Erpresservirus, Help_Restore_Files.txt - RSA-2048 key - torproject.org,
 

...dieser Text kam beim Neustart und eine entsprechende Datei (Help_Restore_Files.txt) ist in jedem Unterverzeichnis abgelegt. Beim Öffnen kann man u. a. lesen, dass alle Dateien mit dem RSA 2048 key verschlüsselt sind. Tatsächlich haben die Dateien zusätzlich zu den Extension .doc; .xls; usw . die Extension .ecc! und lassen sich natürlich nicht öffnen.
Ich schreibe hier vom neuen Rechner den ich nun endlich konfigurieren muss, leider fehlen mir nun die Daten von meinem alten Rechner der noch mit Windows XP lief.
Folgendes habe ich bisher am XP Rechner unternommen. Um den Prozeß erstmal zu stoppen habe ich einen früheren Wiederherstellungspunkt installiert. Ca. 80% meiner Dateien sind verschlüsselt. Scheint erstmal zu funktioniert zu haben Prozess ist gestoppt - Problem der Verschlüsslung und des Infektes sind aber nicht beseitigt.
Hat jemand eine "Kochrezept" für die Beseitigung des Virus/Trojaners und die Wiederherstellung der Dateien? Ich habe da etwas von eine Boot CD von Kasperski im abgesicherten Modus gelesen, die gleichzeitig die schädlichen Einträge beseitigt.
Freue mich über jeden nützlichen Hinweis.
Danke matuf

Hi,

Das ist tesla-crypt. Nicht zu entschlüsseln.

Hallo, keine gute Nachricht. Kaspersky biete Konvertierungstools, siehe Link Tools, weiß nur nicht welcher funkt!?
Grüße aus der Hauptstadt. ;-)

Link zu dem Tool von Kaspersky?

hxxp://support.kaspersky.com/de/viruses/utility#cleanautorun
Hallo Schrauber,
sorry Link nun dabei!
Matuf

Das ist kein Decrypter. Kaspersky hat einen für VaultCrypt gebaut, aber nicht für Tesla. Da gibt es keine Chance was zu entschlüsseln.

Danke für die kompetenten, wenn auch für mich im Ergebnis frustrierenden, Infos.
Da macht es wahrscheinlich auch keinen Sinn in Berlin nach einen "Feinmechaniker" zu suchen der das gegen Entgeld wieder hinbekommt!
Naja, nach 20 Jahren Internet und letztes Backup von 2010 war ich halt auch mal dran!!!
Grüße in die Bayrische Metropole.
Matuf

Nee, leider. Wenn die Experten bei BC, die nix andres wie Entschlüsseln machen, das nicht hin bekommen, geht es nicht. Der private key muss nur auf einem C&C Server liegen, der jetzt down ist, dann hat man nie wieder eine Chance.

Hallo Schrauber, ich habe in einem Verzeichnis beim durchforsten von noch nicht verschlüsselten Dateien eine Datei gefunden mit dem Namen: recovery_key.txt, der Inhalt dieser Datei ist eine Kombination aus Zahlen und Buchstaben. Könnte das evt. Der Schlüssel zum Entschlüsseln sein?
Gruß Matuf

bitte mal anhängen.

Anhang 73922

Hier der Anhang: Recovery_Key_txt.
Gruß matuf

ich schau mir das mal an.

http://labs.snort.org/files/TeslaDecrypt_exe.zip

Bitte mal dieses Tool versuchen.

Hallo Schrauber,
dank dem cisco tool und deiner Info konnte ich alle Dateien recovern.
Danke nochmal für deine Hilfe.
Muss mich jetzt an meinen neuen PC machen, habe da beim Dateien Transport wohl etwas übertragen sodass Windows 8.1 nun keine Updates mehr macht. Hat wohl ein Systemfile, so zumindest die avira Fehlermeldung umgeschrieben.
Der Ärger hört nicht auf.
Grüße
matuf

Poste mal FRST Logs von dem Rechner :)