Viren, Spyware, Datenschutz 11.230 Themen, 94.476 Beiträge

Verfolgung starten Optionen

SOS - Trojaner - alle Dateien verschlüsselt

jueki / 61 Antworten / Flachansicht Nickles

Eine Bekannte kam ganz aufgelöst bei mir an -
Sie erhielt eine Mail mit einer Rechnung für eine Webspace. Da sie sich tatsächlich kürzlich für so etwas interessierte und auf mehreren Internetseiten nachschaute, staunte sie zwar, wurde aber nicht mißtrauisch.
Kurz - sie öffnete die Rechung - und kann nichts mehr auf dem PC machen.
Alle Dateien haben vorn ein "locket" stehen und am Ende eine vierstellige Endung. "rwnf", "pnie" usw.
Ich hab mal mit einer paldo- CD gebootet und mir das angeschaut.
Bevor ich da weiter arbeite - was ratet ihr?
Ich installiere sowieso alles neu bei einem solchen Befall - aber die Dateien, ihre Bilder, sind die noch zu retten?

Jürgen

- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen
Gibt s denn keine Sicherungen, Images oder dergleichen?... gelöscht_238890
Eine beliebte Falle.Alt, aber immer noch wirksam. gelöscht_305164
Es war eine eMail mit Dateianhang. Schimpfen nützt nichts... jueki
Hast Du mal probeweise einer der umbenannten Dateien einen... gelöscht_305164
Ja, funktioniert bisher, siehe über Dir.Aber eben... jueki
Die verwanzten Bilder Daten vorerst auf einem externen... gelöscht_305164
Aber würdest Du diesen Dateien trauen? Wer sagt dir dass die... gelöscht_238890
Bei mir liegt die neue Desinfec t aus der c t 09 12.Nagelneu,... gelöscht_305164
http: www.nickles.de forum viren-spyware-datenschutz 2012... Alpha13
So, der PC läuft erst mal wieder.Ich speichere mir, wie... jueki
Ein großer Teil der Bilder läßt sich nicht öffnen, ebenso... jueki
Die sind verschlüsselt und hinüber.Siehe auch hier:http:... IRON67
Nicht zwangsläufig - die ersten Firmen bieten schon... ABatC
Eigentlich schade, denn derartige Schäden sind so herrlich... IRON67
13; 13; 13; Aus diesem Grund ist mir dies mittlerweile egal,... Conqueror
Der Schieb in einer Fernsehsendung wollte neulich mal wieder... Xdata
Noch einmal - herzlichen Dank für die Kommentare.Ich habe... jueki
Es kann einen schon Bange machen was allein ein Browser mit... Xdata
Wer als Dummie glaubt, Administrator sein zu müssen, und... Conqueror
Sehe ich anders. Fremdüberweisungen sind teuflischer, aber... IRON67
Eine recht harte Art zu lernen mit Sicherheit nicht... Xdata
Noch was zum Entschlüsseln für dich: http:... IRON67
Herzlichen Dank, Iron - ich bin gerade unterwegs. Wenn ich... jueki
Es soooo einfach einen zerrödelten Rechner wieder... Waldschrat_70
Herzlichen Glühstrumpf... Wenn du jetzt noch den ultimativen... ABatC
Die von Dir, Waldschrat, beschriebene Sicherung ist nichts... jueki
Wieso sollte ein Raid schützen? Ein Raid kann lediglich vor... ABatC
Das vermutete ich auch - da ich aber selbst noch niemalsnich... jueki
Damit musste ja einer kommen. gelöscht_238890
Wieso??? Das Dingens ist nur am Rechner, wenn Sicherungen... Waldschrat_70
Backups auf externen Festplatten nützen Dir auch nichts, da... Conqueror
Am besten hat man mehrere Sicherungsplatten, von denen immer... Borlander
Hallo Conqueror, warum soll der normale Nutzer nicht... Kabelschrat
Ich habe am 27.04.2012, 20:34 Uhr großmäulig behauptet, mir... jueki
Sorry jueki, aber ich lange das Teil nicht an, obwohl ich den... Conqueror
Danke - ich hab den Trojaner inzwischen - siehe mein Posting... jueki
In einem anderen Thread hat joerg69 einen Link gesetzt, der... gelöscht_305164
gelöscht_231617 gelöscht_305164 „In einem anderen Thread hat joerg69 einen Link gesetzt, der...“
Optionen

Moim,

ist zwar schon etwas spät für die Antwort, aber vielleicht noch nicht zu spät ;-)

Es gibt hier ein Tool, das wirklich funktioniert.
Habe es bereits für einen Kunden ausprobiert mit Erfolg.

http://www.trojaner-board.de/114115-wiederherstellung-verschluesselten-dateien-rechnung-exe-realtecdriver-exe-schadsoftware-7.html#post820437

Hier die Datei http://matthi.org/DecryptHelper-0.5.3.exe runterladen.

Wichtig ist, das wenigstens eine originale unverschlüsselte Datei noch vorhanden ist, zum Beispiel von einer alten externen Sicherung.
Eine einzige langt.
Bei meinem Kunden gab es nicht mal die, er hatte aber einen Treiberordner auf dem Laptop und so habe ich den entsprechenden Treiber beim Hersteller runtergeladen.
Nun hatte ich ein unverschlüsseltes Pendant zur verschlüsselten Datei :-).

Dann hat man Alles was man braucht.
Verschlüsselte Datei sowie ein unverschlüsseltes Original.

Der DecryptHelper fordert nach dem Start des Programmes beides an und legt einen Schlüssel fest.
Sobald dieser Schlüssel vorliegt, kann man Ordner für Ordner wieder entschlüsseln.
Am Ende bleibt dann noch das Löschen der verschlüsselten Datein die alle mit "locked.." beginnen.

Das Beste an dem Tool ist, das man Ordnerweise entschlüsseln kann und nicht jede Datei einzeln verhackstücken muss.
Selbst Unterverzeichnisse (Ordner im Ordner) werden  bearbeitet.

Trotzdem ist dieser Trojaner schon ne echt fiese Angelegenheit.

Das umbennen der Daten war übrigens mein erster Versuch und hat nicht wirklich etwas gebracht.
Zwar hatten die Daten wieder die richtigen Icons, ließen sich aber nicht öffnen.

Ich hoffe, ich konnte noch jemandem helfen....

bei Antwort benachrichtigen
Dieses Tool soll wirklich schon mehrfach verschlüsselte... jueki
Ich hatte bis jetzt zwei Kunden, die den... gelöscht_231617
Tja wie immer kann aber muss nicht, denn eine direkte Antwort... Conqueror
Die Infektion läuft gemäß meiner Beobachtungen derzeit... gelöscht_305164
Von was sollen die die Firmen die Freemailkontos für lau... Conqueror
In diesem Fall währen meine Klarnamenkonten bei gmx.de +... gelöscht_305164
Hast Du dort eventuell schon die Spamfilter aktiviert ? Conqueror
Moin, mich würde interessieren, was Du damit vorhast? Willst... Maybe
Mich interessiert(e) ausschließlich, ob die... jueki
Das haben schon Firmen wie Avira und Co verneint, und sorry... Conqueror
Fürs Alter vorsorgen? gelöscht_305164
Das Tool funktioniert nicht überall da die Trojaner immer... Conqueror
Hier noch eine Abhandlung zum Lösegeld- Trojaner von... jueki
Ist ja alles gut und schön, was man in der Registry ändern... IRON67
Ich habe es auch nicht so verstanden, das damit ein sauberes... jueki
Aber etwas wirklich Neues hat sie da nicht erzählt. Das war... IRON67
Ja. Das hätte sie tatsächlich deutlich sagen bzw. schreiben... jueki
Jo...TB ist auf den Hund gekommen. Aber besuch mal... IRON67
Das Umbenennen der Dateien hilft nicht, der Trojaner hat die... Oliver321
Dein Ergebnis kann ich bestätigen. Ich habe eine Festplatte... jueki
Kleines (negatives) Update für die Optimisten Die neuesten... IRON67
.... Das klingt richtig gruselig. In meinem Postfach waren... winnigorny1
Ich rate schon seit lägerer Zeit meiner Falilie und... Conqueror