Trojaner-Board - help file decrypt Daten verschlüsselt

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - help file decrypt Daten verschlüsselt (https://www.trojaner-board.de/169674-help-file-decrypt-daten-verschluesselt.html)

help file decrypt Daten verschlüsselt

Guten Tag,
habe seit vorgestern Nachmittag eine Malware auf meinem Computer. Wollte eine PDF Datei öffnen, die ich per Email erhalten habe. Weder mein Antivirus-Programm "Avast" noch Malwarebytes oder der online Virenscanner virustotal hat die Datei als schädlich erkannt (Patrick Unger.scr).

Meine ganzen Dokumente, Bilder und Videos sind nun weg. In jedem Ordner wo zB Bilder drin waren, ist nur noch eine Datei mit dem Namen: "help-file-decrypt.enc". Leider weiß ich nicht, um was es für eine Malware sich handelt. Es wird mir kein "Erpressungs-Fenster" angezeigt, da ich wahrscheinlich die Malware zu früh übern Taskmanager beendet habe bzw aus dem Autostart deaktiviert habe (es sind daher etwa 5% meiner Daten unbeschädigt).

Manche Videos, die noch abspielbar sind, haben folgenden Dateiendung: VID_20140618_210940.decryptedKLR

Festplatte wurde ausgebaut und an einem anderen PC angeschlossen. Es wurde ein schädliches Programm von Kaspersky gefunden (103BC111_stp.EXE).
Malwarebytes hat auch eine Bedrohung gefunden: "PUP.Optional.OpenCandy" ($R01CZQM.exe).
Ist es irgendwie möglich die ganzen Dokumente wiederherzustellen? Diese "help-file-decrypt.enc" Datei ist nur 1KB groß. Festplatte ist insgesamt leerer geworden.

help-file-decrypt.enc:

contact safefiles32@mail.rur

\ winconfØ&Õ¸U“™§ƒŽ&ñÿyµæžÒá§pk÷j0ÿfÓý%§¢£OÈ2·à»ÆTëfüóôÙ™«+ð[oHß.úY%TÈ½9Ï™AŠ“ìŸÉ]T¾bñ5{X*·v†¥h*-OïîcÙp»5òpñ’Wš#z¿"ò@t¿pu{¶#9¤1šÏu~*y}9~ÿ˜“OOï‰‘°pr¤”*ÌvEª•“˜+à76¹šž†Fµn÷|H®ræ¥°¦¤+G·À#ªë’*¤¬: =bÇDÌ°³Z'øüâ„¢bî£ƒúU_ê¢¿}‘êÏä©}h`ÞÛ4éñPl–)Ö¼añåJm¹P$n ¿_özO¡\Î©žúh˜h³Ø|@vÌYõŸÃa€‚xùÊ.ñó¬Þ%E",
í“þNë‚ÇžtêJ¬VT{»V#X…TŒ¥“—üó¡*¼Ë-IDH~Æb,×NÆ¦tj^•k¨¹Yãµº´ù³yIK©Zj síh€wG.SFoQ§ÔæâØmþMŽS°çrOÇGD6óÈGãl?©i=ŽÑnóRõ_lxæ
Ñ+0›€KHøLÞa¤zlÆ´$/P°)ä28,¦þ«#€¨*Ð
>C¿+
Þûs¦‡‡Ì-Q

hi,

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop:

FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

Starte jetzt FRST.
Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Leider kann ich von der infizierten Festplatte nicht mehr booten, um dieses Tool auszuführen. Nach dem "Willkomen" (Windows 10 64-bit) wird der Bildschirm schwarz. Die Taskleiste wird kurzzeitig immer angezeigt (flimmert). Wahrscheinlich ist schon mehr kaputt als gedacht.

Habe durch Eingabeaufforderung das Tool ausgeführt.

die enc-Datei bitte zippen und anhängen. Ebenso nochmals bei Virustotal scannen und Link zu VT hier posten.

Welche Dateiendung haben die Dateien? Haben alle verschlüsselten Dateien die Endung decryptedKLR??

Die help-file-decrypt.enc ist Virenfrei.https://www.virustotal.com/de/file/b3bce742ad5e787d01d3f2ae8a45cfa932f7571804e51452ea5962368ae5d2ab/analysis/1439485319/

Ein paar Daten sind noch da. Die sehen so aus:
VID_20140413_005138.decryptedKLR.mp4
VID_20131222_154914.mp4
VID_20131222_154914.decryptedKLR.mp4

Ansonsten nur diese Datei:
help-file-decrypt.enc ->tritt im jedem Order nur einmal auf!

Jop, wie in der PM schon geschrieben, das ist HowDecrypt. Eigentlich merkwürdig, da diese Ransomware schon richtig alt ist, aber naja. Zu Entschlüsseln ist sie leider nicht.

Habe mit einer Fake Adresse an "safefiles32@mail.ru" geschieben.

Folgendes habe ich erhalten:
1) Send us please one file "help-file-decrypt.enc" (it is located on your computer)
2) Pay 1 bitcoin ~ 250 usd address "1A8bz8x5KnwG3U8ajoCEgoYHvdLmf5jB6J" (bitcoin can buy bitcoin.de )
3) After payment we will send to your e-mail decryptor

Glauben Sie, dass diese Verbrecher meine Daten wiederherstellen können?
Meine Festplatte wurde leerer. Ist es möglich, diese Daten so zu verstecken, dass diese Daten nicht auffindbar sind und somit auch Windows den "belegten Speicher" heruntersetzt?

Zitat:

Glauben Sie, dass diese Verbrecher meine Daten wiederherstellen können?

Können? Ich denke schon. DIe Frage ist ob sie es auch machen. Bezahlen ist immer der letzte Ausweg, in den wenigsten Fällen sind die Daten nach dem Bezahlen wieder da.

Was würden Sie noch vorher versuchen?

Wenn kein Backup da ist und keine Schattenkopien, bleibt nur auf die Daten zu verzichten oder auf eigene GEfahr hin zu bezahlen.