Locked Dateien von Gema Virus

[LEJ]

Ich hatte heute beim Hochfahren meins PCs den berüchtigten Gema Virus. Ich konnte trotzdem normal mit meinem PC arbeiten. Ich habe ihn mit Malwarebytes rausgekickt(hoffentlich), Avast drüber laufen lassen, Hijackthis und was weiss ich. Ich hoffe der Virus ist weg.

Allerdings habe ich ein riesiges Problem. Ich mache 2D Animation(klassischer Zeichentrickfilm) und habe hunderte Filme auf dem Rechner und gesichert auf der externen Platte. Alle Dateien womit man die Filme im Animationsprogram oder Schnittprogramm öffnen kann, sind gelocked.
Das sieht dann so aus. Das ist die Datei eines meiner Cartoons: http://www.bilder-hochladen.net/files/big/27gf-5a-eecc.jpg
Ich weiß, daß es Tools gibt, womit man Dateien entlocken kann und habe einen Folder mit jpeg-Dateien(Fotos) mit dem Programm entlocked, aber bei den Animationsdateien gibt es kein Original. DAS sind die Originale.
Habe ich jetzt einfach Pech gehabt? Die Filme sind zum Glüclk alle im Netz geuploadet, aber ich werde sie nie wieder bearbeiten können. Eigentlich ein Trauerspiel. Ich habe sie immer sofort auf die externe Platte als Sicherung kopiert, aber wusste nicht dass es so ein Trojaner überhaupt gibt, der alle Dateien blockiert...wtf??

Irgendwelche Tipps?

 

[moelli]

Du brauchst die Kombination aus original und verschlüsselter Datei nicht für jede verschlüsselte Datei, sondern nur einmal.

 

[LEJ]

So ging das bei dem Folder mit meinen Fotos. Ich habe einmal das original des Fotos und dann die gelockte Version gehabt und konnte dann den ganzen Folder entlocken.

Bei meinen Animationsdateien habe ich keine Originale. Ich verstehe nicht ganz das Prinzip. Wie soll ich die Dateien auf dem Foto, was ich gepostet habe, wieder entlocken(entschlüsseln)?

Zweite Frage: wenn ich morgen eine andere externe Festplatte kaufe und alle Dateien, die noch in Ordnung sind, rüber kopiere, ist die Gefahr, das ich die neue Platte infiziere aus gegeben? Sind ist die zweite Platte nur noch beim Kopieren anzuschliessen und sonst nicht.

 

[AdoK]

Du brauchst einmal das Original - unverschlüsselt - und einmal die von der Malware verschlüsselten Datei.
Damit sollten diese 'Entschlüsselungs-Tools' meistens mit arbeiten können und den verschlüsselten Kram wieder entschlüsseln und in den Urzustand bringen können.


Mehr siehe auch hier im gleichen Bereich mit praktisch identischer Frage von vor ca. 5,5h unter

https://www.computerbase.de/forum/threads/vorgehen-beim-verschluesselungs-trojaner.1070919/

 

[moelli]

Der Trojaner verschlüsselt nicht die komplette Datei, sondern nur einen Teil davon. Da der Schlüssel immer der gleiche ist, brauchst du eben nur ein Pärchen aus orginal und verschlüsselter Datei, damit das Programm den Schlüssel erkennen kann.

 

[LEJ]

Ich kapiere das System nicht. Wenn ich das Original hätte(zB auf einer anderen Festplatte), wozu müsste ich die verschlüsselte Datei noch umwandeln oder verstehe ich das Prinzip nicht?

Um es praktisch auszudrücken: ich habe den Animationsfilm "The little Penguin" mit allen Dateien(Sound-Dateien, Schnitt-Dateien, Zeichen-Dateien, MP4-Dateien), die zu der Herstellung des Films gehören auf meiner Festplatte D und auf meiner externen Festplatte F jeweils gespeichert. Auf BEIDEN Festplatten sind alle Dateien verschlüsselt wurden. Welches Original ist denn gemeint? Die Originaldateien sind ja alle verschlüsselt. Da ist keine unverschlüsselte Kopie existent.

Das heisst wenn ich nicht noch irgendwo ein unverschlüsseltes Original habe, kann ich nichts mehr machen oder verstehe ich etwas falsch?
Das Bild was ich oben gepostet habe, ist alles was ich von dem Film habe.

Im Übrigen frage ich mich woher der Virus kommt. Ich habe weder eine unbekannte Email aufgemacht, noch auf komische Seiten gesurft und habe täglich ein Trojaner-Scan gemacht und Avast hat täglich mehrfach Updates gemacht...seltsam alles.

 

[AdoK]

Es geht darum, dass bei eher vielen Usern ein Backup/ Image der persönlichen Dateien nicht oder eher unvollständig/ lückenhaft vorhanden ist.

Damit diese 'Entschlüsselungs-Tools' dann alle! der verschlüsselten Dateien wieder entschlüsseln können, muss wenigstens eine der Original und unverschlüsselten Dateien vorhanden sein, damit diese 'Entschlüsselungs-Tools' durch den Ab-/ Vergleich von Original und verschlüsselter Datei den Schlüssel zum entschlüsseln berechnen können.
Mit diesem Schlüssel sollen dann angeblich alle verschlüsselten Dateien wieder entschlüsselt werden können - so zumindest die Theorie.

Meine persönliche Erfahrung(en) mit den PCs aus dem Freundes-/ Bekanntenkreis die von dieser Art Malware betroffen waren ist eher so, dass das entschlüsseln entweder nur eher unvollständig oder eben überhaupt nicht funktioniert.
Praktisch jeden PC hab ich neu installieren müssen und soweit vorhanden, eben die persönlichen Daten wieder ins System integrieren müssen.

 

[LEJ]

Ah, ok, jetzt habe ich das Prinzip verstanden. Das heisst wenn ich den Ordner mit Fotos, die auf Festplatte F verschlüsselt sind, mit den unverschlüsstenen gleichen Fotos auf Festplatte F umwandel(was ich getan habe), dann nehme ich den Schlüssel, der bei der Prozedur entstanden ist, für alle anderen verschlüsselten Dateien.

Ich teste das mal aus. Danke für die Erklärung und sorry für die Begriffsstutzigkeit aber bis heute wusste ich nicht, dass es solche Trojaner gibt.

Sollte ich die meisten Dateien retten können, werden sie nur noch auf externe Platten gesaved, die ich nur zum Saven anschliesse. Wenn ich wieder was einfange, wird einfach das gesamte System neu aufgespielt.

Ergänzung (9. Juni 2012)

Scheint zu klappen wobei es eine Mordsarbeit wird JEDEN Folder und Unterfolder umzuwandeln, aber immerhin.
1000 mal danke für die Hilfe. Damit rette ich echt wertvolle Dateien.