Trojaner-Board - Trojan.Ransomcrypt.F in c:\users\XXX\appdata\roaming\{112c4a02-1112-2f13-0e22-00181b0b15df}.exe: Wiederherstellung verschlüsselter Dateien

Hallo zusammen,

leider hatte ich das Pech, dass einer unserer Rechner im Netzwerk (Wichtiger Hinweis: Wir sind gewerblicher Nutzer!) mit dem Trojan.Ransomcrypt.F - Trojaner befallen wurde.

Der entsprechende Rechner ist in der Zwischenzeit vom Netz+ausgeschaltet. Internet Security hat auf diesem Rechner den Trojaner vermeintlich entfernt und gemeldet:

Code:

Kategorie:Quarantäne

Datum/Uhrzeit,Risiko,Aktivität,Status,Empfohlene Aktion,Pfad - Dateiname

18.09.2013 10:09,Hoch,{112c4a02-1112-2f13-0e22-00181b0b15df}.exe (Trojan.Ransomcrypt.F) erkannt von Virenscanner und Auto-Protect,Isoliert,Behoben - Keine Aktion erforderlich,c:\users\XXX\appdata\roaming\{112c4a02-1112-2f13-0e22-00181b0b15df}.exe

18.09.2013 08:25,Hoch,pgengh.exe (Trojan.Gen) erkannt von Auto-Protect,Isoliert,Behoben - Keine Aktion erforderlich,c:\users\XXX\appdata\local\temp\pgengh.exe

18.09.2013 08:01,Hoch,tp3[1].exe (Suspicious.Cloud) erkannt von Auto-Protect,Isoliert,Behoben - Keine Aktion erforderlich,c:\users\XXX\appdata\local\microsoft\windows\temporary internet files\content.ie5\q0tgxi9u\tp3[1].exe

18.09.2013 08:01,Hoch,pebqoxxetxuz.exe (pebqoxxetxuz.exe) erkannt von SONAR,Isoliert,Behoben - Keine Aktion erforderlich,c:\users\XXX\pebqoxxetxuz.exe

18.09.2013 07:55,Hoch,waibfa.exe (Suspicious.Cloud) erkannt von Auto-Protect,Isoliert,Behoben - Keine Aktion erforderlich,c:\users\XXX\appdata\roaming\juyq\waibfa.exe

Infiziert wurde der Rechner durch eine E-Mail mit dem Betreff "citizensbank.com "Issue File I3774 Processed" spam" mit einem verseuchten-Attachement. Eine EML-Datei kann ich gerne zur Verfügung stellen, wenn das andere vor dem gleichen Problem bewahrt...

Die "Zahlmaske" wurde, wahrscheinlich da der Trojaner vor Beendigung eliminiert wurde, gar nicht eingeblendet.

Leider hat der Trojaner trotzdem volle Arbeit geleistet und bereits eine großzahl Dateien auf einer eingebundenen Netzwerkfreigabe verschlüsseln können, bevor Internet Security ihn erkannt und "das Risiko behoben" hat. Leider existiert für diese Dateien kein Backup mehr bzw. nur eine teilweise Kopie der Dateien. Auch Volumenschattenkopien sind auf dem entsprechenden Laufwerk nicht vorhanden und scheiden daher als Wiederherstellungssquelle aus.

Ich habe nun hier im Forum recherchiert (ich hoffe, dass ich nichts übersehen habe), funktionsfähige sowie verschlüsselte Dateien auf einen anderen Datenträger+Rechner kopiert. Anschließend habe ich an Kopien der Dateien die Liste der Tools (lt. Forum) ausprobiert, welche dazu dienen sollen, mit Hilfe von existierenden unverschlüsselten sowie den verschlüsselten Dateien einen Schlüssel zu extrahieren. Wichtig dabei: Die Dateien haben keine unterschiedliche Endung. D.h. es wurde kein ._CRYPTED o.ä. angefügt. Der Dateiname zwischen unverschlüsselt und verschlüsselt ist somit identisch.

Allerdings beschweren sich die Tools über eine unterschiedliche Dateigröße zwischen intakter/lesbarer und nicht verschlüsselter Datei. Bei ein paar Dateien scheint das der Fall zu sein, allerdings nicht bei allen (wenn ich der Anzeige im Filesystem glauben schenken kann). Auch scheinen sich die Tools auf andere "Versionen" (ältere?) des Trojaners zu beziehen. Ein Bedienfehler kann aber nicht ausgeschlossen werden.

Wenn ich die Symantec-Quellen zu dem Trojaner lese:
Trojan.Ransomcrypt.F Removal - Removing Help | Symantec dann sieht es so aus, als handele es sich um eine neue Version des Trojaners...?

Jetzt die Frage an das Forum: Hat jemand schon Erfahrung mit diesem Sammeln können und ggf. noch ein paar Tipps, welche Wege ich zur Wiederherstellung bzw. Entschlüsselung der Dateien gehen könnte?

Besten Dank bereits im Voraus für Eure Antworten!

Schöne Grüße
Lars