ComputerBase Menü
Aktuelles

Virus - ransomware

azereus

azereus

Rear Admiral
Registriert
Okt. 2007
Beiträge
5.677
am freitag hat sich ein kunde einen virus eingefangen.
und zwar den der alle dateien verschlüsselt und umbenennt
ransomware

hab die wichtigsten verschlüsselten dateien zusammen und auch die älteren originale

nur kann ich mit keinem programm den schlüssel erzeugen um die daten zu entschlüsselt...


anbei "bilder.rar" mit dem original und der verschlüsselten datei

weiters die programme mit denen ich versucht hab die daten zu entschlüsseln


kann mir von euch wer helfen?
 

Anhänge

kaspersky funktioniert nicht mehr.
zum einen lässt sich die iso nicht laden zum anderen wurde das gerät bereits aus einer sicherung wiederhergestellt um arbeiten zu können. jetzt sind nur die differenzdaten zu entschlüsseln.

@stools. hab ich vor 15minuten versucht. kein erfolg
Ergänzung ()

und up.
ist noch jemand an der Sache drann??

hat jemand einen anderen Vorschlag oder Hilfe parat?
Ergänzung ()

/edit: das ist die meldung des trojaners. 265bit aes verschlüsselung und 100€

dateien haben kein "locked.****" und keine Endung!
 

Anhänge

  • 560153_439504646062639_127947280551712_1710603_958973334_n.jpg
    560153_439504646062639_127947280551712_1710603_958973334_n.jpg
    33,7 KB · Aufrufe: 211
Zuletzt bearbeitet:
wie gesagt: die in meinem fall verschlüsseltend dateien haben kein locked.* am anfang

hab mal etwas gestöbert im boart und für die wichtige outlook.pst was gefunden.
angeblich soll ich die verschlüsselte pst (qqyVugTlqEugUGq = dateiname und 9GB groß) in qqyVugTlqEugUGq.pst umbenennen und scanpst.exe ausführen.
bin gerade am kopieren und gleich am testen

/edit:
http://www.trojaner-board.de/115183-neue-verschluesselungs-trojaner-variante-umlauf.html
scheint als hätte sich unser kunde die "neue" version des trojaners eingefangen
Ergänzung ()

ja also es funktioniert!

sollte jemand von euch diesen ukash-verschlüsselungs-trojaner zufälligerweise bekommen:
es gibt mehrere Versionen davon!

v1: http://www.trojaner-board.de/114783-verschluesselungs-trojaner-tools-ubersicht.html
dateien werden verschlüsselt und umbenannt. locked.****.****
für diese version gibt es diverse programme zum entschlüsseln. einige sind in meinem ersten post.
ihr benötigt allerdings die unverschlüsselte original-datei um den schlüssel zu generieren

v2:http://www.trojaner-board.de/115183-neue-verschluesselungs-trojaner-variante-umlauf.html
dateien werden verschlüsselt und umbenannt. z.b. "qqyVugTlqEugUGq" (ist in meinem fall die outlook.pst 9GB)
hierfür gibt es noch keine programme. allerdings lässt sich die outlook.pst rekonstruieren!
hierfür braucht ihr office 2007/2010. kopiert euch die verschlüsselte outlook-datei weg, startet scanpst.exe aus c-programme-microsoftoffice-office14... und repariert die kopie. anschließend in outlook importieren
teilweise lassen sich bilder mit den recovery-tools rekonstruieren.

v3: http://www.trojaner-board.de/115183-neue-verschluesselungs-trojaner-variante-umlauf.html
dateien werden verschlüsselt und nicht umbenannt.
dieser trojaner ist der fieseste! man merkt es kaum. erst wenn nichts mehr öffnen geht.



grundsätzlich ist zu sagen: offnet nicht blindwütig den anhang einer verdächtigen mail mit einer zahlungsaufforderung oder rechnung.

im trojaner-board findet ihr hilfe!
 
Zuletzt bearbeitet:
so inzwischen ist der trojaner das zweite mal aufgetaucht.
bei diesem user hab ich jetzt eine andere variante versucht.

trojaner ist v2: verschlüsseln+umbenennen ohne "locked.****"

platte ausgebaut und vorgängerversion wiederherstellen
hat bis jetzt anstandslos funktioniert bei einzelnen ordnern

werd das ganze jetzt auf die komplette platte ausweiten, anschließend mit norton drüberscannen (norton ist laut virustotal einer der virenscanner der den trojaner erkennt)
ist die bereinigung abgeschlossen werd ich natürlich eine kopie des systems machen und danach im abgesicherten modus mal starten und schauen was passiert
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

stummerwinter
USB-Stick unte rLinux Scannen nach Ransomware
Antworten
2
Aufrufe
1.010
stummerwinter
stummerwinter
R
Schutz vor Ransomware wie?
2 3
Antworten
41
Aufrufe
3.241
andy_m4
andy_m4
T
Backup: externe HDDs vs M-Disc (Ransomware)
Antworten
8
Aufrufe
2.044
TR2013
T
Frank
News Ransomware: Nach QNAP & Asustor ist Terra­Master Ziel von DeadBolt
2 3
Antworten
52
Aufrufe
9.336
M-X
M-X
O
Backup "relativ" ransomware sicher
2 3
Antworten
42
Aufrufe
5.005
Purche
P
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz