Frischfisch

fish life reporting

Alle Dateien heißen jetzt locked- und lassen sich nicht öffnen

27 Kommentare

[01/2014]Aktueller Hinweis: Dies ist ein Artikel aus dem Jahr 2012 und beschreibt nicht die momentan kursierenden Verschlüsselungsviren, die vermehrt durch gefälschte Telekom, Vodafone, Volksbank Rechnungen etc. verbreitet werden. Diese funktionieren in der gleichen wie die  hier beschriebenen Weise jedoch hilft der Artikel nur eventuell bei der Entfernung der Viren und Entschlüsselung der ruinierten Dateien durch den zur Zeit verbreiteten Schädling. Nach diversen Informationen sollen wohl die unten aufgeführten Decrypter auch die aktuell verschlüsselten Dateien wieder herstellen können. Bestätigen kann ich es persönlich nicht. Einen Versuch ist es wert.
 

Einleitung

Sie sind hier gelandet weil sie sich wahrscheinlich einen Virus eingefangen haben und sie die Google Suche bemüht haben. Seit ca. 14 Tagen häufen sich bei mir im Arbeitsumfeld die Meldungen nach locked- Dateien in Benutzerprofilen von MS Windows. Der Trojaner nennt sich trojan.matsnu.1, Trojan.Encoder.94 bzw. W32/RansomCrypt. Diese sog. Ransomware hat nur die Absicht ihnen Geld aus der Tasche zu ziehen. Sie werden aufgefordert 50 Euro zu bezahlen um die Verschlüsselung rückgängig zu machen. Zahlen sie passiert gar nix. Ihr Geld ist weg und es findet keine Entschlüsselung ihrer Daten statt. Ihr Computer startet zwar noch ihr Windows aber ihre Programme und Dateien sind futsch. Rennen sie bloss nicht zur Tankstelle und kaufen eine PaySafe Karte wie aufgefordert.

Wie hab ich mir das eingefangen? 

Die wirklich blöde Seuche kommt meist per Email und agiert so ähnlich wie der UKASH-, GEMA-, oder auch BKA Trojaner, der allerdings über verseuchte Webseiten eingeschleppt wird. Meistens über eine iFrame Attacke. Beim Trojan.Matsnu1 haben sie eine Email erhalten mit einem Dateianhang. Ich habe heute div. Mails erhalten die den Trojaner enthalten. Hier eine Email von (angeblich) DHL:

 Email von DHL
Im Anhang befindet sich eine .zip Datei: World-Parcel-Express-Details05_2012-TMX06IO621725.zip.  Beim Abspeichern des Dokumentes auf den Desktop schlägt sofort mein Antivirenprogramm Alarm. Malwarebytes hat in diesem Anhang nichts entdeckt. Ich vermute eine neue Variante des Trojan.Matsnu1. Öffne ich die zip Datei extrahiert sich eine World-Parcel-Express-Details.exe, die wenn sie ausgeführt wird den Trojaner installiert.
Eine weitere Mail von DHL enthielt den Trojaner TR/Crypt.ZPACK.Gen (Avira). Auch diese Mails erhalte ich öfters.
Sie sehen also wieso man immer rät, keine Anhänge aus Emails zu öffnen die sie nicht kennen. Sie enthalten Überraschungen.

Ihr System wird mit dem Verschlüsselungsvirus verseucht in dem Moment wo sie den Anhang öffnen und ausführen. Der Trojaner nistet sich ein und fängt lansam an ihr Windows System Stück für Stück zu verschlüsseln und gleichzeitig alle Datein umzubenennen. Achten sie zur Zeit auf Emails, in denen sie eine Bestellbestätigung für irgendein technisches Gerät oder einen Beleg für eine Nachnahmesendung erhalten. Meistens von DHL oder einem Online Versandhandel. Auch im Namen der Telekom tauchen inzwischen Mails auf.  Löschen sie solche Mails sofort ohne sie zu lesen. Diese sind sehr überzeugend gestaltet aber sie sollten ja wissen ob sie ein Paket erwarten oder einen Fernseher im Internet bestellt haben. Diese Email ist weder von DHL, Telekom und auch nicht von einer möglichen Bestellung. Die Absenderadressen sind sehr unterschiedlich, hier finden sie z. Bsp einen Blogeintrag von einem Admin mit dem Originaltext einer dieser Mails. Diese stammt angeblich von assuretec.co.uk.

 Was macht der Virus? 

Ist es erstmal passiert  und der Virus wurde von Ihnen unwissentlich installiert sind alle ihre Daten in ihrem Bentuzerprofil mit einer Verschlüsselungsstärke von 2048 Bit RSA verschlüsselt. Daher lassen sich diese Dateien nicht mehr öffnen da sie von den Progammen nicht mehr gelesen werden können. Außerdem wird eigentliche Dateiendung um ein .xkdd ersetzt so das die Dateien dann locked-dateiname.doc.iijj oder so ähnlich heißen. Damit verlieren die Dateien ihre Progammzuordnung in Windows und die Dateien werden mit einem weißen Symbol dargestellt. Das X oder W Symbol von MS Office wird nur noch als weißes Blatt angezeigt weil Windows nicht mehr weiß um welches Dateiformat es sich handelt. Viele Programme funktionieren nicht mehr und es erscheinen viele Fehlermeldungen beim Start dessen.

Entschlüsseln kann man diese Dateien nur, wenn man den Schlüssel besitzt, mit der die Dateien verschlüsselt wurden. Ein Schlüssel besteht meist aus einer mehrstelligen völlig sinnlosen langen Zahlen-, Buchstaben-, Sonderzeichenkombination so ähnlich wie )“§($“=!“?§F?=§A)§“823″§!“§ usw.
Bei 2048 bit wäre das dann etwa einer Entsprechnung von 2 DIN A4 Seiten sinnloser Text der exakt bekannt sein muss um die Dateien wieder zu entschlüsseln. Ein schneller Computercluster könnte das wahrscheinlich sogar entschlüsseln, bräuchte dafür aber locker ein paar Jahre Rechenzeit. Daher ist das Hacken des verwendeten Schlüsseln eine reine Illusion. Die Dateien sind ohne bekannten Schlüssel unwiederruflich zerstört!

Besitzen sie ein Netzlaufwerk, Freigabe oder eine externe Festplatte oder USB Sticks? Waren diese zum Zeitpunkt des Befalls mit dem Computer verbunden? Ich hoffe nicht, auch diese werden bei der letzten Variante von trojan.matsnu.1 verschlüsselt. Hier können sie z. Bsp nachlesen wie es Anderen ergangen ist.

Was kann ich tun? 

Es gibt aber Hoffnung! Und zwar ist es unter bestimmten Vorraussetzungen durchaus möglich die Dateien wieder herzustellen. Fehlerfrei sogar. Aber dazu später mehr. Entfernen sie erstmal den Virus. Wie sie das bewerkstelligen lesen sie am besten hier nach. Sichern sie dann alle ihre Daten  ( das komplette Windows Profil! ) auch wenn diese erstmal unbrauchbar sind. Installieren Sie Windows neu und vergessen sie nicht vorher ihre Festplatte C zu formatieren.

Und nun zur Dateiherstellung. Um die verschlüsselten Dateien zu entschlüsseln brauchen wir eine verschlüsselte Datei und die gleiche Datei unverschlüsselt, also die Originaldatei dazu. Wenn sie Backups besitzen werden sie sicher noch die ein oder andere Datei im Original besitzen. Damit ist es möglich die Veränderungen zu analysieren und den Schlüssel zu berechnen. Avira bietet schon ein gutes Werkzeug dafür und ist in der Lage die verschlüsselten Dateien automatisch wieder herzustellen. Sie finden es hier zum Download. Führen sie dieses Tool aus und folgen sie den Anweisungen. Halten sie dafür beide Dateien bereit.

Kaspersky bietet inzwischen auf ein Tool für die Entschlüsselung an welches wohl gut funktionieren soll. Ich habe es nicht testen können, jedoch liest man einiges im Netz das es gut funktionieren soll. Das Tool nennt sich RannohDecryptor und kann bei Kaspersky runtergeladen werden. Eine Anleitung gibt es auch dazu: hier
Einen direkten Link gibt es leider nicht, klicken auf dieser Seite auf das Tool um die Anleitung zu öffnen.

Lesen sie auch die Kommentare unter diesem Beitrag. Dort sind auch noch nützliche Tipps zu finden!

Hilfe, ich hab keine Originaldateien mehr. Kann ich meine Daten trotzdem wieder herstellen?

Was tun wenn sie keine Originaldateien mehr vorhanden sind? Sie haben keine Originale mehr? Sie haben nie einen Backup gemacht oder nie einen USB Stick benutzt? Das ist schlecht. Überlegen sie mal in Ruhe…. irgendwo hat jeder schonmal seine Dateien irgendwo hin kopiert. Haben sie mal jemand Fotos oder Dokumente per Email gesendet oder haben sie welche auf eine CD gebrannt und weitergegeben? Suchen sie in ihrem Freundeskreis nach Daten.

Eine kleine Hilfe zur Dateisuche oder an welchen Orten meist noch Originaldateien zu finden sind:

– ihre Digitalkamera: Suchen sie nach Speicherkarten, deren Bilder sie schonmal auf den PC kopiert haben aber von denen sie wissen, das diese Bilder noch auf der Speicherkarte sind. Dort finden sich meistens noch Originale.

– ihr Handy bzw. Smartphone: Auch damit wird inzwischen häufig fotografiert und die Bilder landen oft in der Handysoftware auf ihrem PC. Nokia hat die OVI Suite mit dem Verlauf, iTunes synchronisiert auch gerne Inhalte auf den PC vom iPhone. Samsung benutzt KIES, auch dort ist mit der Synchronisation einiges kopiert worden. Schauen Sie einfach mal ihre Galerie auf dem Handy durch. Das gleiche gilt für iPods und Musikplayer. Da sowas meist per PC synchronisiert wird hat man dort gute Chancen Originaldateien zu finden.

Emailverkehr: häufig versendet man Fotos per Email an Bekannte, Familie und Freunde. Benutzt man dafür einen Webmailer befinden sich häufig diese Dateien noch in den gesendeten Elementen. Einfach mal nachschauen was sich dort angesammelt hat. Häufig hat man Erfolg, öffnet die bereits gesendete Mail und kann diese an sich weiterleiten oder den Dateianhang direkt wieder runterladen. Oder lassen sie sich Dateien erneut zusenden die sie  mal erhalten haben.

Benutzen sie Outlook, Thunderbird o. ä. wird es schon schwieriger wenn es sich nur um ein POP3 Konto handelt. Bei IMAP Konten hat man da schon mehr Glück da der Mailserver alle Mails als Kopie beibehält.

 – im Bekannten- und Freundeskreis: Wer hat nicht schonmal für jemand eine CD gebrannt mit den Fotos der letzten Familienfeier. Überlegen sie in Ruhe wem sie schonmal eine CD in die Hand gedrückt haben. Holen sie sich diese zurück. Oft die einzige Möglichkeit nochmal an Originale zu gelanden.

– PDF Dateien: Haben sie verschlüsselte PDF Dateien auf ihrer Platte? Wenn es sich um öffentliche PDFs handelt kann es durchaus sein das sie diese weiterhin auch im Internet als Original finden. Dabei denke ich in erster Linie an Formulare, digitale Handbücher für Geräte, Anleitungen, eBooks, Fachliteratur  usw.

– CD ROMs und DVDs:  Einige Software installiert auch Daten im Benutzerprofil. Haben Sie das vorher auch wirklich komplett gesichert haben sie dort diese Daten in verschlüsselter Form. Installieren sie diese Software erneut nachdem der Rechner neu aufgesetzt wurde und dann sollten die meisten Programmdaten im Original wieder vorhanden sein.

– Ihr Betriebssystem: Wie in div. Kommentaren zu entnehmen ist funktioniert die Entschlüsselung auch mit den Windows Beispieldateien, die in jedem Benutzerprofil installiert wurden. Schauen sie mal in die eigenen Bilder, dort werden immer Beispielbilder mit abgelegt. Diese sind identisch mit jeder Windows Installation und somit ist die Beschaffung der Beispielbilder recht einfach. Entweder haben sie die Bilder nach der Neuinstallation wieder in ihrem ursprünglichen Ordner oder sie besorgen sich diese Bilder von einem anderen Rechner, der das gleiche Betriebssystem installiert hat. (Danke für den Tipp, der mit einem Kommentar zu mir kam)

Viel Erfolg bei der Suche und der anschließenden Entschlüsselung.

Intention: Sehr viel Zeit für mein Blog habe ich zur Zeit nicht. Der Aufwand der durch diesen Virus entsteht ist enorm und es ärgert mich das es tatsächlich Menschen gibt, die auf diese Betrugsmasche reinfallen. Noch mehr ärgert es mich das Programmierer mit kriminellen Absichten solche Ramsonware programmieren. Und noch viel mehr ärgert es mich das eigentlich inzwischen jeder wissen sollte das man unbekannte Emails mit Vorsicht behandelt vor allem niemals Anhänge öffnet.

Dadurch das sicher viele bezahlen werden unterstützt man diese „Seuche“ noch zusätzlich. Ich kann täglich sehen welche Suchbegriffe auf dieses Blog geführt haben, daher kann ich sehen das es tatsächlich Menschen gibt die darüber nachdenken das tatsächlich zu bezahlen. Daher ist dieses Artikel entstanden. Ich hoffe ich konnte sie davon abhalten auf diese Masche reinzufallen.

Prävention: Halten sie ihre Virensoftware auf aktuellem Stand. Scannen sie von Zeit zu Zeit ihren Rechner mit Malwarybytes. Öffnen sie niemals Anhänge in Emails deren Absender sie nicht kennen. Ich konnte einen Fall beobachten, indem Microsofts Securitiy Essentials erfolgreich diesen Virus abgewehrt hat. Inzwischen sollte alle Antivirenhersteller auf diesen Trojaner reagiert haben. Hoffen wir das er sich nicht wie der BKA Trojaner ständig an entdeckte Entfernungsmechanismen anpasst und somit noch schwerer entfernbar oder noch destruktiver wird. Halten sie auch Software auf aktuellem Stand die bekannt dafür ist, daß sie für die Verbreitung von Schädlingen benutzt werden kann. Dazu gehören z. Bsp. ihre Java Installation, Flashplayer und der Adobe Reader. Einfallstore wie Quicktime, Media Player, VLC etc. sollten auch öfters auf Updates überprüft werden. Diese werden nicht oft benutzt, aber ein bereits eingenisteter Trojaner wird auf verschiedenen Wegen versuchen Schadcode nachzuladen. Daher ist ein aktuell gepatchtes System meist wesentlich sicherer als ein ungepatchtes. Benutzen sie keine gecrackte Software. Sie wissen nie was sie sich damit installieren. Viele Cracks sind von Schädlingen verseucht die im Netz zu finden sind. Begehrte Cracks für Adobe Produkte stehen an erster Stelle.

Backups und Datensicherungen: Hat man einen aktuellen Backup seiner Daten ist die Verseuchung höchstens ärgerlich, aber nicht dramatisch. Windows XP hat das Tool ntbackup an Board, Win Vista und Win 7 bringen in der Systemsteuerung die Option „Sichern und Widerherstellen“ mit. Benutzen Sie diese regelmäßig!!! Sie sehen wie wichtig ein aktuelles Backup ist. Damit erspart man sich viel Ärger weil kaum Dateien verloren gehen und man so auf der sicheren Seite weilt. Die Verseuchung an einem Terminalserver konnte ich mit dem täglichen Backup rückgängig machen, es fehlten lediglich zwei Worddokumente der letzten zwei Stunden. Das war nicht dramatisch, das System war nach 45 min. sauber und wieder lauffähig nach der Datenwiderherstellung.

Gescheitert?: Es häufen sich die Meldungen über eine neue, angepasste Version dieses Schädlings. Scheinbar versagen dort die Entschlüsselungsmechanismen die von den Antivirenherstellern bereit gestellt worden sind. Meldungen darüber finden sie auch unten bei den Kommentaren.

Wie beim BKA-, GEMA-, UKASH-Trojaners bereits beobachtet werden konnte, passen die Programmierer dieses Trojaners ihre Programmversion den Entfernungsmechanismen an. Immer wenn eine Lösung im Internet erscheint wird die Trojanervariante angepasst um eine Entfernung bzw. Entschlüsselung der Daten weitgehenst zu verhindern. Die Antivirenhersteller arbeiten wohl mit Hochdruck an einer Lösung und hoffen wir das sie es zeitnah schaffen auch dort die Entschlüsselung zu ermöglichen. Aktuelle Informationen erhält man in Deutschland bei den Antivirenherstellern selbst oder man schaut ins Trojaner-Board. Die Betreiber und Moderatoren dort sind auch extrem kompetent was neue Bedrohungen angeht und sind ständig bemüht Lösungen zu offerieren. Danke an die Betreiber für dieses wirklich gute Forum!

[UPDATE] 21.05.2012

Es hat sich leider bestätigt. Es existieren inzwischen Mutationen des Verschlüsselungstrojaner, die mit der Paar-Entschlüsselung nicht mehr funktionieren. Die Dateien heißen auch nicht mehr locked, sondern werden per Zufallsgenerator  umbenannt, ohne Dateiendung und lauten dann „xdfoeikkd“ oder ähnlich. Das macht die Entschlüsselung nochmal schwerer. Bislang wäre mir kein Tool bekannt womit sich diese Dateien entschlüsseln lassen. Hoffen wir, daß die Cracks zu dem Thema bald ein neues Entschlüsselungstool veröffentlichen können.

Merkwürdigerweise hatte ich auf diesem Blog diverse Versuche entdeckt, den Login zu hacken. Die Versuche wurden aus Rumänien gestartet wie ich aus den Logfiles entnehmen konnte. Ob dies im Zusammenhang mit diesem Blogbeitrag steht lässt sich nicht ermitteln.

Kommentare erwünscht! Aus statistischen Gründen interessiert mich Folgendes:

– wie haben sie sich diesen Virus eingefangen?

– wie lautete die Mail, bzw. der Absender der Email mit der sie sich infisziert haben?

– Wie lautete in etwa der Text, der sie dazu veranlasst hat diesen Anhang zu öffnen?

– Wie haben sie den Virus entfernt bzuw. welche Methoden sind gescheitert

Über Kommentare würde ich mich wirklich freuen und diese helfen auch anderen Lesern dieses Beitrages.
Vielen Dank für ihre Mühe!

Advertisements

27 Kommentare zu “Alle Dateien heißen jetzt locked- und lassen sich nicht öffnen

  1. Pingback: Cryptorbit: Alle Dateien sind verschlüsselt | Frischfisch

  2. Pingback: Emails von PayPal: Verifizieren Sie Ihr Konto – Fortsetzung blockiert / Begrenzte Konto! | Knipsfisch

  3. Habe mir den GEMA Trojaner beim Vorbeisurfen eingefangen (10.6.2012) danach auch locked Dateien gehabt, allerdings „nur“ ca. 50% der Ordner, nicht alle.
    NAch einigen Durchläufen von Avira und Kaspersky Tools war zunächst der Gema Spuk vorbei, das Avira Tool zum entsperren hat tadellos funktioniert und die Daten wieder nutzbar gemacht.

  4. Hallo, ich habe hier auch ein paar Rechner die mit der neuen Version befallen. Wie es ausschaut, haben die Antivirenhersteller bereits das Tuch geschmissen, da die Verschlüsselung nicht mehr so ohne weiteres berechnet werden kann ( Aussage von einem Supportler bei Kaspersky )

    Kleiner Tipp an jene die kein Backup haben. Sollte die VolumenSchattenKopie aktiviert gewesen sein, kann man bequem die Daten darüber wieder herstellen.

    Beste Grüße

    Tadeusz

  5. Hallo, ich hatte eine email der telekom wo mir ein betrag von 290 € in rechnung gestellt wurde. Da auch meine Abo-kosten nicht stimmten habe ich den Anhang geklickt… Dumm, ja im nachhinein. Konnte bis jetzt nichts rückgängig machen, alle dateien und programme sind locked.

  6. Pingback: Emails von PayPal: Verifizieren Sie Ihr Konto – Fortsetzung blockiert « Frischfisch

  7. Habt Ihr neue Lösungswege gefunden, die aktuellste Variante (von vor 1 Woche) erfolgreich zu decrypten? Kaspersky & Avira scheinen noch keine Lösungen parat zu haben, ebenso wenig diese andere auf Trojaner-Board.de angegebene Tool … sowas nerviges aber auch …

  8. Offensichtlich werden die Empfänger mit dem am Ende solcher Mails stehenden Hinweis auf möglichen Widerspruch oder Stornierung dazu verleitet, den zip-Anhang öffnen zu wollen.

    • Leider muss ich Ihnen Recht geben. Nur durch dieses Nutzerverhalten ist die rasche Verbreitung dieses Trojaners zu erklären. Täglich googlen sich ca. 650 Besucher zu meinem Blogbeitrag und anhand der Suchbegriffe kann ich sehen das hier einige die Dateianhänge öffnen.

  9. Vielleicht nur der Vollstaendigkeit halber: Ein 2048 Bit RSA knackt man nicht mit so einem Klartext-Angriff. In Wirklichkeit werden wohl nur die ersten paar hundert Bytes der Dateien mit RC4 verschluesselt. Dem ist ohne weitere Massnahmen mit solchen Angriffen beizukommen.

  10. Ich hatte auch schon das Vergnügen:
    Es werden auch Server 2008 R2 befallen, die als Termnalserver arbeiten, trotz eingeschränkter Rechte. Jeder der einen Server hat, sollte momentan ein gutes==aktuelles Image habenm, da die Entschlüsselung nicht oder nur unzureichend funktioniert. Ebenso werden NW-Laufwerke befallen. Dann hilft nur noch die Datensicherung

  11. @Es gibt eine neue Variante seit gestern, wogegen kein DeCrypter aktuell was machen kann. AVIRA, AVG, Kaspersky etc. arbeiten mit Hochdruck an einer Lösung … hat mich heute schon viel Ärger gekostet im Support …

    falls jemand was Neues erfährt, bitte melden

  12. Erstmal vielen dank für diesen Blog.

    Ich hatte erst malwareantibytes installiert und damit 5 Infizierungen gefunden. Anschließend habe ich den Kaspersky-scanner rüberlaufen lassen(RannohDecrypter). Das tool sucht, entfernt und entschlüsselt alle Dateien sehr komfortabel. Man braucht ledigdlich eine originale und eine verschlüsselte Datei. Mit einer .doc hat es nicht geklappt die ich zufällig noch hatte, ich hab dann auf die Beispielbilder zurückgegriffen: (http://www.trojaner-board.de/114115-wiederherstellung-verschluesselten-dateien-rechnung-exe-realtecdriver-exe-schadsoftware-7.html#post820437)

    ps. nicht vergessen beim Kaspersky scanner „verschlüsselte Daten löschen“ anzuklicken, sonst müsst ihr den scanner 2x laufen lassen ^^

    gruß

  13. Ich sitz gerade an einem kompromittierten Laptop und habe noch n kleines Update.
    Mit den Beispiel-Musik Dateien funktioniert das Ganze leider nicht da die verschlüsselten Dateien 5kb größer sind und dadurch die verschiedenen Tools keinen Chiffrierschlüssel ermitteln können. Mit Beispielbildern ist das dennoch kein Problem.

  14. Ich habe da auch so jemanden, der auf die neuen Tools wartet… Das mit den Beispielbilder ist ein guter Tipp die Dateien habe ich Dr. Web geschickt. Drücken wir uns mal die Daumen!

  15. Es gibt eine neue Variante seit gestern, wogegen kein DeCrypter aktuell was machen kann. AVIRA, AVG, Kaspersky etc. arbeiten mit Hochdruck an einer Lösung … hat mich heute schon viel Ärger gekostet im Support …

    • Ich habe fast befürchtet das dies passieren wird. Beim GEMA bzw. BKA Trojaner kam auch jede Woche eine neu angepasste Version raus. Drücken wir die Daumen das die Antivirenhersteller dort schnell reagieren.

  16. Hallo,

    da ich auch in einem Systemhaus beruflich tätig bin habe ich auch desöfteren damit zu tun.

    Es gibt einen Tipp den ich dabei geben könnte falls man keine Originaldateien zur Verfügung hat.
    Da der Virus das Profilverzeichnis befällt bzw. verschlüsselt werden auch Beispielbilder und Beispielmusik-Dateien verschlüsselt.

    Ist dies also der Fall nimmt man die unverschlüsselte gleiche Datei von einem anderen „sauberen“ OS (muss natürlich das gleiche sein wie das OS vom befallenen Rechner) und nimmt dann die verschlüsselte „Beispieldatei“ vom kompromittierten PC.

    So kann man zunächst den Schlüssel ermitteln. Is dies geschehen ist der Rest nur noch Routine und kein Problem.

    Habe bis jetz alle Dateien wieder herstellen können.

  17. Vielen Dank für diese gute Darstellung. Sie hat einem meiner Kunden eine Menge Probleme erspart.

    Der PC wurde mir mit der Mitteilung geliefert, dass ein Anhang einer Mail von der Telekom einen Virus behinhalte. Daraufhin habe ich diesen mit einem externen System gestartet und mithilfe eines verfügbaren Antiviren-Tools die entsprechenden Daten entfernt. Die Kundendaten selber habe ich mir nicht angeschaut.

    Nach dem Entfernen erst teilte mir der Kunde mit, dass die Daten in den Nutzerprofilen allesamt „locked“ waren. Nun musste ich mich doch mit einem Kundenaccount am PC anmelden und stellte den beschriebenen „Befall“ fest.

    Nach drei Telefonaten waren Dateien (in diesem Fall pdf-Dokumente) in entschlüsselter Form verfügbar, so dass mit Hilfe des hier beschriebenen Verfahrens die Dateien wiederhergestellt werden konnten.

    Einziger Wermutstropfen: Die „locked-*.*“ Dateien verbleiben auf dem Rechner, so dass noch weitere Aufräumarbeiten notwendig sind.

  18. Hallo,

    ich habe bereits vier mit dem „Verschlüsselungs-Trojaner“ infizierte PCs. Der erste wurde am frühen Morgen des 3. Mai infiziert. Hier konnte ich ohne Schwierigkeiten alle Daten mit dem Avira-Tool wiederherstellen. Die anderen Rechner wurden am bzw. nach dem 4. Mai infiziert. Hier klappt es bisweilen mit der Entschlüsselung nicht. Hier scheiterten die Tools von Avira, Dr. Web (Trojan.Matsnu.1 decrypter) und Kaspersky (RannohDecryptor). Hier habe ich die verschlüsselten und originale Hintergrundbilddateien von Toshiba (vom befallenen Toshiba-Notebook) und eines S-ATA Treibers probiert. Alle Tools melden, dass angeblich die Dateien nicht zusammen passen. Dies kann ich aber nahezu ausschließen. Nun habe ich bereits die o.g. Firmen angeschrieben und gefragt, ob es eine neue Version der Tools zu erwarten ist. Mal sehen was für Antworten da kommen.

    Viele Grüße,
    Alexander

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s