Avira Support Forum

Hallo zusammen,

zum einen möchte ich gerne über den o.g. Verschlüsselungstrojaner informieren, aber zusätzlich erhoffe ich mir auch Hilfe dazu. Es scheint eine neue Form des Trojaners zu sein.

Ich habe eine Email mit Zip-Anhang bekommen. Ausversehen habe ich die enthaltene Datei (wahrscheinlich .exe) ausgeführt. Ab diesem Zeitpunkt war der Zugriff auf den Computer gesperrt. Selbst der Abgesicherte Modus lässt sich nciht mehr ausführen.
Ich habe die Festplatte ausgebaut und in einem anderen Computer angeschlossen. Folgende Datei hat AntiVir erkannt:

Quoted

"Die Datei 'H:\WINDOWS\system32\46E26E5A00A70B34268A.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.Gypikon.C.2' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde gelöscht.

Ich habe den Avira Ransom File Unlocker 1.0.1 ausprobiert, doch leider ohne Erfolg:

Quoted

Please select another pair of locked / original files.
The given pair does not match.

Sämtliche weitere Tools von www.trojaner-board.de brachten keinen Erfolg:

Quoted

Vorgehen beim Verschlüsselungs-Trojaner (Übersicht der 6 Tools) Lizenz-Trojaner

1. Starte einen vollständigen Scan mit Anleitung: Malwarebytes Anti-Malware und Entferne die Trojaner-Funde.

2. Die verschlüsselten Dateien mit unserem DecryptHelper von Matthias entschlüsseln. (Java wird benötigt)
alternativ: Avira Ransom File Unlocker oder Tool von Dr. Web oder ScareUncrypt von BitFox

Was kann man noch versuchen? Hilft es, wenn ich verschlüsselte Dateien bereitstelle? Windows habe ich bereits aufgegeben, doch meine Daten benötige ich unbedingt wieder. Danke im Voraus für eure Hilfe.

Viele Grüße
Daniel




* Bild link gelöscht rajo

Moin Daniel

Dich hat die Neue Variante der Verschlüsselungs Trrojaners erwischt -
bisher gibt es noch kein Programm welches greift

**

Rajo

Ich habe den gleichen Trojaner seit heute früh auf dem Rechner. Da sind Firmendaten drauf.
Bringt es was auf die Zahlungsveriante einzugehen?
Den Rechner neu einzurichten und Sicherungen zurückspielen ist zeitaufwändig (Kosten-Nutzen)

Quoted from "loevhotel"

Bringt es was auf die Zahlungsveriante einzugehen?
Den Rechner neu einzurichten und Sicherungen zurückspielen ist zeitaufwändig (Kosten-Nutzen)

Nein - nicht Zahlen !

damit wirst du auch nicht entschlüsseln -
das sind GAUNER !!

2 schritte - sicherung des jetztzustands
dann die alte Sicherung zurückspielen



Rajo

Moin

Hab auch zwei Rechner von Kunden mit dem Virus und konnte die verschlüsselten Dateien erfolgreich wiederherstellen.

Folgendes Tool habe ich verwendet.
http://www.trojaner-board.de/114548-scar…te-dateien.html

Weitere Infos später

Gruß

Björn

Hast du denn das Avira Tool schon ausprobiert - ??

ich verkinke das nachher hier zu uns
TBoard ist down zur Zeit -

Rajo

Hallo

Nein! Das hat laut meinem Arbeitskolegen nicht funktioniert.

Gruß

Björn

Probiert mal folgenden Link

http://www.bitfox24.de/service/tools/scareuncrypt.zip?1

Grundsätzliche Frage zu einem möglichen Rettungs-/Entschlüsselungs-Tool:
Sind das Rescue-Systeme mit denen sich der Rechner starten läßt oder muß die befallene Festplatte ausgebaut und an einem funktionierendem System "behandelt"werden?

Viele Fragen beantworten sich durch studieren von
diesem Thread
http://forum.avira.com/wbb/index.php?pag…839#post1175839

Das Ablauf- Schema:

Schritt 1
entsperren des Rechners und aufspüren und Entsorgen des
encrypters - wichtig !
das passiert mit OTLPE - in 2 schritten - unter spez Anleitung
mit OTLPE wird ein log des Rechners ertellt -
dann wir ein Fix log erstellt - und mit OTLPE wird der Schädling entsorgt -

Jetzt kann das System wieder nomal hochgefahren werden

Schritt 2
Decrypten
mit Avira Ransom Unlocker
Gibt es hier ....

dazu werden die orig. Beispielbilder
der Systeme benötigt :

links folgen ........

Beispielbilder XP ungelockt - Wallpaper XP

Rajo

Schritt 1 mit dem Avira Life Scanner ?

die original Bilddateien, sind das Bilder auf meinem Rechner vor und nach der Verschlüsselung?

Schritt 1 mit dem Avira Life Scanner ?

Nein OTLPE - ein OTL was auf CD bootbar ist - da der Rechner ja im moment nicht hochfährt !

1- Bitte vermeidet es die Platte an fremde Rechner anzuschließen - das ist wirklich mit einigen Schädlingen nicht zu machen -
das sage ich grundsätzlich

2- bitte decrypten grundsätzlich mit Kopien ! Decrypter die gleich das Original überschreiben sind absolutes NO GO



die original Bilddateien, sind das Bilder auf meinem Rechner vor und nach der Verschlüsselung?

Du hast nur gelockte Bilder auf dem befallenen Rechner - daher der Link zu ORIGINAL Beispielen - Windows Wallpaper
dein XP pfad >> C:\WINDOWS\Web\Wallpaper

der unlocker braucht ein locked- bild und ein sauberes - ! um daraus den Patch zu rechnen
der dann auf den Rest der dateien angewandet wird.

1. Der neue Typ des Schädlings lässt sich bisher noch nicht unlocken ....
   

Rajo

Mein Rechner funktioniert wieder.
Anscheinend arbeitet der Verschlüsseler nicht so schnell, hat nur 10 Dateien bei mir verschlüsselt. Die kann ich bei Gelegenheit mal durch die Originale wieder ersetzen.

Folgende Vorgehensweise scheint sinnvoll zum Entsperren des Rechners:

1. sofort wenn der Erpresserbildschrim erscheint den Rechner ausschalten
2. Avira Rescue CD erstellen und damit booten und scannen. Einstellung daß sofort gelöscht wird oder die angezeigten Dateipfade aufschreiben:
Windows/system32/10stelligeZeichenfolge.exe
Dokumente und Einstellungen/UserName/Anwendungsdaten/sinnlosesVerzeichnis(lgcleph)/dateiname.exe
3. wenn der Scanner die nicht schon gelöscht hat, dann mit einer Live-CD (z.B. OTLpe) unbedingt löschen, sonst geht der Spaß wieder los

Danach sollte der Rechner wieder normal booten

Das empfohlene Programm MBAM
http://download.bleepingcomputer.com/mal…/mbam-setup.exe
installieren und damit die Registry "reinigen"

Mehr, also das Entschlüsseln, geht bis jetzt ja nicht

Sind doch etwas mehr Dateien gelockt bei mir: ca. 4000
Das Teil fängt im Wurzelverzeichnis an und arbeitet dann rekursiv die Verzeichnisse alphabetisch ab.
Bei mir bis zu den Verzeichnissen 1 Ebene unter C: von A... bis C... nichts wichtiges betroffen.
Dateien und Einstellungen und natürlich Windows war noch nicht erreicht. Deshalb läuft mein Rechner wieder.
Uff, Glück gehabt.

Quoted from "Rajo"

Schritt 1 mit dem Avira Life Scanner ?

Nein OTLPE - ein OTL was auf CD bootbar ist - da der Rechner ja im moment nicht hochfährt !

1- Bitte vermeidet es die Platte an fremde Rechner anzuschließen - das ist wirklich mit einigen Schädlingen nicht zu machen -
das sage ich grundsätzlich

2- bitte decrypten grundsätzlich mit Kopien ! Decrypter die gleich das Original überschreiben sind absolutes NO GO



die original Bilddateien, sind das Bilder auf meinem Rechner vor und nach der Verschlüsselung?

Du hast nur gelockte Bilder auf dem befallenen Rechner - daher der Link zu ORIGINAL Beispielen - Windows Wallpaper
dein XP pfad >> C:\WINDOWS\Web\Wallpaper

der unlocker braucht ein locked- bild und ein sauberes - ! um daraus den Patch zu rechnen
der dann auf den Rest der dateien angewandet wird.

1. Der neue Typ des Schädlings lässt sich bisher noch nicht unlocken ....
   

Rajo

Hallo,

gibt es denn mittlerweile eine Möglichkeit die Dateien wieder zu entschlüsseln?

Quoted from "snow2004"

gibt es denn mittlerweile eine Möglichkeit die Dateien wieder zu entschlüsseln?

Ja die gibt es -
der Erfolg hängt davon ab - mit welcher Version der Malware der rechner infiziert ist
die neue macht Probleme .

Rajo

Der Trojaner manipuliert den Aufruf des Task-Managers, pärzise: der ist nicht mehr aufrufbar und ausführbar auch nach Säuberung des Systems.
Dazu über Start-Ausführen-Regedit aufrufen und die Registry nach taskmgr.exe durchsuchen.
Auf einem sauberen System sollten nur 2 Einträge zu finden sein:
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
HKEY_USERS\S-1-5-21 ...\Software\Microsoft\Windows\ShellNoRoam\MUICache
Andere Einträge zu taskmgr.exe können gelöscht werden (vorher ev. die Registry sichern und die zu löschenden Einträge aufschreiben scheint eine klasse Idee zu sein)