|
Avira Ransom File Unlocker Liste der Anhänge anzeigen (Anzahl: 1) Avira Ransom File Unlocker danke an Moritz Kroll wir haben jetzt eine version von avira, diese ist noch nicht offiziell draußen, deswegen gilt auch hier, nur mit dateien testen von denen ihr ein backup habt. original beschreibung: Zitat:
Es ist bereits eine neue Variante im Umlauf, die sich nicht mehr einfach entschlüsseln lässt. Daher folgende Hinweise:
Aktualisierte Version: Download: Avira-RansomFileUnlocker-1.0.1.zip Wichtig: bitte entpackt den avira unlocker in ein eigenes verzeichniss. bitte die Avira-RansomFileUnlocker.exe doppelklicken, rest sollte selbsterklärend sein Alte Versionen Anhang 33975 |
Teste das Teil von Avira gleich mal hier am Server.... Die 0.3.2. von Matkuni läuft bisher einwandfrei auch bei tief verschachtelten Verzeichnissen. |
Zitat:
|
Test erfolgreich. Hat alle Datein die ich so habe wieder herstellen können. Keine Fehler beim öffnen selbiger. |
bitte hebe die verschlüsselten dateien sicherheitshalber ne weile auf, bis raus ist das du keine probleme mit all deinen files hast |
Habe 2 Bilder versucht zu entschlüsseln, wenn ich dann die Bilder mir anzeigen lassen will, meldet er, die wären zu entweder groß für Windowsfotoanzeige oder die Datei wäre beschädigt |
kannst du mir die bilder zur verfügung stellen? Trojaner-Board Upload Channel wenn du die originale noch hast, die ebenfalls ist das nur bei den bildern so, oder auch bei anderen files? |
Habe keinerlei Probleme. pdf, xls, txt, jpg, png, gif, doc, exe, csv, war so ziemlich alles dabei. Avire Ransom File Unlocker hat also innerhalb von ca 30 Minuten ca. 500GB bearbeitet, davon 27221 Datein unlocked. Klar, ich hab jetzt nicht alle 60GB der unlocked Dateien durchgeschaut, aber es sieht alles sehr gut aus. Da wir auch diverse Microsoft Medien auf dem NAS gespeichert haben (Office Installations-CDs), konnte ich auch ein Office 2003 erfolgreich installieren. Also Verschlüsselte und Originaldateien habe ich keine Standard-Windows Dateien genommen. Der PC von dem der Trojaner aktiviert wurde, hatte noch ein Netzlaufwerk auf einem der Server von dem ich eine Imagesicherung hab. Die Dateien dort wurden auch infiziert, habe also eine von dort und eine aus der letzten Sicherung genommen. |
Das Problem mit den Bildern habe ich auch ;) edit: habs hochgeladen |
hi, ob sich wer backups aufhebt, muss er natürlich selbst entscheiden, ich persönlich würds tun, kann ja doch nen problem gegeben haben :-) aber das tool arbeitet auf jeden fall mal flott :p |
ja ja du hast ja recht = war lehrreich :crazy: aber was macht man wenn man keine originale hat? |
bitte kurz warten, habs weiter geleitet. |
hallo markus, habe gerade eine Openoffice Datei zu entschlüsselt (auch ohne original), sieht schrecklich aus, stell ich mal zur Verfügung |
Aaah, hab gerade gesehen, dass es am Key liegt. Nutze ich eine vorher/nacher Datei eines defekten Bildes, dann klappt die Entschlüsselung. Mit dem Key funktioniert jedoch die Entschlüsselung von vielen anderen Dateien dann nicht. War das jetzt verständlich? :-D |
komisch habe mir die Beispielmusik genommen aber irgendwie sind die Dateien vom anderen Rechner nicht kompatible. sind 4kb kleiner als die verschlüsselten Dateien. |
mtx43 kannst du mir die dateien zur verfügung stellen. wenn ich dich richtig verstehe, sind die, die mit dem durch das tool generiertem key entschlüsselt wurden daten müll, und die, die anhand eines originals entschlüsselte passt. bitte jeweils, wenn möglich eine müll datei und und vernünftig entschlüsselte, + die original datei die du verwendet hast zur verfügung stellen. |
@Mastercontro hatt das avira tool keine dateien gefunden aus denen es automatisch nen schlüssel generieren konnte? |
@mtx430 ist weiter geleitet, danke |
Kein Problem! Wenn ich den Key nutze, der eine "beschädigte Datei" entschlüsseln kann, dann funktioniert dieser auch nur bei dieser einen Datei. Es sind denke ich knapp 200 Bilder beschädigt. Ist dann ein wenig mühsig, zumal ich nicht immer das Original habe. Aber dennoch besser als garkeine Bilder mehr zu haben :) |
na, noch ist ja nichts verloren, ist ja die erste version, da kann es schon mal zu problemen kommen. avira hat deine files jetzt, und guckt was da schief läuft |
damit möglichst schnell auf neue updates des trojaners reagiert werden kann, benötige ich die infektions quellen, meistens e-mails. dazu die mails die ihr bekommen habt öffnen, datei speichern unter, und abspeichern. meist als .eml diese weiterleiten an: markusg@paules-pc-forum wer einen webmailer nutz, teilt mir diesen mit, bzw wer probleme hat die mail weiter zu leiten |
Bin gerade dabei zu entsperren, nun fällt mir auf, das bei manchen ordner und dateien ein kleines vorhängeschloss davor ist. was bedeutet das? |
es reicht auch das du es in ein thema postest, meinst nicht? windows 7 bzw vista? da ist das normal. |
Hi zusammen. Hatte das gleiche Prob mit dem Fiesling. F-Secure hat das Ding vernichtet und Avira hat alle daten wieder entschlüsselt. Danke an die Leute die solche Tools programmieren bzw. schreiben. und danke ans Board fürs dran bleiben am Problem. schnelle hilfe wie immer. :dankeschoen: Markus ich schick dir meine email samt dem anhang via GMX |
Liste der Anhänge anzeigen (Anzahl: 1) Hallo zusammen, ich habe es mit zwei Bilddateien versucht und bekomme die Fehlermeldung, dass das Paar nicht zusammen passt. Unter "verschlüsselte Datei" habe ich eine entsprechende Locked-Datei hinzugefügt und unter "original Datei" ein Beispielbild aus Windows. Anschließend habe ich unter "einzelne Datei entschlüsseln" eine locked Datei hochgeladen und bekomme die entsprechende Fehlermeldung. Siehe Anhang. Kann mir hier einer weiterhelfen? Besten Dank schon mal & Gruß |
Beitrag gelöscht |
@all, danke für e-mails, weiter so :-) es wurde bereits nen sample mit neuen schadfunktionen gefunden, upgrade der verwendeten url list, von denen sie befehle bzw weitere malware laden kann. also, weitere mails sind wichtig. @mtx430 ist es dir möglich, die datei hochzuladen, die avira unlocker als reverenz für den unlock key gewählt hatt? |
@Martin findet der avira unlocker keine datei automatisch aus der sie den key generieren kann? |
@ Martin Hast du nicht ne musik datei die du zufällig auch noch auf dem handy oder cd oder so was hast? so hab ich es gemacht. und du solltest die die beiden datein auf nen stick oder so packen damit die verschlüsselte nicht ungewollt mitenschlüsselt wird. ich hab die beiden datein auf ne cd gebrannt dann kann gar nichts passieren. und du hast dann immer referenzmaterial wenn wieder mal passieren sollte oder nem freund bekannten wem auch immer |
Danke für dieses Programm. Das Programm hat mir jetzt schon bei mehreren Kunden PCs geholfen vor dem Formatieren wenigstens die Daten wiederherzustellen. @AimAdvance Ich schätze mal es bringt dir nichts die locked datei von diesem Befall aufzubewahren. Ich denke es muss jedesmal ein neuer Key erstellt werden, weil der Trojaner die Schlüssel jedesmal neu generiert. |
Das Programm arbeitet sensationell gut, das hätte ich nicht für möglich gehalten, alle Dateien sind wieder korrekt zu öffnen, einfach klasse. Was mir ein wenig Probleme bereitet hat, waren die spärlichen Dienstanweisungen, weshalb ich hier nochmal für alle Ungeübten beschreiben möchte, was ich gemacht habe, um die durch den Verschlüsselungs-Virus verseuchten Dateien zu retten. Ich habe mir vorher eine Virus-verschlüsselte Datei auf den Desktop geladen, dann habe ich mir die Selbe (noch heile) aus einem alten Backup von einer CD ebenfalls auf den Desktop kopiert. In meinem Fall waren es PDF Dateien, die aber auch Texte und Fotos enthielten. Dann habe ich das Programm gestartet und die beiden Dateien als Transskriptions-Vorlage für eine Entschlüsselung genutzt. Mehrere Probedateien ließen sich problemlos zurückholen. Nach Erstellung von Sicherungskopien ganzer Verzeichnisse entschlüsselte ich gleich mehrere Verzeichnisse erfolgreich. Mir ist noch aufgefallen, dass es offensichtlich "verschlüsselungsresistente" Dateien gab, also solche, die durch den Virus nicht befallen worden waren. Es handelt sich dabei um Screenshots von Fotos aus dem Internet. Kurzum, ganz tolles Datenrettungsprogramm - wenn man bedenkt, was ich hier alles an Daten über Jahrzente gesammelt hatte und von vielen Dateien keine Sicherungskopien (mehr) hatte. Meine gesamte Firmenbuchhaltung von 10 Jahren, irrsinnig viele historische Dokumente, die ich (mühsam) eingescannt hatte. Familienfilme, die ich schon bearbeitet hatte, aber noch nicht gesichert. Ich habe jetzt viel daraus gelernt. Immer müssen Sicherungskopien gemacht werden, nicht alle Aufgaben sollte an einem Computer alleine bearbeitet werden, Buchhaltung und Hobby sollten getrennt werden. Emails sind noch viel vorsichtiger zu behandeln, denn hier kam der Virus über einen PDF-Mailanhang. Ich habe zwar seit 1984 einen Computer und hielt mich schon für sehr schlau, aber das hier war das Beschissenste, was ich je erlebt habe. Danke, danke, danke. Ich werde spenden.... |
Hallo zusammen, danke für eure Hilfe. Ich habe es mit dem DecryptHelper0.5 hinbekommen. Text-, Tabellen- und Bilddokumente konnte ich alle wieder herstellen! Gruß Martin |
noch mal an alle, es reicht nicht, die files zu entschlüsseln, ihr müsst noch eure pcs hier prüfen lassen! |
mal ein hinweis. der upload channel ist für angeforderte uploads da, nicht einfach was auf verdacht hochladen. es ist natürlich in ordnung, hier ne problem beschreibung zu erstellen, und dann einen upload zu machen, so können wir zeitnahe reagieren. |
@ hkhkl du hast mir jetzt verschlüsselte files hochgeladen, aber ich benötige ein original + evtl. die von avira erstellte key datei. |
hi @mtx430 mal avira rückfrage: > Wurden alle Bilder im gleichen Pfad infiziert? > Die Datumsangaben von den locked Files in dem Archiv stimmen mit denen auf dem > infizierten Rechner überein, oder? > Wurde der Rechner vielleicht während des Lockens schnell ausgemacht und dann rebootet? > Dann hätte er mit dem Crypten weitergemacht und eventuell einen anderen Schlüssel bekommen. |
Super Programm ! Ich habe mit deiner Version 0.5 die Masse der Daten wiederhergestellt, da der Rechner zwischenzeitlich ausgeschaltet wurde und wieder hochgefahren wurde, war der letzte Tip mit den anderen Schlüsseln Gold wert. Ich kann das also aus dieser Erfahrung nur bestätigen, der Code wird, wenn der Rechner neu gebootet wird, verändert - Abhilfe schafft natürlich eine Sortierung nach Änderungsdatum und dann mit unterschiedlichen Schlüsseln arbeiten. 1.) Deswegen kann ich nur voll zustimmen, eine Sicherung / ein Arbeiten mit Kopien der verschlüsselten Dateien ist unerlässlich! 2.) Die Software funktioniert fehlerfrei mit allen von mir wieder hergestellten Dateien! (Anmerkung: das entfernen der Malware erfolgte vorab mit Malwarebytes wie von euch beschrieben) kleiner Tip: oftmals existieren auf den Rechnern heruntergeladene Bilddateien aus dem Internet die eindeutige Bezeichnungen aufweisen, so wie hier: hxxp://www.malvorlagen.cc/images/malvorlage/Geschenk_1-671319.jpeg diese Originaldateien sind leicht zu finden und dank markus steht somit einer Wiederherstellung nichts mehr im Wege... Ein ganz großer Dank aus dem sonnigen Schwarzwald, nach einer durchgemachten Nacht ist die euphorie dank der gelungenen Datenrettung an einem Geschäftsrechner perfekt ! MfG MerlinIR |
Guten Morgen, Nun hab auch ich diesen "tollen" Trojaner... nachdem mein Laptop nun soweit wieder hergestellt ist, das die Aufforderung 50€ zu zahlen für einen Code nicht mehr auftaucht, bleibt das Problem der verschlüsselten Dateien. Den Avira Ransom File Unlocker hab ich installiert. Doch gelingt es mir nicht áuch nur eine Datei zu entschlüsseln. Wenig Sinn macht doch wenn ich eine Verschlüsselte Datei (oder Ordner) in ein und die Original- Dateien ins andere Feld einfügen soll, oder? Wenn ich die Dateien noch im Original hätte, bräuchte ich die "alten" nicht zu entschlüsseln. Es geht ins besondere um Bilder, die ich so nicht wieder bekomme. Was mach ich falsch? Wie muss ich vorgehen? Herzlichen Dank schon mal im Voraus Dubsch |
hi, natürlich macht das sinn, wenn du zb sicherheitskopieen anderer daten hast, kannst du die dann nutzen, um einen schlüssel zu erzeugen. findet avira keine vergleichsdatei automatisch bei dir? hast du nen zweiten pc mit möglichst dem selben betriebssystem? nächste frage. ich bin an der infektionsquelle interessiert, meistens e-mail wenn du die über ein mail programm erhalten hast, öffne die mail, datei speichern unter, dann bei typ zb .eml einstellen. neue mail an: http://markusg.trojaner-board.de dort die so eben gespeicherte mail anhängen. falls du nen webmailer nutzt teile mir mit welchen. |
Hi Markus, habe dir zwei Mails von unserer Buchhaltung weitergeleitet. Sind am Wochenende gekommen. Kommt von d***@n***.com |
Hi, das heißt also, ich kopiere (über durchsuchen) einen verschlüsselten Ordner (mit Bildern) in die erste "Spalte" und irgendwelche (evt. aufm Stick) vorhandenen Originalbilder (die inhaltlich nicht den verschlüsselten entsprechen) in die Zweite Spalte? Ja es war ne Mail mit Anhang einer "Rechnung" zip. genau wie überall beschrieben... Leider habe ich diese Mail nicht mehr...:-( |
Wobei, sehe gerade dass folgende Mail schon von 1und1 geblockt wird. -------- Original-Nachricht -------- Betreff: Kunde Firmenname GmbH, Nr26272222 Datum: Fri, 27 Apr 2012 13:05:26 -0400 Von: bernhardbeckerle@freenet.de An: Firmenname GmbH <xxx@xxx.com> Sehr geehrter Firmenname GmbH, Herzlichen Glückwunsch, Ihr Premiumemail Upgrade ist registriert worden. 411,59 Euro für Jahres Anmeldebeitrag werden Ihnen in kürze von Ihrem Bankkonto abgebucht. Kontrollieren Sie die Vertragsdetails bitte dem Anhang, dort finden Sie auch die Erklärung über die Lastschriftabbuchung. mit freudlichen Grüssen Ihr Kundenservice |
danke @Qinjify wenn ihr mehr solchen unsinn bekommt, mahnung, rechnung, telekom-secure, staatsanwaltschaftliche ermittlungen, sind so die mir bekannten variannten, dann her damit :-) |
hi, nein, du suchst ein bild, was dir ver und entschlüsselt vor liegt. diese bilder trägst du dann in die jeweiligen spaleten ein, über durchsuchen zb und anhand dieses paares wird ermittelt welchen schlüssel das tool verwenden muss um die restlichen daten zu entschlüsseln |
Hi, ok. sollte also dann problematisch werden wenn ich keines der verschlüsselten Bilder im Original habe, oder ein Original nehme, allerdings ein falsches verschlüsseltes, denn es ist ja weder das Bild noch die Benennung zu sehen. Trotzdem könnte es gelingen ein Originalbild aufzutreiben, welches verschlüsselt auf dem Lap. vorliegt. Sobald ich das probiert habe melde ich es... Vielen Dank markusg |
du könntest was ganz einfaches machen, besorge dir windows beispiel bilder, oder musik, die hat jedes gerät. |
also muss es nicht original das gleiche bild (motiv, ursprung,quelle) sein? sorry das ich so detaiiert nachnerve... der erste Trojaner in 20 jahren... |
doch, es muss das selbe bild sein. aber die windows beispiel bilder sind ja immer gleich, zumindest von betriebssystem zu betriebssystem, also von xp zu xp zb |
steht alles hier: http://www.trojaner-board.de/114115-...tml#post820441 |
nun hab sogar ich es verstanden :-) Danke markusg und Da GURU |
bitte meld dich noch mal obs geklappt hat :-) |
Zitat:
|
also, es könnte möglich sein, dass dann mehrere schlüssel verwendet wurden. bitte beantworte den rest auch noch, mit datums und pfadangabe etc. |
Hi markusg, also ich habe mit Musikdateien begonnen, da ich Originale aufm Stick hatte. zunächst eine Datei und dann den gesamten Ordner. hat geklappt. Nur ist die Musik völlig unwichtig. Die Bilder sinds die ich zurückbrauche und da klappt es nicht. :-( Dummerweise habe ich gestern schon bei den Bildern mit dem Unlocker gespielt und in beide Spalten die verschlüsselten Ordner kopiert. ich habe zwar noch alle Bilder verschlüsselt, aber nun tritt folgendes auf: Hab mir ein Bild von dem ich weiß das ich es verschlüsselt habe noch einmal von nem Kollegen mailen lassen und als Original eingefügt, dazu das verschlüsselte. Nun sagt mir die Software das diese Datei bereits entschlüsselt ist....:-( alle anderen Bilder hab ich nicht im Original... (sonst bräuchte ich die nicht zu entschlüsseln... Was nun??? Is das ne Scheiße.. Wer programmiert solche Trojaner? man man man Danke Dir (Euch ) trotzdem.. LG dubsch |
hast du es mal anhand von den beispiel bildern probiert? http://www.trojaner-board.de/114115-...tml#post820441 post 62 |
das Problem is das ich keine Beispielbilder mehr aufm Laptop habe...:-( |
und die bilder lassen sich nicht mit dem schlüssel entschlüsseln den du erstellt hast, im regelfall lassen sich alle dateien dann mit dem unlocker entschlüsseln |
Hi, mit dieser Software gings "DecryptHelper von Matthias... warn Haufen arbeit, aber ALLE Bilder wieder da!!!! Mein Gott wasn Glück das es Leute wie Euch gibt!!! Tolles Board!!! Vielen Vielen Dank!!! Darf ich noch was fragen? Nun läuft ja Windows7 wieder und auch die Dateien sind entschlüsselt. Trotzdem äußern viele Bedenken das der Trojaner wirklich dauerhaft meine Festplatte verlassen hat? Empfehlt ihr wirklich ne Formatierung? Danke nochmal |
insbesondere wenn du onlinebanking, einkäufe, sonstige zalungsabwicklungen machst, wäre das ratsam das teil kann prinzipiell malware nachladen etc. beim banking neue zugangsdaten senden lassen |
ok... noch son Aufwand aber wenns sein muss... Also nochmal vielen Dank |
@markusg, habe gerade eine solche mail in meinem Postkasten gefunden: Sehr geehrte Damen und Herren, Sie haben sich für unseren Email Upgrade eingetragen und wir sind sehr erfreut Sie als unseren frischen Teilnehmer zu begrüssen Sie können jetzt bis zu 300 Sms pro Monat gebührenfrei versenden und Ihr Onlinespeichervolumen vergrössert sich um 5 Gb. 222,89 Euro für Mitgliedschaft werden Ihnen pro 12 Monate im Voraus von Ihrem Bankkonto zu Last gelegt. Entnehmen Sie die Vertragseinzeilheiten bitte dem Anhang, dort finden Sie auch den Formular für Ihre 2 Wochen Kündigungsfrist. Mit freundlichen Grüßen Ihr Support die datei habe ich im uload channel hochgeladen, weis nicht welche version es ist, hab sie nicht ausgeführt :-) Die Kopfzeile des Versenders ist: From - Tue May 01 04:14:24 2012 X-Account-Key: account3 X-UIDL: 0LgWtJ-1Rt3C43WLt-00o2iX X-Mozilla-Status: 0001 X-Mozilla-Status2: 00000000 X-Mozilla-Keys: Return-Path: <rachyllooseyvw5@hotmail.com> Delivery-Date: Tue, 01 May 2012 04:07:34 +0200 Received-SPF: pass (mxbap4: domain of hotmail.com designates 65.55.116.78 as permitted sender) client-ip=65.55.116.78; envelope-from=rachyllooseyvw5@hotmail.com; helo=blu0-omc3-s3.blu0.hotmail.com; Received: from blu0-omc3-s3.blu0.hotmail.com (blu0-omc3-s3.blu0.hotmail.com [65.55.116.78]) by mx.kundenserver.de (node=mxbap4) with ESMTP (Nemesis) id 0LgWtJ-1Rt3C43WLt-00o2iX for .......; Tue, 01 May 2012 04:07:34 +0200 Received: from BLU153-DS15 ([65.55.116.73]) by blu0-omc3-s3.blu0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4675); Mon, 30 Apr 2012 19:07:32 -0700 X-Originating-IP: [111.250.105.75] X-Originating-Email: [rachyllooseyvw5@hotmail.com] Message-ID: <BLU153-ds1509E8603EFE2FF6FDFD23F5290@phx.gbl> Return-Path: rachyllooseyvw5@hotmail.com From: Kathryn Winebrenner <rachyllooseyvw5@hotmail.com> To: <.....@t-online.de> Subject: Lastschrift Nr174869 Date: Tue, 1 May 2012 06:07:01 +0400 MIME-Version: 1.0 Content-Type: multipart/related; type="multipart/alternative"; boundary="----=_NextPart_000_000B_9D16BFE7.5311D1D2" X-Priority: 3 X-MSMail-Priority: Normal Importance: Normal X-Mailer: Microsoft Windows Live Mail 14.0.8064.206 X-MimeOLE: Produced By Microsoft MimeOLE V14.0.8064.206 X-OriginalArrivalTime: 01 May 2012 02:07:32.0965 (UTC) FILETIME=[2B7D0950:01CD273F] X-UI-Loop: V01:+SX4nqdbepI=:9blwqzglraZFytvM4Nwj79ZWyoTQXx9wDfjS+FfU+Jr9 NBqTWQjxiTdz2nbgDhrq Envelope-To: ....... X-Antispam: clean, score=64 X-Antivirus: avast! (VPS 120430-1, 30.04.2012), Inbound message X-Antivirus-Status: Clean by |
hi, wenn du die mail über ein mail programm erhalten hast. öffne diese, datei speichern unter, dort als datei typ zb .eml wählen. mail an: http://markusg.trojaner-board.de senden, und die so eben gespeicherte datei anhängen. wenn du über ein web mailer gehst, bzw dessen internet seite, sag mir mal welchen bitte. |
Liste der Anhänge anzeigen (Anzahl: 1) avira ransom unlocker update. hier gibt es kleinere bugfixes sobald sich ein admin bzw moderator dessen annimmt, wird die version in post1 durch diese ausgetauscht. |
Moin moin, 3. Befolge folgende Anweisungen: an alle Hilfesuchenden um den Rechner vollständig zu bereinigen. Das ist wichtig, denn der Rechner ist noch nicht sauber! Hier wird empfohlen einen Scanner (Gmer) laufen zu lassen... dieser sollte aber nur bei dem 32bit System angewendet werden. Ich habe aber 64bit. was jetzt? Danke schon mal Und einen schönen ersten Mai... in HH Kaiserwetter :-) Gruß dubsch |
dann lässt du den schritt aus. und dir auch nen schönen feiertag. |
Interessante Konstellation bei mir: Wir haben drei Terminalserver und einen Fileserver mit Fileshares. Zwei der Mitarbeiter haben anscheinend gleichzeitig so´nen Rechnung.exe Schrott bekommen und geöffnet. Terminalserver 1 und 3 wurden dabei infiziert durch jeweils eine Mitarbeiterin. Die FileShares auf dem Filer ebenfalls. Jetzt meine Frage: Ich hab wahrscheinlich ein Misch-Masch an verschlüsselten Dateien. Einmal durch Benutzer 1, außerdem durch Benutzer2. Wie stelle ich fest, bei welcher Datei welcher Schüssel der richtige ist? Nachdem es zwei unterschiedliche Maschinen waren, dürfte der Schlüssel auch ein Anderer sein? |
ja, vor allem da du mit 2 verschiedenen samples verschlüsselt hast. der vollständigkeit halber, kommst du an die mail rann? so was kann evtl. für weitere analysen wichtig sein. sind meistens rechnung, manung, security update, oder lieferschein.zip. auf jeden fall mails von unbeaknnten absendern mit zip oder rar archiv. wenn du ein mail programm nutzt, öffne diese mail mal, datei speichern unter, und bei typ zb .eml einstellen. dann mail an: http://markusg.trojaner-board.de dort die soeben erstellte datei anhängen. wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders. wie siehts denn aus mit backups, gibts da welche haben die beiden mitarbeiter das zur selben stunde geöffnet oder am selben tag. und, haben sie die selben dateien verschlüsselt oder einer auf server 1 und der andere auf server 3? |
@mtx430 update: für dein problem haben wir bisher leider keine lösung, das einzig plausible ist wirklich, dass die verschlüsselung zwischendurch unterbrochen wurde, und deswegen evtl. ein zweiter schlüssel erstellt wurde |
Liste der Anhänge anzeigen (Anzahl: 1) Hallo zusammen, ich komme leider nicht weiter hier. sobald ich die verschlüsselte Datei und die Originale im Program lade, erscheint folgende Meldung: siehe Anhang... Könnt ihr mir bitte weiterhelfen ?:confused: Danke ! |
kannst du mir die meldung mal als klartext posten bitte? |
Die Fehlermeldung meinst du ? : Bitte wählen Sie ein anderes Locked/Original-Paar aus. Das gegebene Paar passt nicht zusammen |
danke haben denn beide genau die selbe größe, bzw ists denn überhaupt das selbe paar. also zb locked.urlaubsfoto1 und urlaubsfoto1 ? |
Ich habe mir die vista beispielbilder auf dem board geholt und möchte mit diesen den schlüssel "kreieren" Die locked datei heisst : locked-Creek.jpg.ifrp die original Datei heisst: Creek die dateien sind exakt gleich groß |
noch irgend ne andere datei zur verfügung, aus der man ein pärchen machen kann? |
Ok, scheinbar ging es nicht mit den Originalen Dateien von windows. Ich musste eine Datei von meinem Handy die ich noch hatte auf den Pc spielen... und siehe da, es klappt !!! Hoffe ich kann nun alles entschlüsseln. Danke Dir für die wertvollen Tipps, weiter so !!! Gruß |
merkwürdig, aber hauptsache, es klappt. bitte meinen hinweis zu den mails lesen und beachten, danke. und, ne rückmeldung obs geklappt hatt, wenn möglich. |
hi, heute werden einige hersteller spezielle updates für diese malware raus bringen, also, guckt noch mal in eure postfächer, bitte, und sendet mir an mails zu, was passend zu diesem thema ist :-) wenn ihr ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ: .eml einstellen. dann mail an: http://markusg.trojaner-board.de dort die soeben erstellte datei anhängen. wenn ihr eure mails über den browser abruft, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders. |
wichtiger hinweis: bitte lesen hallo, es ist, leider, so weit. es gibt jetzt variannten, bei denen die entschlüsselung anhand von paaren nicht mehr funktionieren wird. wichtiger hinweis: entschlüsselt nur anhand von backups und meldet euch bei problemen. an einer lösung wird gearbeitet. |
Hallo zusammen, gestern hat meine Freundin ebenfalls so eine Mail erhalten mit dem Absender "Schlecker". Sie hat den Anhang geöffnet und alles ist so passiert wie hier auch schon beschrieben. Nur werden von sogar 100 Euro gefordert zur Enschlüsselung etc... Bringt es was wenn ich die Mail auch noch weiter leite? VG Tobias |
klar, alle solche mails, immer her damit. für die bereinigung des pcs, neues thema eröffnen. |
hallo zusammen, habe mich gerade hier durch gelesen. so wie es aussieht habe ich am wochenende eine menge arbeit vor mir. hatte mich gestern mit so einem trojaner infiziert. viele dateien sind locked. was mich wundert, sogar auf meinen laufwerk d. das heißt, ich habe meine festplatte gesplittet. wenn ich etwas hatte dann immer auf c, jetzt sind viele wichtige dateien betroffen, von denen ich keine originale habe. da ich betreuerin bin, habe ich meinen ganzen schriftverkehr auf d gespeichert. mit anderen worten, es sind KEINE originale da. ich könnte heulen. |
hi, kannst du denn wieder aufs system zugreifen? falls nicht, mach erst mal im logfile bereich nen neues thema auf und dann bereinigen wir den pc erst mal. |
Hallo Markusg, ich habe dir eben eine Email mit "meiner" Variante des Verschlüsselungstrojaners geschickt. Laut Avira Gypikon B.3. Leider funktioniert keins der Decryptor-Tools bisher. Das System ist aber erst mal gesäubert und funktioniert. Nur sind wohl wichtige Daten des Kunden/Bekannten weg bzw verschlüsselt. |
hi, da können wir erst mal nur abwarten. im moment gibts keine entschlüsselungsmethode für die neue variannte. fleißig mails an mich senden, damit wir immer die neuesten dateien erhalten und die antimalware hersteller informieren können und ein paar spam adressen still legen können, mehr geht erst mal nicht. ps. außer familie freunde etc warnen natürlich. |
hi, ich komme auf mein system. |
hi, kannst du die mail wie beschrieben weiterleiten, damit ich sehe, welche variannte du hast? wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ: .eml einstellen. dann mail an: http://markusg.trojaner-board.de dort die soeben erstellte datei anhängen. wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders. |
Zitat:
|
sternchen hatte die mail gelöscht? irgendwie sehe ich das nicht in ihrem beiträgen :-) übersehe ich was? |
sorry mein fehler war sophia in einem anderen thread ich glaub ich dreh schon durch ;) |
Hallo, ich hab gestern auch so eine Mail bekommen. Laut Avira heisst der Bösewicht "TR/Crypt.Gypikon.B.3" . ich schick mal eine "eml" |
ganz ruhig. brauchte heute auch nerven aus eisen bei mir auf arbeit. |
|
leider kein erfolg. eine gute nachricht: Mailwarebytes zeigt nix mehr an. |
ok, dann musst du ebenfalls warten, ob es noch mal nen update der tools geben wird, entschlüsseln is momentan nicht möglich. |
noch eine frage. das programm erkennt den trojaner nicht, aber wie bekomme ich den rechner richtig sauber? |
eröffne dazu mal ein neues thema. |
okay erledigt. :-) |
hi, das ist aber der avira ransom unlocker thread, frag bitte im richtigen thema, damit wir das besser zuordnen können. |
moin moin, der AVIRA Ransom File Unlocker hat meines Erachtens ein Manko. Wer diese Tool mit einem neuen Dateipaar benutzt wird feststellen, dass der AVIRA, die mit einem vorher benutzten Schlüsselpaar generierten Files nicht überschreibt, er rennt drüber weg. Kein Wunder wenn es so aussieht, dass auch das neue Schlüsselpaar nicht funktioniert. Scareuncrypt oder der Kaspersky überschreiben alte, angeblich entschlüsselte Dateien. LG, Volker |
habs weitergeleitet, danke. bitte auch den hinweis zu den mails lesen, die benötigen wir zur analyse |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:39 Uhr. |
Copyright ©2000-2025, Trojaner-Board