BKA Trojaner / Entschlüsselung privater Dateien bisher erfolglos
 

Hallo,

lieder hat meine Frau eine dubiose Email geöffnet (gefakt von Flirt Fever mit einer Mahung) woraufin sich der BKA Trojaner auf meinem Rechner ausgebreitet hat bzw. sämtliche private Dateien verschlüsselt hat. Angeblich hat sie dabei den Anhang der Mail nicht geöffnet. In der Windows-Download-Liste war die Datei allerdings aufgeführt.

Dank Eurer Beiträge konnte ich die Sperre umgehen und auch den Trojaner los werden. Auch ein Scan vom ESET-Online Scanner zeigt keinen Befall mehr an.

Leider habe ich nicht von allen privaten Daten Backups und muss hier unbedingt zu einer Wiederherstellung kommen. Die von Euch angeprisenen Entschlüsselungsprogramme (hab alle versucht) konnten keinen Schlüssel erkennen. Im Gegensatz zu anderen Betroffenen kann ich auch nicht erkennen, dass die Dateien zwangsläufig verschlüsselt sind. Andere beschrieben, dass bei den Dateien auch ein Vermerk "locked" zu erkennen ist. Das ist bei mir - glaube ich zumindest - nicht der Fall. Die Files heißen nun z.B. tyEGfUqdxtLsjEo ohne z.B. .jpg und haben immer noch die gleiche Größe wie zuvor.

Die Email hat meine Frau noch, die kann ich Euch gern weiterleiten. Ich habe auch Dateien vor und nach der Verschlüsselung mit denen ich die Entschlüsselung bereits versucht habe.

Vielen Dank für Eure Hilfe vorab.

Anbei das Log von Malwarebytes:

Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.08.02

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Jan :: JAN-PC [Administrator]

Schutz: Aktiviert

08.06.2012 12:29:23
mbam-log-2012-06-08 (12-29-23).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 421019
Laufzeit: 52 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|30DABD87 (Backdoor.Bot.LameNova) -> Daten: C:\Users\Jan\AppData\Roaming\Wbibslf\F9FD24B730DABD871487.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools (PUM.Hijack.Regedit) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 5
C:\Users\Jan\AppData\Roaming\Wbibslf\F9FD24B730DABD871487.exe (Backdoor.Bot.LameNova) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\$Recycle.Bin\S-1-5-21-3550453765-2568194808-2432561980-1000\$R05CE9X.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\install\Windows XP KeyGen\XPKey.exe (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Jan\AppData\Local\Temp\aszbnxlpfc.pre (Backdoor.Bot.LameNova) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Jan\Downloads\DecryptHelper-0.5.3.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

anbei eine Datei im Original

sowie die verschlüsselte Variante

Hallo und Herzlich Willkommen! :)

Die einzige Chance deine Daten wiederherzustellen:
(Während der Aktion den Rechner vom Internet und Netzwerk trennen!)
-> Daten wiederherstellen mit ShadowExplorer
kann ich Dir nur viel Glück wünschen :)
auf jeden Fall melde dich und berichte ob es Dir gelingen ist die Daten wieder herzustellen?

gruß
kira

Hallo Kira,

vielen Dank für Deine Hilfe, der Shadow Explorer funktioniert wunderbar und ist sogar kinderleicht zu bedienen. Gestern konnte ich bereits einen Großteil meiner Daten wieder herstellen. Ich gehe mal davon aus, dass es bei den restlichen Daten ebenfalls so gut funktioniert.

VG

Jan

auf jeden Fall wenn Du alles erledigt bzw die Daten entschlüsselt hast:

1.
damit das nochmal nicht passiert, wie vermeide ich Datenverlust:
► Da sieht man wieder einmal wie wichtig ist, um die regelmäßige Sicherung (wichtigen Daten) zu kümmern
Denk daran: dein Hauptsystem ist doch kein Lagerhalle!
Wichtige Daten Regelmäßig sichern, am besten 2x an verschiedenen Orten!
- Externe Geräte (Festplatte USB-Stick etc) nicht ständig am PC anschließen, sondern nur kurzfristig während Du etwas sichern möchtest
E-Mail-Anhang - Öffne keine E-Mail-Anhänge (Attachments), wenn du den Absender nicht kennst!
-> Links und Anhang nicht anklicken,, Mails als Text oder in Druckversion anzeigen lassen. Mailprogramm grundsätzlich so einstellen

- Vorsicht mit den schon vorhandenen Dateien auf die extern gespeicherten Daten und auch jetzt mit dem Virus infizierte Dateien eine Datensicherung anzufertigen
- Am besten alles was dir sehr wichtig, separat (extern) sichern - nicht mischen eventuell früher geschicherten Daten, also vor dem Befall!
- Eventuell gecrackte Software nicht sichern und dann auf neu aufgesetztem System wieder drauf installieren!

2.
- Vor zurückspielen - bevor du mit deinem PC direkt ins Netz gehst...:
- die Autoplay-Funktion für alle Laufwerke deaktivieren/ausschalten -> Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten

Die auf eine externe Festplatte gesicherten Daten, gründlich zu scannen von einem suaberen System aus, am besten mit mehreren Scannern-> Kostenlose Online Scanner - Anleitung
Absolut empfehlenswerter Scanner:
3.
-> Anleitung: Neuaufsetzen des Systems + Absicherung
-> Anleitung zum Neuaufsetzen - Windows XP, Vista und Win7

4.
Ich würde Dir vorsichtshalber raten, dein Passwort zu ändern
z.B. Login-, Mail- oder Website-Passwörter
Tipps:
Die sichere Passwort-Wahl - (sollte man eigentlich regelmäßigen Abständen ca. alle 3-5 Monate ändern)
auch noch hier unter: Sicheres Kennwort (Password)