durchlaufen lassen. Malewarebytes hatte im ersten Durchlauf über 100 Dateien gefunden und entfernt.
Nach einem Update habe ich es nochmal durchlaufen lassen und Malewarebytes hat eine weitere Datei gefunden und entfernt.
Der Rechner läuft sonst eigentlich fast einwandfrei.

Was noch zu erwähnen wäre, ist dass sich diese Dateien auch teilweise auf dem NAS befinden und dort auch schon einige Dateien nicht richtig aufgehen.

Bitte um dringende Hilfe und vorab schon mal vielen Dank.

Moin

die Dateien auf dem NAS sind veloren. Habt ihr in der Firma kein vernünftiges Backupkonzept? Man muss schon ein Backup so konzipieren, dass man auch nach Feuer oder Hochwasser seine wichtigsten Daten noch hat. Oder eben nach so einem Verschlüsselungstrojaner.

In manchen Fällen können die Schattenkopien weiterhelfen. Voraussetzungen dafür:

- mindestens Windows Vista
- Schattenkopien wurden VORHER aktiviert
- man hatet keine Adminrechte oder: der Kryptotrojaner hat es nicht geschafft die Schattenkopien zu löschen (was aber unwahrscheinlich ist, wenn man zum Zeitpunkt der Infektion lokale Adminrechte hatte)

Soweit mir bekannt gibt es keine NAS-Systeme mit Schattenkopien. Es sei denn die laufen mit einem Windows.

Vgl. Krypto-Trojaner Locky wütet in Deutschland: Über 5000 Infektionen pro Stunde | heise Security

Hallo,

Danke erstmal für deine Antwort.

Leider weiss ich nicht genau, wie das genau ist mit den Backups hier.
Sind aber die Daten auf dem Rechner noch irgendwie zu retten?

MFG

Und wie das mit den Backup bei euch ist kann ich noch weniger sagen. Was sagt denn euer Admin?

Ihr habt keinen Admin? Wer ist denn für die Computer bei euch zuständig? Niemand?

Und nein, die Daten die auf dem NAS zerhackt wurden lassen sich nicht so retten. Genau deswegen macht man ja Sicherheitskopien - auf externe Medien, die nach dem Backup sicher an einem anderen Ort verwahrt werden!!!
Also die drei Optionen hat man nach einem Kryptotrojaner auf dem NAS:

1. Backup (wenn man eins hat) zurückspielen
2. Das Lösegeld bezahlen und hoffen, dass die Erpresser den privatekey und Hinweise zur Entschlüsselung senden
3. alle zerhackten Dateien sichern und warten warten warten....und hoffen, dass es vllt irgendwann einen Entschlüssler gibt

Hm...das ist schlecht...
Vielen Dank trotzdem...falls irgendjemand eine Lösung haben sollte würde ich um eine Antwort bitten.