Eine Bekannte kam ganz aufgelöst bei mir an -
Sie erhielt eine Mail mit einer Rechnung für eine Webspace. Da sie sich tatsächlich kürzlich für so etwas interessierte und auf mehreren Internetseiten nachschaute, staunte sie zwar, wurde aber nicht mißtrauisch.
Kurz - sie öffnete die Rechung - und kann nichts mehr auf dem PC machen.
Alle Dateien haben vorn ein "locket" stehen und am Ende eine vierstellige Endung. "rwnf", "pnie" usw.
Ich hab mal mit einer paldo- CD gebootet und mir das angeschaut.
Bevor ich da weiter arbeite - was ratet ihr?
Ich installiere sowieso alles neu bei einem solchen Befall - aber die Dateien, ihre Bilder, sind die noch zu retten?
Jürgen
Viren, Spyware, Datenschutz 11.230 Themen, 94.476 Beiträge
Moim,
ist zwar schon etwas spät für die Antwort, aber vielleicht noch nicht zu spät ;-)
Es gibt hier ein Tool, das wirklich funktioniert.
Habe es bereits für einen Kunden ausprobiert mit Erfolg.
http://www.trojaner-board.de/114115-wiederherstellung-verschluesselten-dateien-rechnung-exe-realtecdriver-exe-schadsoftware-7.html#post820437
Hier die Datei http://matthi.org/DecryptHelper-0.5.3.exe runterladen.
Wichtig ist, das wenigstens eine originale unverschlüsselte Datei noch vorhanden ist, zum Beispiel von einer alten externen Sicherung.
Eine einzige langt.
Bei meinem Kunden gab es nicht mal die, er hatte aber einen Treiberordner auf dem Laptop und so habe ich den entsprechenden Treiber beim Hersteller runtergeladen.
Nun hatte ich ein unverschlüsseltes Pendant zur verschlüsselten Datei :-).
Dann hat man Alles was man braucht.
Verschlüsselte Datei sowie ein unverschlüsseltes Original.
Der DecryptHelper fordert nach dem Start des Programmes beides an und legt einen Schlüssel fest.
Sobald dieser Schlüssel vorliegt, kann man Ordner für Ordner wieder entschlüsseln.
Am Ende bleibt dann noch das Löschen der verschlüsselten Datein die alle mit "locked.." beginnen.
Das Beste an dem Tool ist, das man Ordnerweise entschlüsseln kann und nicht jede Datei einzeln verhackstücken muss.
Selbst Unterverzeichnisse (Ordner im Ordner) werden bearbeitet.
Trotzdem ist dieser Trojaner schon ne echt fiese Angelegenheit.
Das umbennen der Daten war übrigens mein erster Versuch und hat nicht wirklich etwas gebracht.
Zwar hatten die Daten wieder die richtigen Icons, ließen sich aber nicht öffnen.
Ich hoffe, ich konnte noch jemandem helfen....