Unklare Ransomware aus 2012 - Daten entschlüsseln?

bash9r

Newbie
Registriert
Sep. 2017
Beiträge
5
Liebe Community,

vor dem Entsorgen eines alten Desktop PCs wollte ich einen letzten Versuch unternehmen die verschlüsselten Daten darauf zu retten. Ende 2012 wurde ein EMail Anhang fälschlicherweise geöffnet (eine ***.pdf.exe), sodass es zu einer Infektion des Systems (Windows XP) kam mit anschließender Zahlungsaufforderung / Sperr-Bildschirm.
Leider hab ich diesen Bildschirm nie gesehen, die Bekannte hat als Reaktion damals den Strom gekappt und auf eigene Kappe versucht die Malware zu beseitigen. Ist ihr wohl auch gelungen, jedoch waren alle Dateien folglich verschlüsselt auf dem PC.

Mein Stand jetzt: Jede Menge Bilder / Dokumente, die verschlüsselt sind. Zeitpunkt war Oktober 2012.
Es gibt einen Ordner, der auf dem PC verschlüsselt wurde, der in Originalfassung noch vorliegt (die Bilder waren noch auf der SD Karte der Kamera damals - sind einige .jpg und eine .mp4).

Problem: ich weis nicht genau um welche Ransomware es sich handelt und alle bisherigen Versuche die Daten zu entschlüsseln sind Fehlgeschlagen.
Daher noch ein paar Infos.
- die Verschlüsselten Daten haben keine Dateiendungen
- die Dateinamen bestehen nur noch aus Buchstabensalat (Bsp: AdoxGAnUEtoGGAVqdoE oder AqdoVoxVsUtyqL)
[Siehe Screenshot]

Da es Dateienpaare "verschlüsselt" <-> "unverschlüsselt" gibt hatte ich mir ganz gute Chancen ausgerechnet - aber bisher ohne Erfolg.

Hab einige Listen durchgeschaut und alle Tools, die ich bisher gefunden habe ausprobiert:
- Panda Ransomware Decrypt
- https://noransom.kaspersky.com/ mit Rannoh Decryptor, Shade Decryptor, CoinVault Decryptor, Wildfire Decryptor, Xorist Decryptor
- EmiSoft Decryptor
- ...

Hat jemand eine Idee um welchen "Virus" es sich ursprünglich handelt? Trotz einiger Merkmale kann ich ihn nicht klar identifizieren.
Und hat jemand eine Idee / Lösung zur Entschlüsselung der Dateien?

Vielen Dank !
 

Anhänge

  • Overview.jpg
    Overview.jpg
    1,1 MB · Aufrufe: 658
Wenn Du nicht weißt, welche Software dafür verantwortlich war, hast Du keine Möglichkeiten. Was sagen den diverse Virenscanner dazu? Hast Du noch die Original-Exe aus dem Anhang? Wenn nein, kannst Du die Datenrettung an sich vergessen. Du weißt ja nicht, ob es eine modifizierte Version einer bekannten Ransomware war.
 
Bist du sicher das die Dateien verschlüsselt sind? Also hast du dir ihren Inhalt mal angeschaut?
 
@Mojo1987 : was meinst du mit "hast du dir die Dateien mal angeschaut"?
Bin diesbezüglich nicht so der Experte - kurzer Hinweis vllt :).
Die Dateigröße stimmt noch, aber umbenennen / öffnen kann ich sie nicht und unter Eigenschaften enthalten sie auch keine Dateiinformationen mehr.


Konnte die "Ursprungsdatei" / Auslöser im Outlook als Mailanhang finden.
Durch ein aktualisiertes Antivirenprogramm spuckt er mir folgendes aus:

"TR/Matsnu.EB.66"

Screenshot von Mailtext, Dateinamen und Datum im Anhang.
In der .zip Datei befindet sich dann eine entsprechende ".exe"

Danke für die Hilfe soweit.
 

Anhänge

  • EMail.jpg
    EMail.jpg
    1,6 MB · Aufrufe: 447
Davon habe ich auch noch nen haufen rumliegen, da mir die Original Datei fehlt. Vielleicht gibt es irgendwann doch mal eine Lösung dazu.
 
Hat zwar den ganzen Tag in Anspruch genommen aber konnte ca. 90% der Bilder / Dateien retten:
Über ein Vergleichstool aus Originaldatei / verschlüsselter konnte ich verifizieren, dass es die 12KB-Variante des Verschlüsselungstrojaners ist. Danach ging die Suche etwas spezifischer und habe mit dem folgenden Thread (und Verlinkungen in dem Thread) es dann echt hinbekommen :D sehr geil.

https://www.trojaner-board.de/116851-daten-retten-verschluesselungstrojaner.html#post851585

Probleme habe v.a. kleine Bilder gemacht (zu viel Information auf den ersten Bits)

+ im Anschluss hat "JPEG Recovery Pro" echt super arbeit geleistet bei nur "leicht beschädigten rekonstruierten .jpgs".

Thx
 
Zurück
Oben