|
Zitat:
|
Hallo an alle Betroffenen und das Board-Team, hab hier auch einen infizierten Rechner: Win 7 32bit Mail von: Kundeninfo Betreff: Einzug NUMMER.... Inhalt: Premium Mail angemeldet.....6000 SmS pro Monat.....Onlinespeichervolumen...8GB......86,89 EURO...Ihr Support Anhang: Lieferung.zip Zustand nach Infektion: Nach Neustart, die bekannte Meldung: Verschlüsselungs-Trojaner...bitte zahlen...etc. Alle pers. Dateien, jpg, mp3, doc und PST Datei sind verschlüsselt UND umbenannt in kryptische Zeichenfolgen OHNE Erweiterung. Alle Dateien habe veränderte Dateigrößenangaben, deshalb auch keine Hilfe per DecryptHelper. (Fehlermeldung bzgl. der Größe) Vielleicht kams ja schonmal, ich musste jedenfalls selbst drauf kommen: Bei genauerem Hinsehen fiei mir auf, das im Order <benutzer\eigene dokumente\outlook dateien> zwei Standard-Dateien immer noch die gleiche Größe aufwiesen (265kb) und die ehemalige PST größenmäßig auch stimmte, obwohl diese Dateien auch kryptisch aussahen. Lager Rede kurzer Sinn, nach dem Kopieren und dem Umbenennen in eine .pst Datei konnte diese im outlook geöffnet werden. 1900 Mails, Kontakte etc wieder da, ich jedenfalls bin glücklich. :-) Klappt bei diesem Rechner bislang nur bei der PST Datei. Wie gesagt, vielleicht gab es die Info ja schon, ich hab sie aber nicht gefunden und gedacht ich mach mal meinen ersten Eintrag hier. Großer Dank ans Board |
also meine dateien sind alle bis aufs btye genau gleich groß. Naja jetzt aber schnell in die Haia, gute nacht. |
Also ich habe den PC einer Freundin wieder hinbekommen. Ich habe es genauso gemacht wie es in der Anleitung steht. Kann nur sagen D A N K E dem KÖNIG ( auch wenn er Kunig heißt ) Die vielgefragten orginal Datein, habe ich von der CD. Ich habe Bilder versucht und es hatte nicht geklappt. Also das Beispielvideo "Bär" aufgespielt und schon funktionierte es. Beste Grüße Detlef |
@proman super gemacht. Wäre nur noch interessant, welche Variante des Virus du hattest. Die locked Variante oder die neuere!!! Und mit welchem Programm du die Dateien entschlüsselt hast!!! |
Zitat:
das kann nur die locked- Version gewesen sein. Benutzt hat er den decrypthelper, der ist vom KÖNIG (Matthias Kunig) |
Zitat:
Aber Undertacker hat es schon erahnt. Ja es war eine Mail ...: Sehr geehrte Frau K... Blabla bla.... und im Anhang die Rechnung als zip.Datei Draufgeklickt und dann sollte bezahlt werden (wie hier schon mehrfach erlebt ) Ich habe den decrypthelper 5.0.3 benutzt und als original das Beispielvideo BÄR im Verzeichnis Öffentliche Video. Betriebsystem VISTA PC alt und langsam. Beginn gestern Abend 21:00 Uhr.......... fertig heute Morgen. 45741 Datein bearbeitet und sauber wieder hergestellt. Gruß Detlef |
Hallo Detlef, hast Du alle 45741 Dateien geprüft? Die Existenz aller wiederhergestellten dateien sagt nocht nichts darüber aus, ob sie auch brauchbar sind. Ich brauchte zur sicheren rekonstruktion von 12000 dateien insgesamt vier Dateipaare. Gruß Volker |
Also alle einzeln habe ich das nicht geprüft versteht sich. aber der PC arbeitet wie gewöhnlich und auch alle Prg. die ich gestartet habe funktionieren wieder. Denke das sollte MIR persönlich reichen. Ist ja ein priv PC mit Bildern und Spiele hier und da auch ne Steuerklärung pp. Ich habe wie gesagt nur einen Schlüssel erstellt und dann laufen lassen. Gruß Detlef |
Hallo! Da ich selbst in Kooperation mit anderen Wissenden & Diensleistern keine Lösung finde, schildere ich hier mal meinen Fall in der Hoffung auf gute Ideen.... Von einem Kunden liegt mir eine Festplatte mit einigen 1000 locked-dateiname.Endung.abcd vor. Die lange bekannte version also, vorne "locked-" und hinten 4 beliebige Buchstaben nach der eigentlichen Endung. Verschlüsselt am 08.05., "Die von Ihnen verwendete Windows Lizenz ist abgelaufen € 100,-/ € 50,-"..... Die E-Mail und das verseuchte/ verschlüsselte System existieren nicht mehr, nur noch die Dateien auf der externen Festplatte die mir vorliegt. Aus verschiedenen Quellen konnte ich inzwischen 14 Datei-Pärchen bilden, eine Entschlüsselung gelingt mir aber bislang nicht, mit keinem der bekannten Tools - alle im Forum genannten habe ich inzwischen ausprobiert. Nun gibt es zwei Möglichkeiten, entweder es gibt mehr dieser Fälle und ich habe bislang nur keinen gefunden oder ich übersehe irgendeine Kleinigkeit. Bislang habe ich zu dieser Version der Verschlüsselung nur Erfolgsmeldungen gesehen/ gelesen, zumindest in jedem Fall Teilerfolge. Hier geht garnichts..... Gerne kann ich zum Testen einige Files zur Verfügung stellen - ich hoffe auf gute Ideen.... Vielen Dank! |
moin moin, Was meinst Du mit "Aus verschiedenen Quellen"? Quelle können nur Originale von Dateien sein, die auf dem Rechner verschlüsselt wurden. Dazu gehören beispielsweise Originale die sich noch als Spiegelabbilder irgendwo im Rechner befinden, aus Anhängen versendeter Mails (Bilder zum Onkel gemailt o.ä.), von Kopien auf Sticks, ext.HDDs oder CDs u.s.w. Dabei ist es durchaus möglich, dass mit einem Paar nur Teilerfolge erzielt werden. Bei zu wenigen Paaren kann es durchaus sein, dass keines passt. Ich hatte beispielsweise mehrere hundert Originale zur Verfügung, aus denen ich 4 finden musste, um 12000 Dateien sicher zu rekonstruieren. Gruß Volker |
Ja, klar - solche Originale sind es auch. Hast Du die Originale händisch durchprobiert und bist zufällig auf funktionierende gestossen? |
ich hab mir erstmal das ganze C Laufwerk per shawosexplorer gezogen und warte nun auch einen decrypter für den neuen Buchstabensalat-Trojaner, da sollte ich genügend päärchen haben. |
Zitat:
nachdem ich das erste willkürlich genommen habe und ca. 3000 Dateien sauber bearbeitet wurden und die nächsten Paare nichts mehr brachten, habe ich erstmal Kaffee getrunken. Dabei fiel mein Blick auf die CDs mit den Originalen. Hoffest 2012, Urlaub 2008, Hausbau 2010 Ich habe dann nach verschlüsselten Dateien aus verschiedenen jahren gesucht und da wieder willkürlich welche rausgenommen. Nach dem vierten Paar war keine weitere Suche mehr nötig. Volker |
Volker, dass geht ev leicht bei dem alten trojaner, bei em neuen is dass nimma so einfach, weil ja kein dateiname mehr erkenntlich ist. Geht dann nur noch über die Dateigröße, die is zum Glück gleich geblieben. ich sprech jetzt aber nur über den neuen decrypter. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:55 Uhr. |
Copyright ©2000-2025, Trojaner-Board