Trojaner-Board - Avira Ransom File Unlocker

Trojaner-Board (https://www.trojaner-board.de/)

- Diskussionsforum (https://www.trojaner-board.de/diskussionsforum/)

- - Avira Ransom File Unlocker (https://www.trojaner-board.de/114224-avira-ransom-file-unlocker.html)

Avira Ransom File Unlocker

Avira Ransom File Unlocker
danke an Moritz Kroll

wir haben jetzt eine version von avira, diese ist noch nicht offiziell draußen, deswegen gilt auch hier, nur mit dateien testen von denen ihr ein backup habt.

original beschreibung:

Zitat:

"Avira Ransom File Unlocker" is a tool written in .NET 2.0 to decrypt files encrypted by a ransom malware claiming the files have been encrypted with a 2048 PGP key. In fact it's RC4, so with a given original file (from a backup or any other source) to an encrypted file, it is possible to decrypt
all files. The tool will not change or delete the encrypted files, to avoid data loss in case the decryption didn't work probably due to a new variant of the malware.
The tool tries to derive the key from some files commonly found in the encrypted directories.
If no key is found automatically, the user has to choose an encrypted file from the HDD disk and the original version of this file from the HDD or from another source. It's absolutely necessary that the original version is an exact copy of the encrypted file before the user was infected, otherwise
the tool won't work correctly.
After that the user has to choose an encrypted file or a directory with encrypted files he wants to decrypt.

Wichtiger Hinweis:

Es ist bereits eine neue Variante im Umlauf, die sich nicht mehr einfach entschlüsseln lässt. Daher folgende Hinweise:

Arbeitet immer mit Backup-Dateien
Meldet Euch, wenn es Probleme gibt, denn nur so können neue Lösungen erarbeitet werden.

Aktualisierte Version:

Download: Avira-RansomFileUnlocker-1.0.1.zip

Wichtig:
bitte entpackt den avira unlocker in ein eigenes verzeichniss.
bitte die Avira-RansomFileUnlocker.exe doppelklicken,
rest sollte selbsterklärend sein

Alte Versionen
Anhang 33975

Teste das Teil von Avira gleich mal hier am Server....
Die 0.3.2. von Matkuni läuft bisher einwandfrei auch bei tief verschachtelten Verzeichnissen.

Zitat:

Zitat von markusg (Beitrag 820772)

bitte das avira programm testen und posten, ich reiche evtl. auftretene probleme weiterfeedback
und klar wurde er ins team aufgenommen, er war der erste der nen tool angeboten hatt :-)

Tests verlaufen erfolgreich. Ich hab mittlerweile so die Schnauze voll als dass ich Belastungstest mache. Die Sicherung des NAS liegt lokal auf meinem PC. Habe die Konvertierung gerade angeschmissen, 6000 Dateien hat er schon, 150000 fehlen noch, von denen 27000 infiziert sind.

Test erfolgreich. Hat alle Datein die ich so habe wieder herstellen können. Keine Fehler beim öffnen selbiger.

bitte hebe die verschlüsselten dateien sicherheitshalber ne weile auf, bis raus ist das du keine probleme mit all deinen files hast

Habe 2 Bilder versucht zu entschlüsseln, wenn ich dann die Bilder mir anzeigen lassen will, meldet er, die wären zu entweder groß für Windowsfotoanzeige oder die Datei wäre beschädigt

kannst du mir die bilder zur verfügung stellen?
Trojaner-Board Upload Channel
wenn du die originale noch hast, die ebenfalls
ist das nur bei den bildern so, oder auch bei anderen files?

Habe keinerlei Probleme. pdf, xls, txt, jpg, png, gif, doc, exe, csv, war so ziemlich alles dabei. Avire Ransom File Unlocker hat also innerhalb von ca 30 Minuten ca. 500GB bearbeitet, davon 27221 Datein unlocked.
Klar, ich hab jetzt nicht alle 60GB der unlocked Dateien durchgeschaut, aber es sieht alles sehr gut aus. Da wir auch diverse Microsoft Medien auf dem NAS gespeichert haben (Office Installations-CDs), konnte ich auch ein Office 2003 erfolgreich installieren.
Also Verschlüsselte und Originaldateien habe ich keine Standard-Windows Dateien genommen. Der PC von dem der Trojaner aktiviert wurde, hatte noch ein Netzlaufwerk auf einem der Server von dem ich eine Imagesicherung hab. Die Dateien dort wurden auch infiziert, habe also eine von dort und eine aus der letzten Sicherung genommen.

Das Problem mit den Bildern habe ich auch ;)

edit: habs hochgeladen

hi,
ob sich wer backups aufhebt, muss er natürlich selbst entscheiden, ich persönlich würds tun, kann ja doch nen problem gegeben haben :-)
aber das tool arbeitet auf jeden fall mal flott :p

ja ja du hast ja recht = war lehrreich :crazy:

aber was macht man wenn man keine originale hat?

bitte kurz warten, habs weiter geleitet.

hallo markus,

habe gerade eine Openoffice Datei zu entschlüsselt (auch ohne original), sieht schrecklich aus, stell ich mal zur Verfügung

Aaah, hab gerade gesehen, dass es am Key liegt. Nutze ich eine vorher/nacher Datei eines defekten Bildes, dann klappt die Entschlüsselung. Mit dem Key funktioniert jedoch die Entschlüsselung von vielen anderen Dateien dann nicht. War das jetzt verständlich? :-D

komisch habe mir die Beispielmusik genommen aber irgendwie sind die Dateien vom anderen Rechner nicht kompatible. sind 4kb kleiner als die verschlüsselten Dateien.