Den Übeltäter, getarnt als Lieferschein.zip, habe ich Dir schon vor meiner Anmeldung hier im Board per Mail geschickt.

Gruß Volker

aso, dann danke :-)

Bei mir läuft der Avira Ransom File Unlocker erfolgreich. Habe schon mehrere Verzeichnisse entschlüsselt. Der Rest läuft noch....

Hallo,
habe das Programm ausgeführt, jedoch habe ich jetzt noch Probleme um auf meine Programme zuzugreifen, da kommen jetzt noch Fehler wie "ein wichtiger Programmteil fehlt" oder "..exe ist keine zulässige Win32-Anwendung. Ebenfalls habe ich noch in meiner Start-Zeile ein Bildchen mit dem Inhalt XRAL-Datei, kann leider damit nichts anfangen. Kann mir jemand helfen. Bin selbst kein Computerexperte. Danke im Voraus

Wenn ich: Avira Ransom File Unlocker anklicke, stürzt Rechner ab und erzählt mir, das keine HDD da ist (Schwarzer Bildschirm mit angebot System zu Schecken mit f-tasten). Zwangsrunterfahren und neustarten reichte aus, habe das sofort gelöscht. Habe aber Windoof 7. Irgendwas Funktioniert mit diesen Programm nicht.

Also bei mir hat alles geklappt !! mehrere tausend Dateien wieder hergestellt...

vielen vielen Dank !!!

@Zuckerschnut
welche programme?
außerdem:
die infektionsquelle zusenden:
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann mail an:
http://markusg.trojaner-board.de
dort die soeben erstellte datei anhängen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

@Diebaer
für dich gilt das selbe, mail zusenden.
desweiteren, mit dem programm läuft alles bestens, sonst hätten wir ja häufiger diese rückmeldung erhalten....
sichere mal alle deine wichtigen daten.
öffne computer, rechtsklick c: tools fehlerüberprüfung, setze beide haken, starte sie.
dann pc neustarten und mir mitteilen obs funde gibt.

Habe schon alles gelöscht gehabt und schon Repariert. Wenn es nochmals Passieren sollte, was ich nicht hoffe, dann bekommst du alles.

So, habe heute mehrere Tausend Dateien mit AviraRansomFileUnlocker erfolgreich entschlüsselt. Alles ist wieder da! DANKE!!!!!
Wie geht es nun weiter? Kann ich die "locked" Dateien löschen? Muss ich sonst noch etwas beachten?
Die Programme laufen, allerdings kommt ab und zu eine Meldung der "Benutzerkontensteuerung", wo ich bestätigen muss, dass ich das Programm wirklich öffnen will. Habe 2 Benutzer. Einen "Admin" mit Admin-Rechten und einen "normalen" User. Habe diese aber nicht selbst angelegt, sondern von einem Fachmann machen lassen, kenne mich also nicht aus ;-(

warum bestätigst du programme, die du nicht kennst?
eröffne bitte für weitre probleme, wie dieses, ein extra thema, dann sehen wir uns den pc an.
wenn die entschlüsselten files funktionieren, lösche die locked dateien

Erledigt, alle locked-Dateien sind gelöscht. Muss ich noch was tun?

Hallo allerseits,

auch ich habe dazu eine Frage.

Ein Kumpel von mir hat mir seinen Lappi gegeben. Auch hier kam eine Meldung, dass er keine offizielle Version von Windows nutzt und per Cash zahlen soll.

Dieses haben wir natürlich nicht gemacht. Mit Malware habe ich dann zumindest die Möglichkeit bekommen, wieder im "normalen" Zustand mit dem Rechner zu arbeiten.

Allerdings sind alle persönlichen Daten, wie Bilder, Musik oder auch Lesezeichen verschlüsselt.

Dann habe ich mir von meinem Lappi auf dem ebenfalls Win7 Homepremium drauf ist, ein Beispielbild auf dem Stick gezogen und dann an den anderen Rechner gesteckt.

Habe mir dann einen Schlüssel erzeugt, soweit alles gut.

Ich nutze jetzt DecrytHelper 0.5.2 und habe hier eine Frage zu.

Einen Ordner habe ich dann getestet und es lief alles super. Dann will ich jetzt allerdings direkt mehr entschlüsseln und gehe auf die Ebene:

C:\Benutzer\XYZ\

Dort habe ich jedoch das "Problem", dass hier der Ordner Anwendungsdaten drin liegt und ich den "normalerweise" auch nicht öffnen kann. Win7 sperrt bestimmte Ordner. Normal sehe ich diese Ordner ja auch nicht, es sei denn ich will Systemordner sehen!

Kann es sein, dass das Programm hiermit nicht klar kommt? Oder anders gefragt, wie lange braucht das Programm sonst zum entcrypen von knapp 20GB?

Bekomme allerdings auch keine Fehlermeldung.

Im Log steht:"START force (false) safe (false)

Oder kann ich nur einen Ordner anwählen in dem auch wirklich nur verschlüsselte Dateien drin sind?

Hoffe es war verständlich und würde mich über eine Antwort freuen.....

Gruß

Hallo

Wie haben diese Mail leider gleich gelöscht, auch aus dem Papierkorb. Kann mir trotzdem jemand helfen????
Habe keine Chance, auf einige Programme zuzugreifen. Was kann ich da noch tun.

Hallo Markusg,

es handelt sich um Baurechenprogramm, Fibu, Kalkulation, Rechnungsschreibung vom BRZ Nürnberg.

Hallo Markusg,

es handelt sich um Programme vom Baurechenzentraum Nürnberg. Bei einigen Programmen ist das Bild weg, da erscheint der Fehler mit Win32, da wo das Bild noch da ist erscheint der Fehler, dass eine wichtige Programmdatei fehlt.
- danke -

Hallo allerseits,

ich habe das mal mit dem Avira Programm ausprobiert. Soweit klappt auch alles. Aber die verschlüsselten Dateien bleiben auf dem Rechner. Mit dem anderem Programm kann man einstellen, dass die direkt gelöscht werden sollen. Hat man bei Avira auch die Möglichkeit?

Besten Dank für die Hilfe

Hallo,

mit dem Avia-Programm konnte ich nur Datein entschlüsseln, vielleicht auch Programme, aber nicht alles. Ebenfalls bleiben die verschlüsselten Datein vorhanden.

@Xkwadrat
wieso stellst du ne frage zu mathias decrypt helper im avira unlocker thread...?
und nein, das ist auch gut so das die dateien nicht gelöscht werden, denn wenn sie nicht zu entschlüsseln sind bzw falsch entschlüsselt wurden ist das gejammer groß
@Zuckerschnut
programme schon mal testweise neu instaliert?

Euch ärgert es, dass ihr die "locked" dateien löschen musst? Seid froh, dass ihr die überhaupt entschlüsselt bekommen habt...

@Xkwadrat
das liegt nicht am Programm, du hast ein Rechte-Problem. Logg dich mal generell als Administrator ein und änder die Berechtigungen des Ordners

Ich habe das Problem das der Avira Ransom File Unlocker nur JEPG entschlüsselt, die JPG Bilddateien aber nicht.

Hallo, nachdem der Rechner eines Kunden von diesem Verschlüsselungsvirus befallen worden ist und er es wohl erfolgreich von seinem Rechner entfernt hat (nach zwei- oder dreimaligem Booten), hatten wir eher zufällig Kontakt und er erzählte mir von seinem Problem, dass diverse Dateien nicht mehr geöffnet werden könnten.
Inzwischen habe ich den Avira Ransom File Unlocker auf seinen Rechner gebracht und bin fasziniert, wie gut das funktioniert.
Mein einziger Kritikpunkt wäre, dass man zu wenig Feedback-Info bekommt. Ich wähle das zu bereinigende Verzeichnis aus und sehe dann unten zwar, dass im Prinzip etwas geschieht, aber was geschieht... erfährt man nicht. Die Anzahl der entschlüsselten Dateien wird erst angezeigt, wenn ein Verzeichnis abgeschlossen ist.
Beim ersten Mal habe ich noch gegrübelt, ob das Prog. dabei ist, den Entschlüsselungscode aus den beiden Ausgangsdateien zu erstellen oder schon an der eigentlichen Entschlüsselung arbeitet.
Ansonsten: "it works like a charm"!!!

hm..ach ja: die Auslöser-E-Mail(s) schicke ich nachher gerne rüber, hatte aber vergessen, mir die vom Kunden-PC herunterzuladen.
Die ganze Aktion hatte ich über Teamviewer gemacht und dann die Session zu früh geschlossen. (Kunde war inzwischen schon weg).

Immer wieder gut zu wissen, dass es Avira gibt! Und solche Foren wie dieses - Weiter so!

Viele Grüße
Olegna

hi. anmerkungen werden an den autor geleitet.
und, wir haben ja noch einiges an anderen tools zu bieten, so ists nicht :-)

Hallo Markusg,
entschuldige, aber ich frage mal als newbie ganz dreist: wer ist jetzt "wir"?

VG
Olegna

damit meinte ich das wir, als forum, noch mehr tools im angebot haben, teilweise von herstellern wie avira, teilweise privat erstellte wie scareuncrypt.

Es ist etwas still geworden um die neue Version des Virus. Gibt es hier irgendwelche neuen Erkenntnisse? Ich sehe bislang bei keinem Tool eine neue Version oder den Hinweis auf Besserung... Ich habe hier allerdings immer noch einen Rechner stehen, wo Avira Ransome File Unlocker bei jedem Dateipaar sagt "Falsches Paar, bitte richtiges Dateipaar auswählen" und dabei sind die PDF Dateien definitiv identisch...

Grüße,
Tillmet

hi,
jo je komplexer die verschlüsselung wird, desto länger dauert es, leider.

Aber ich brauche die Hoffnung noch nicht aufgeben, oder? Ich habe ein Diskimage des Rechners erstellt und ihn vorerst geplättet, damit er wieder "arbeiten" kann. Die Daten hätte ich dann allerdings doch gerne irgendwann wieder.

hi, nö, hoffen kann man :-) aber versprechen kann ich dir natürlich nichts.

Hallo ZS,

ein bekannter hat sich auch den Trojaner eingefangen, komplette festplatte c ist veschlüsselt ( hat auch nur eine partition). Alle *möglichkeiten die Dateien zu entschlüsseln wurden ausprobiert, bis jetzt kein erfolg. Der Bekannte arbeitet sehr viel von zuhause aus, d.h. es sind viele Geschäftliche, sowie Private Daten drauf.

* Was genau habe ich unternommen:

- Als erstes den Trojaner entfernz, abgesichert modus, festplatte gescannt, trojaner entfernt etc.
- Folgende Programme habe ich ausprobiert :
- Avira Ransom File Unlocker
- Decrypt Helper
- RannohDecryptor ( Kaspersky)
- scareuncrypt ( hier wird die Datei zwar entschlüsselt, aber wenn ich die Datei aufmache, werden nur Kryptische zeichen dargestellt).

Es wurde Sicherheitshalber eine Kopie gemacht von den verschlüsselten Dateien.

Getestet wurden die Programme, mit einer infizierten und einer Originalen Datei, an verschiedenen Rechnern... XP und Win 7, kein Erfolg.

Der Rechner wurde mehrmals neu gestartet, also geh ich davon aus , das es mehr als ein schlüssel gibt.

PS: Ich habe den Trojaner, sowie 2 infizierte Dateien (Bild, MP3 Datei) und dazu gehörige Originale Dateien über den Upload Channel hochgeladen.

Hoffe doch Ihr könnt mir helfen.

Danke schön im Voraus!:applaus:

Hallo, habe mir auch diesen Mistigen Trojaner eingefangen.

So diesen habe ich nun wieder entfernt.
Nun wollte ich die Datein wieder entschlüsseln.
Habe es mit allen möglichen Programmen versucht.
Egal welches Programm ich verwende, es kommt immer wieder der Fehler, dass die Paarung aus Verschlüsselter und Original Datei nicht passt.

Ich habe 15 verschiedene Paarungen versucht, bei denen ich beide Versionen verfügbar habe, es funktioniert einfach nicht !!!

Ich bitte um Hilfe, bin ich einfach nur zu doof oder was mache ich falsch ??

für euch beide heißts, abwarten bis ein hersteller ein update raus bringt :-(
und nicht vergessen, die infektions quelle, meist eine mail, benötige ich
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann mail an:
http://markusg.trojaner-board.de
dort die soeben erstellte datei anhängen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

Hallo Markus,

ich bin der Neue hier und habe 2 e-mails mit Verschlüsselungs Trojaner, die Erste war mein Verderben..
Die Zweite hab ich noch nicht geöffnet .. soll ich sie Dir senden? Kommen über arcor.. Die verschlüsselten Dateien beginnen nicht mit "locked". Hier ein Auszug.. GQXEGegfoJejfav Gruß

ja, bitte an mich senden:
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
makrusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

Hallo Markus,
meine Trojaner mails liegen bei Arcor, wie willst Du sie haben?

Gruß Heinz

@Sakradi,
das steht im Posting über Deinem.

makrusg - trojaner-board.de

Hallo!

Ich bin auch neu hier und habe mich fleißig durch die Anleitungen gelesen.
Bei dem Verschlüsselungstrojaner, den sich eine Bekannte eingefangen hat (soweit sie sich erinnert, Rechnung.exe als Anhang zu einer EMail) war es etwas anders:

alles hat auch im normalen Windows7-Modus noch funktioniert, nur sobald sie ins Internet ging (bzw. ein Programm z.B. Antivir sich online updaten wollte) kam das bekannte Erpresserbild mit der 100 Euro-Forderung. Ich konnte den Trojaner mit Antivir und Antimalware löschen (das Ergebnis aus Antivir und OTL habe ich bereits -wie in Euren Boardregeln empfohlen- als neues Thema gepostet).

Jetzt steht es "nur" noch an, alle verschlüsselten Dateien (Bilder, Worddokumente...) zu befreien... und dabei habe ich ein Verständnisproblem: die ersten Versionen des Trojaners haben ja wohl die Dateien in locked.... umbenannt (da hätte ich im Explorer alle diese Dateien gesucht und die Entschlüsselungtools drüber laufen lassen. Was mache ich aber, wenn die Dateien nicht (oder nicht gleichmäßig) umbenannt wurden? Kann man dann die Entschlüsselung ohne Risiko über die gesamte Festplatte laufen lassen? Da das Laptop jetzt nach Beseitigung des Trojaners soweit normal funktioniert und leider keinerlei Recovery-Cd o.ä. vorhanden ist, möchte ich natürlich keinen Totalschaden anrichten.

Bin für jede helfende Hand dankbar!

LG

P.S.: Die Email und der Anhang wurden von ihr leider bereits gelöscht

Hallo zusammen,

habe auch den Verschlüsselungstyp ohne "locked" davor und nur die Buchstabenfolge. Leider habe ich die Mail schon gelöscht. Habe Windows XP und Word 2003. Am wichtigsten ist es für mich, die Word-Dateien wiederherzustellen. Avira Unlocker klappt nicht, muss ich auf ein Update von Avira warten oder gibt's noch eine andere Möglichkeit, die Dateien zu entschlüsseln?

Grüße,
Manuela

hi, du meinst die variannte mit den zufälligen buchstaben folgen?
hänge mal die passende endung drann und versuche sie zu öffnen

Hi, ja es sind zufällige Buchstabenfolgen. Hab's ausprobiert, beim Öffnen erscheint: Konverter kann nicht gestartet werden mswrd 632. Trotzdem danke für den Tipp. Das Anhängen von "mp3" klappt bei einigen Musikdateien. Habe mich hier im Forum schon etwas schlau gelesen...Übrigens wurde das Erstellungsdatum der Dateien auf Dienstag, 13. Februar 1601 umgestellt.
Gruß,
Manuela

Bei mir genau so wie bei Troja2012.... So siehts aus: "AavfLreotagGjJpqVsQU".... Hab´s auch mit den richtigen Endungen probiert, aber es kommt bei den verschiedenen Dateitypen nur zu verschiedenen Fehlermeldungen: Datei beschädigt, oder falscher Codec, Datei nicht lesbar..Erstelldatum auch 13. Februar 1601... Hab mir von den betr. Dateien eine Kopie gemacht und auf Viren gescannt, kein Virus gefunden... Bin gerade beim Laufwerke plätten..Hoffe es reicht einmal formatieren... Gruß Heinz

genau so sehen meine Dateien auch aus. Kein Entschlüsselungsprogramm hat funktioniert. Jetzt habe ich zumindest die Dateien auf Laufwerk C: retten können. Mit ShadowExplorer ließen sie sich wieder herstellen. Hat mir jetzt nicht soviel geholfen, aber vielleicht hilft der Tipp ja anderen.
Die Mail mit dem Virus hab ich noch ... kann ich sie einfach so weiterleiten? ... bei mir kann ich das nicht als eml abspeichern.
Gruß, Silvia

hi
shadow explorer link:
http://www.trojaner-board.de/115496-...tml#post831090
das senden von malware mails an uns geht auch wieder:
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
makrusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

Ganz schön ruhig geworden, hier...... Keine neuen Erkenntnisse??
Gruß
Heinz

Ganz schön ruhig geworden, hier... Keine neuen Erkenntnisse??

Gruß
Heinz

ich hoffe auf die frage willst du jetzt nicht wirklich ne antwort.
meinst du denn, wenn es neue erkenntnisse gäbe, das sie nicht hier im forum stehen würden...

Hi markusg, ich habe jetzt echt viele Threads gelesen und sehe, dass manche ein vergleichbares Problem habe, es aber entweder irgendwie lösen oder ich finde die Antwort zur Lösung nicht.

Also Virus ukash eingefangen, gelöscht, System sauber, aber die locked files lassen sich nicht wiederherstellen.
Habe eure Bilddateien genommen (Desert und Jellyfish) und sowohl Decrypt als das Avira Tool erkennen nicht die gleichartigen Dateien (locked-Jellyfish.jpg.hdlc und eure jellyfish.jpg) Wählen sie ein anderes Locked/Original Paar aus, die beiden passen nicht zusamen (Avira) oder der Sclüssel passt nicht (Decrypt). Habe sogar eigene Originale gefunden, die aber auch mit den gleichen Fehlermeldungen nicht funktionieren.

Showdow Explorer habe ich auch gerade erst installiert (kannte ich gar nicht), da mir leider auch ziemlich viele Dateien komplett abhanden gekommen sind. Die kriege ich aber nicht wieder her, oder?
z.B. ist mein komplettes Thunderbird Adressbuch futsch, sowie einige Postfach Files...

Naja, anderes Thema, jetzt geht es mir aber eher um das massenweise umbenennen von Locked-Files (Bilder, pdfs, aber auch Links im Browser, etc.)

Was gibt es für Alternativen?

Ach so, wenn ich die Dateien einfach nur umbenenne, lassen die sich auch nicht mehr herstellen. Ist das schlimm? :-(
Nachtrag: Manche Dateien existieren sowohl als Locked-Datei als auch immer noch im Original und manche (Thunderbrid), lassen sich immer noch öffnen. Crazy Shit.

Hi Markus, ich kann unter Outlook die Mail nicht als eml abspeichern .... kann ich sie Dir einfach so weiterleiten?

hi
mail einfach weiterleiten

hab sie an Dich weitergeleitet ...

danke für Eure Arbeit!

Gruss Silvia

Bekomme auch immer die Meldung, dass das Paar nicht zusammenpasst.

Habe die Daten vorher mit R-Studio ausglesen und wollte diese dann entschlüsseln. Muss die Entschlüsselung vom laufenden, infizierten System erfolgen oder ist das egal?

Wie sehen denn Deine verschlüsselten Dateien aus,

so locked-xxxxxxxx.yyy.zzzz oder so ERTfgvbhZUhnhjm


Gruß Volker

In diesem Fall die erste (locked) Variante.

Wie siehts mit der zweiten Variante aus? Gibts dazu hier auch schon irgendwelche Infos/Threads?

Meine letzten Infos zur zweiten Variante sind, dass es dazu noch irgendwie keinen richtigen Lösungsansatz gibt...

@Casino030,
da hilft nur die Suche nach Originalen, die auch als locked. vorliegen.
Ob Verwandte, Bekannte, Mailboxen, Caches, CDs, Handys oder wo auch immer Dateien liegen könnten, sollten genutzt werden.
Falls auch verschlüsselte Dateien dabei sind, die vom System installiert werden, dann helfen auch die Originale eines sauberen gleichen Systems.

wenn nix aufzutreiben ist, dann kann man noch die Tools probieren, die hier vorgestellt wurden.

War das jetzt die Antwort auf Variante 1 oder 2?

Also hier mal kurz mein Vorgehen:

Ich habe einmal die Locked Variante vom Windows XP Wallpaper "Blaue Berge" und das dazugehörige saubere, funktionierende Original von einem anderen Rechner genommen. Auch mit einem anderen Wallpaper oder einem Titel aus "Beispielmusik" hat es nicht funktioniert.

Woran könnte das liegen?

Oh sorry, natürlich für Variante 1, für die Nicht-locked-Varianten existiert, außer den schon beschriebenen Reparaturtools wie Shadow-Explorer, noch kein probates Mittel zur sicheren Wiederherstellung.

Wir sind hier im AVIRA-Thema.
Hast Du bisher nur AVIRA ausprobiert?
Das wäre die denkbar ungünstigste Variante, da AVIRA bei einem zweiten Duchlauf mit neuem Schlüsselpaar, bereits generierte dateien nicht überschreibt.
Da denkt mann dann, das zweite Paar sei auch unbrauchbar.

Im Übrigen gab es auch schon bei locked-Variante des Trojaners Modifikationen.
So wurden anfangs noch alle Dateien mit einem Schlüssel restauriert, später brauchte man dann mehrere Schlüsselpaare um ganze Datenbestände wiederherzustellen.
So konnte ich beispielsweise 12000 JPGs erst mit vier Dateipaaren, mit Originalen aus verschiedenen Jahren wiederherstellen.

Nein, ich habe es auch mit dem DecryptHelper versucht. Aber auch da bekomme ich die Meldung, dass der Schlüssel nicht bestimmt werden konnte... hast du ein paar Tipps, wie ich noch vorgehen kann?

Also wenn die beiden Dateien exakt gleich sind, exakt die gleiche Größe haben, ist es mir noch nicht passiert, dass kein Key zu generieren war.
Bist Du Dir sicher, dass Du sowohl beim Original als auch beim locked-File die gleiche Datei verwendest?
Schau mal in den Eigenschaften der Dateien, ob sie die gleiche Größe haben.

Ansonsten bin ich mit meinem Latein auch am Ende.
Ohne passende Dateipaare laufen auch die Tools ins Leere.

Wie gesagt, ich habe die Wallpaper probiert und auch die Beispielmusik von Windows XP. Die Dateien waren die selben. Halt nur von unterschiedlichen Systemen.

Sie hatten auch die selbe Größe. Hätten sie das nicht, würde ich das auch so gesagt bekommen (schon probiert).

Spielt es vielleicht doch eine Rolle, die Tools auf dem betreffenden System laufen zu lassen (obwohl ich mir das eigentlich nicht vorstellen kann...)


Hat jemand anderes noch eine Idee?

Ich habe eben scareUncrypt, eine Anzahl locked-Dateien und einen mit scareUncrypt generierten Key auf einen USB-Stick kopiert und das Teil in den Laptop gesteckt.

Auch mit dem Laptop hat scareUncrypt alle Dateien entschlüsselt und auf den Stick geschrieben.

Findest Du denn keine andere Datei unter den verschlüsselten, die Du als Original auftreiben kannst?

Dass die Beispielbilder unwirksam sind, wurde hier schon mehrfach berichtet.

Der Virus ist ja auch schon x-mal modifiziert worden, um immer mehr Hintertüren zu schließen.

Wenn Du also keine Schattenkopien reaktivieren kannst, mußt Du nach passenden Paaren suchen, da hilft nix anderes.

und in den eigenschaften gucken ob die dateien byte genau gleich groß sind

Ich hätte eine Frage, möglicherweise ist es sogar ein nutzbare Idee:
Wenn ich keine Datei mehr in der unverschlüsselten Version habe, wäre es möglich, dem Trojaner eine Datei unterzujubeln ? Ich kopiere sie von einer Live-CD in eines der Verzeichnisse, die er verschlüsselt, und starte den Rechner dann wieder normal. Dann hätte ich ein Datei-Paar, mit dem ich den Decrypter trainieren könnte.
Und könnte man auf diese Weise nicht sogar gezielt Dateipaare erstellen, die sich für den Decrypter besonders eignen ?

nö
wenn du die verschlüsselung neu startest, generiert sie einen neuen schlüssel.
also wäre diese idee für die zuerst verschlüsselten dateien unbrauchbar

hallo,

habe mich jetzt so ziehmlich durch den ganzen thread gelesen, aber noch nichts hilfreiches gefunden.... mein problem ist das die dateien nicht sichtbar verschlüsselt sind, also noch ihren ursprünglichen dateinamen haben, ddaher avira auch keine datei als verschlüsselt erkennt.... was kann ich machen???

ich bin selbstständig und nutze denn laptop beruflich und brauche nun schnelle hilfe!

danke daniel

@gasok,
Du hast ein 64bit-Win7, der Shadow Explorer findet wohl keine Schattenkopien?

Als Selbstständiger wäre es das sinnvollste, Du spielst das letzte Backup Deiner Firmendaten zurück.

Volker

danke volker, ein backup existiert nicht da die daten auf einer externen festplatte gesichert wurden und diese vor gut zwei monaten bei einem diebstahl der handtasche meiner frau mit aus dem auto entwenet wurden :aufsmaul:, habe aus vielerlei gründen, ämter, versicherung, kinder etc. noch nicht die zeit gefunden eine neue sicherung meiner daten zu erstellen :headbang:

nun bekomme ich so langsam das kaltek.o.t.z.e.n.imstrahlübersiebenbeete!!!hast du noch eine idee, leider existieren nur noch einzelne dateien auf einem stick, diese wurden aber am rechner weiterbearbeitet, weshalb der inhalt der zu den stickdaten abweicht.

gruß daniel

moin moin Daniel,
Du hast noch nichts über eventuelle Schattenkopien gesagt.
Klicke mal auf den Link unter Punkt 3 ganz oben auf dieser Seite.
Dort sind die Möglichkeiten aufgelistet.
Punkt 2 in diesem Link sagt was über Schattenkopien.

Das wäre mein erster Rat, wenn kein Backup existiert.

Volker

danke volker :taenzer: :singsing: :applaus: :daumenhoc :heilig: :party: :crazy: :huepp: ... voll ins schwarze getroffen... muss ich jetzt noch irgendetwas beachten... mbam habe ich gesteren gedownloaded und installiert und habe den trojaner damit gefunden, in quarantäne gestellt und entfernt...ist er jetzt wirklich weg...?

nochmals danke und gruss daniel

Weiß ich nicht,
mache erstmal eine Sicherheitskopie der Daten, die Du jetzt wieder hast und die für Deine Firma überlebensnotwendig sind.
Anschließend scanne nochmal mit malwarebytes .

Wenn Du ganz auf Nummer sicher gehen willst und es nicht zu aufwändig ist, setze das System neu auf.

Außerdem rate ich Dir zu einem Image Deines komplett konfigurierten Systems.
Mit diesem Image kannst Du den Rechner jederzeit in ca. 30 Minuten wiederherstellen, mit all Deinen Programmen und Einstellungen.

Volker

Hallo zusammen.

Ich habe seit Dienstag auch so einen Verschlüsselungstrojaner auf meinem Rechner. Obwohl ich eine Originaldatei habe und eine verschlüsselte (gleiche Größe, gleiches Änderungsdatum, Word Dokument) sagt der Entschlüssler von Avira und auch der von Markus, dass der Schlüssel nicht erstellt werden kann. Was mach ich falsch? Ich muss dazu sagen, dass meine Dateien nicht mit "locked" im Dateinamen verschlüsselt sind.

Vielen Dank!
Rudit

moin moin Rudi,
dann hilft keines der acht Tools.
Schau mal unter Punkt 3 im Top-Frame.
Der Link dort führt Dich zu den z.Z. möglichen Optionen.

Volker

Hallo Volker.

Für Word und Excel Dateien ist unter Punkt 3 nicht wirkich was brauchbares zu finden. Arbeitet Ihr an einer Entschlüsselung oder rentiert sich das Warten nicht?

Danke Dir!

Ist leider so.
Dem Link zu meinem Exelbeitrag bist Du gefolgt?
Recovery for Excel hilft nur bei einfachen Tabellen und nur dem, der sie erstellt hat, da jeglicher Textbezug fehlt.

Zu Deiner zweiten Frage:
Ich gehöre zwar nicht zum Team derer, die den Trojaner zerlegt haben, dafür fehlen mir die Kenntnisse.
Ich schaue ihnen aber ab und zu über die Schulter.

Momentan sieht es so aus, dass sie vor einem tiefen und weiten Abgrund stehen.
Jenseits dieses Abgrundes, sprich C&C-Servern irgendwo auf der Welt, liegen die Schlüssel, die ein Weiterkommen ermöglichen könnten.
Beachte den Konjunktiv, denn sicher ist garnix.
Selbst wenn man die Schlüssel bekäme, ist dann die Frage, ob die entsprechenden Schlösser ( .$02-Datei im TEMP-Ordner ) noch auf dem PC sind.
Viele haben die durch Neuinstellation schon weggeschmissen, ohne das alte System und damit die Schlösser, zu sichern.

Ich neige schon dazu jedem zu raten, seine defekten Daten trotzdem zu sichern, beiseite zu legen und mit einem sauberen System wieder seinen Alltagsgeschäften nachzugehen.
Im laufe der Zeit werden diese Daten für jeden an Bedeutung verlieren und irgendwann werden sie dann gelöscht.
Ich selbst glaube an keine kurz- oder mittelfristige Lösung a la decrypthelper, scareUncrypt und wie sie noch heißen.

Volker

Link zum Excel? Ich bin dem Link von Euch, der zu einer allgemeinen Seiten von Microsoft zur Wiederherstellung von beschädigten Dateien gefolgt. Das sind aber nur "allgemeine" Tipps zu finden, nicht speziel zu Exel. Ist das der Link, den Du meinst? Oder habe ich was übersehen?

Hallo rudit,
ja und nein.
Ja, denn neben dem Link zu MS gibt es den zu Office Recovery.

Nein, da dieser Link nicht explizit Excel nennt.

Volker

Hallo Leute,

erst einmal ein großes Lob, super wie das hier alles erklärt wird! Danke!

Mein PC war auch vom Ransom Trojaner befallen habe den Trojaner entfernt und die Lock Dateien mitlerweile wieder entschlüßelt, hat alles super geklappt, leider habe ich den Dateinamen einer Datei vor dem Entschlüßeln geändert und somit wurde diese vom Decrypter nicht beachtet, sie ist aber immernoch verschlüßelt.
Ich habe aber bereits alle locked Dateien auf meinem PC gelöscht, heißt ich kann den Trick mit den Windows Bsp. Bildern nicht anwenden, da ich ja keine verschlüßelten Bsp Bilder mehr habe.
Könnte mir bitte jemand die verschlüßelten Bsp Bilder von Windows XP hochladen? Original gibts ja bereits zum Download.

Vielen vielen Dank!


//EDIT: Habe locked und dazugehörige originale hier im Board gefunden!

ICh habe aber ein weiteres Problem, da ich die zu entschlüßelnde Datei umbenannt habe findet der Decryptor sie nicht mehr, muss die Dateiendung bei .doc Dateien erfahren!
Vielen Dank!

moin moin caesar,
eine verschlüsselte Datei oder ein Schlüssel eines anderen Rechners wird Dir nix bringen, da die Verschlüsselung rechnerspezifisch erfolgt.
Du kannst aber versuchen, eine oder mehrere locked- Dateien die Du gelöscht hast mit einem RAW-Recovertool zurück zu holen.

Mit welchen Tool hast Du denn gearbeitet?
scareUncrypt erzeugt z.B. den Schlüssel und speichert ihn ab, dann brauchst Du kein Dateipaar mehr, es reicht der Schlüssel.

Volker

Habe mit dem Rannoh Decrypter von Kaspersky gearbeitet!
Werde das mit dem zurückholen der Daten versuchen!
Danke!

Hi,
ich habe auch einen Verschlüsslungstrojaner und soll 200€ bezahlen. Habe null Ahnung von PCs. Wie kann ich meine Daten wieder herstellen?

moin moin Michael,
ist Dein PC wieder sauber oder ist er noch infiziert?
Hast Du Dich hier schon etwas umgesehen und gelesen, welche Möglichkeiten der Datenrekonstruktion es gibt?
Was machst Du mit dem PC bei Null-Ahnung, Briefe schreiben, Bilder bearbeiten, Spielen oder Musik hören?
Hat der PC auch ein Betriebssystem?
Wie sehen denn die defekten Daten aus?

Du hast drei Sätze geschrieben, warum soviel?

Volker

ich möchte aktuell warnen, der spam mit verschlüsselungstrojanern nimmt tatsächlich wieder zu es gibt wieder neue versionen, bzw versionsnummern.
also, wer was reinbekommt, an mich senden.

http://www.trojaner-board.de/119168-...eue-welle.html

Hallo,

bei mir startet Avira Ransom File Unblocker unter XP nicht.

Fehlermeldung :

Die Anwendung konnte nicht richtig initialisiert werden ( 0xc0000135 ) Klciken Sie auf "OK", um die Anwendung zu beenden.

Das ist schade, demm Kaspersky, der einzige der Unlocker, der bei mir läuft findet kein Decrytion Key...

Kennt jemand diese Fehlermeldung. Braucht Avira noch irgendwas installiert ( Java, etc. ), da der Rechner ja noch absolut frisch installiert ist?

Grüße und Danke

BOA

moin moin BOABOA,
ist auf dem Rechner nun ein System mit aktuellen Patches, SPs und Treibern?
Wie kommst Du eigentlich auf den Gedanken, dass die Tools Dateien, die mit dem Trojaner der Version 2.00.11 verschlüsselt wurden, entschlüsseln können?

Volker

Hi,

ja, ist ein aktuelles System mit allen Patches, SP's und Treibern. Unter meinem Win7 Rechner laufen die Programme sofort an.

Nen bissel Offtopic hier aber, ich glaube nur das, was ich selbst sehe, denn die Hoffnung stirbt bekanntermaßen zuletzt... :-)

Inzwischen habe ich das auch noch mal gelesen. Im Hinweis oben ( Vorgehen beim Verschlüsselungs-Trojaner ) wäre als Optimierungsvorschlag gut, wenn es noch mal klar stehen würde, dass Dateien mit dem Aufbau 134e3091rjf3j ( zur Zeit noch ) nicht mit den acht Tools beackert werden können.

Grüße

BOA

Nun, zuerst, Dateien der Form 134e3091rjf3j gibt es bei diesem Verschlüsselungstrojaner nicht.
Numerische Zeichen werden bei der Verschlüsselung nicht verwendet.
Die Verschlüsselung erfolgt ausschließlich mit alphanumerischen Zeichen, also FgTZoikJHBGVrfg.
Und, Du hast ja nun auch mitbekommen, auch ohne erneute Klarstellung, dass diese Variante von den acht Tools nicht unterstützt wird.
Bei etwas Recherche, bevor man irgendwelche Aktionen startet, findet man hier an allen Ecken und Enden den Hinweis auf die bestehenden Möglichkeiten bei den Verschlüsselungsvarianten.
Insofern bedarf es keiner zusätzlichen Klarstellung.

Volker

Positive Kritik kann angenommen werden oder nicht.

Ich kann nur wiederholen, dass es mir und anderen Nutzern auch Zeit & Mühen gespart hätte, wenn die Info deutlich in den Hinweisen gestanden hätte.

Und ein Kurzer Hinweis, was alphanumerisch bedeutet:

Ein alphanumerisches Zeichen ist im engeren Sinne entweder ein Buchstabe oder eine Ziffer. :-)

Grüße

BOA

Das ändert nichts an der Tatsache, dass numerische Zeichen nicht vorkommen, noch nicht.

Hallo zusammen,

habe ich das richtig verstanden das für verschlüsselte Dateien die ungefähr so aussehen FgTZoikJHBGVrfg es noch keine Hilfe gibt?

Gruß
Slimerinho

Ja, bis auf die unter Punkt 3 beschriebenen Möglichkeiten gibt es nix besseres.
Siehe oben in der Hinweisbox.

Volker

Danke für deine schnelle Antwort Undertaker!

Hmm, kann ich mir wenigstens eine kleine Hoffnung machen das Ihr etwas entwickelt um diese wieder herzustellen oder ist der Zug abgefahren und ich kann alle meine Bilder aus 10 Jahren Familienleben löschen?

Gruß
Slimerinho

Denke mal über Backup nach. Festplatten können kaputtgehen, ein Bildverlust ist nicht auf einen Virus angewiesen.

@stefanbecker

sorry aber das habe ich jetzt nicht richtig verstanden?

Was gibt es da nicht zu verstehen? Lernen durch Schmerzen ist angesagt.

Du hast kein Backup, sonst würdest du ja nicht fragen.

Es gilt der Grundsatz: Daten ohne Backup sind per Definition keine wichtigen Daten.

Was machst du denn, wenn die Entschlüsselung gehen würde? (Was nicht geht, wenn man den Thread mal liest)

Ein Hardwarefehler kann nicht gesicherten Daten auch den Garaus machen.

Hilft dir nicht jetzt, aber deinen nächsten Bildern.

Ich habe gerade JPEG Recovery Pro 5 runtergeladen und kann meine Bilder wiederherstellen leider nur mit einem Wasserzeichen da es nur die Testversion ist.

@stefanbecker
Ich dachte du willst mir helfen, aber mir hier erzählen das ein Backup helfen würde das weiss ich JETZT auch. Nur bin ich hier und hoffe auf Hilfe und Aussagen wie ein Backup würde mir helfen, helfen mir auch nicht weiter!

Danke an alle die hier so viel Zeit und Arbeit reinstecken um anderen zu helfen.

Gruß Slimerinho

Dann freue dich dass es geht und kauf dir das Programm.

Ohne Hoffnung würde die Depression regieren, also ist es schon mal nicht schlecht zu hoffen.
Nur würde ich in diesem Fall die Erwartungen ganz weit runterschrauben.
Dass die kommerziellen Anbieter von Tools, deren Recourcen vielfach größer sind als unsere, bisher nichts anbieten können, spricht ja schon Bände.

Der beste Weg ist, Daten, die nicht durch herkömmliche Tools rekonstruierbar sind, sichern, in den Schrank packen und warten.
Irgendwann werden diese Daten entweder wiederherstellbar oder sie werden ihre Bedeutung verlieren und der Speicher wird wieder frei.

Wichtig ist, aus dem Vorfall zu lernen und der Datensicherung den Stellenwert zuzuordnen, den man für sich als ausreichend erachtet.

Dass JPEG-Recovery einiges leistet, ist schon länger bekannt. Du mußt nun entscheiden, ob es Dir Deine Bilder wert sind, die Vollversion zu kaufen.

Volker

Hi,
Ich wollte nochmal reinschreiben wie ich es hinbekommen habe, vielleicht ist es für den ein oder anderen hilfreich, ich habe erst mit FreeCommander alle in .jpg umbennant (einfaches und unkompliziertes Prog). Danach mit JPEG Recovery 4 hatte Glück und bin im net auf eins mit keygen gestossen (auch ein ganz simples Prog.) so ca. 95% wiederhergestellt. War aber trotzdem ganz schön viel Arbeit wenn man viele Bilder besitzt und vorallem in verschiedenen Ordnern. Und ich muss noch dazu sagen das ich wirklich ein Anfänger bin was PC's angeht.

Nun sind noch die .avi(s) dran, umbennant habe ich sie schon jetzt brauch ich was zum wiederherstellen, falls jeman ein Tipp hat immer her damit...thx!

Gruß und Vielen Dank nochmal habe wirklich sehr viel dazu gelernt für die Zukunft, hab das Ganze wohl immer unterschätzt! Nie wieder ohne Backup!!!

Slimerinho

Genau das wollte ich dir gestern sagen. Einmal im Leben hat man so einen Mist und daraus sollte man lernen. Ist mir logischerweise auch mal so gegangen. Tagelang an einer AutoCAD Zeichnung gesessen und dann war die Diskette kaputt. Return to the start, lets begin again :)

Und man sollte nicht nur an Viren denken. Auch Hardware hat ein Verfallsdatum. Ist halt wie bei Autos: Mindestens haltbar bis: Siehe Bodenblech.

Am besten ne dicke externe USB-Platte (kriegt man für 100 €). Oder ein NAS, kriegt man auch schon um 150 Ocken.

Da aber auch solche Geräte kaputt gehen können (auch schon gehabt), sollte man das nicht zur Auslagerung wichtiger Daten nutzen.

Am besten sicherst du deine Bilder zusätzlich auf CD/DVD.

Dann hast du in Zukunft Ruhe.

Und zum Surfen ne VM oder SandboxIE, dann hast du noch mehr Ruhe.


PS: Die neueste Trojanergeneration geht anscheinend auch auf externe Laufwerke und die Netzwerkumgebung, darum das Backupmedium nicht eingeschaltet lassen.

Ja du hast recht, ist erstmal aufn Stick und ner Externen gespeichert, werde mich auch hier im Forum weiter belesen/informieren wie mann sich schützen kann vor dem allen in der Zukunft, aber erstmal reichts 2,5 Tage mit wenig Schlaf verbracht nun ist Wochenende muss bisl abschalten...thx.

Cya

Ich habe auch keinen Heiligenschein und will hier auch nicht scheinheilig argumentieren, aber hast Du die Regeln in diesem Board gelesen?
Damit riskierst Du jegliche Unterstützung durch das Helferteam.

Zum Anderen mußt Du Dich nicht wundern, wenn Du dir mit einem Kexgen erneut die Krätze an den Hals holst.
Es gibt Malware, die still und heimlich agiert und bei der kein AV-Programm anschlägt.
Suche beispielsweise mal nach Mediyes.

Volker