Thema: BKA VERSCHLÜSSELUNG VIRUS NEUESTE BAUART

[carlo]

Hallo ,
ich brauche einmal eure Unterstützung.
Folgendes Problem:
BKA Virus neuester Art, hat Dateien und Ordner VERSCHLÜSSELT.
........................ Nein, war nicht auf unseriösen Seiten.Dieser Virus kommt per Mailanhang ( z.B. im Betreff : Ihre Bestellung von BLABLABLA ...Rechnung siehe Anhang) Obwohl nichts bestellt wurde.(Ist wie Massenbriefsendung an alle Haushalte, wer reagiert und wer neugierig ist und diesen Anhang öffnet hat schon verloren.
ALLE DATEN WERDEN WIRKLICH VERSCHLÜSSELT.
Beispiel:
Eine Datei wurde gespeichert unter ( Marzipan.doc )
Nach Befall (Verschlüsselung lautet der Dateiname ( locked-Marzipan.doc.rzrz )

Ich habe schon mehrfach BKA Viren älterer Machart beseitigt, ging eigentlich einigermaßen, da die Daten ja nur versteckt waren.
Hier kommt man nicht einmal mehr in den  abgesicherten Modus.
Den Bildschirm mit den Auswahlmöglichkeiten der Startoptionen kann man noch erreichen über die F8 Taste. Wählt man jetzt zum Beispiel Abgesicherter Modus mit Eingabeaufforderung, startet der PC neu und man ist wieder da wo man nicht hin wollte, ( STARTBILDSCHIRM mit U-Cash Aufforderung.
Kurz und Gut,:
wurde entfernt mit Kaspersky ( von cd gebootet und gereinigt )Alles auf C:

Überraschung war, das nach der Reinigung keine Pers. Daten und Ordner geöffnet werden können, da VERSCHLÜSSELT siehe OBEN.
Weitere Überraschung war und ist, das alle Sicherungen, die auf einer zweiten Partition abgelegt wurden ebenfalls VERSCHLÜSSELT worden sind.

Dies habe ich nicht geahnt, wollte Daten zurück sichern, UND NUN ? das.
Habe schon einige Tool ausprobiert von Trojaner Board.de

http://www.trojaner-board.de/114224-avira-ransom-file-unlocker.html

http://www.trojaner-board.de/114115-wiederherstellung-verschluesselten-dateien-rechnung-exe-realtecdriver-exe-schadsoftware-7.html#post820437

http://www.trojaner-board.de/114345-trojan-matsnu-1-tool-verschluesselungs-trojaner.html

Immer werden zum Entschlüsseln 1x Original-Datei und 1x Verschlüsselte Datei benötigt um den Schlüssel ausfindig zu machen,
PROBLEM ist aber, ich habe keine Originaldatei mehr, da die Sicherung ja auch Verschlüsselt wurde.

Hatte selbst auch die geniale Idee die Windowsbilder zu verwenden, l........leider auch Verschlüsselt.

Würde mich über Rat und Tipps und Anregungen freuen, Hier geht es mal eben nur um Ca 800 Dokumente.
PS:
Ist schon ganz schön dreist von diesen Abzockern, wo soll man denn jetzt noch mit seinen Daten hin ?

MfG

carlo

[Baldrian]

Also zu dem Virus direkt kann ich nichts sagen, aber wenn du einmal die origanl Datei brauchst und einmal die versclüßelte, dann war deine Idee mit den Windows-Bildern doch schon super.
Du hast die verschlüßelten und die originalen bekommst du doch von jedem anderen Rechner (der nicht befallen wurde).
Damit kannst du dann doch arbeiten oder nicht?

 

[carlo]

Hi, nee das geht nicht einfach so.

Weil die Originaldatei und die verschlüsselte Datei exakt gleich groß und identisch vom Inhalt sein müssen.
( z.B. Original ist 55 Kb Verschlüsselt ist dann auch 55 Kb )

Habe heute Nacht bis um 3.00 Uhr ca 180 Dateien verglichen bis ich eine gefunden habe die passt.
Mal war es  1 Kb zu viel mal 3 zu wenig bis endlich eine gefunden war.

Entschlüsselt habe ich jetzt mit :
http://matthi.org/DecryptHelper-0.5.3.jar

Danke an dieser Stelle auch an Matthias von der Seite www.trojaner-board.de
der dieses tool wohl erstellt hat, läuft super, auch schon in diese Phase.

Als Admin ausführen , ist selbsterklärend. Den erstellten Schlüssel unbedingt Speichern.
Danach ist der Schlüssel noch im Programm geladen. Bei Neustart des Programm`s den Schlüssel Laden.
Am besten über Ordner entschlüsseln arbeiten (nimmt alles was im Ordner ist und entschlüsselt )
Danach die noch vorhandenen verschlüsselten Daten löschen oder anderweitig speichern ( entsorgen ).

Habe auf diese Art 743 Dateien retten können.
Ach ja :
Auf eigene Gefahr! Vorher (auch die verschlüsselten) Dateien sichern!
Die verschlüsselten Dateien nicht löschen, auch wenn die Entschlüsselung auf den ersten Blick erfolgreich war!
Eventuell kann der Schlüssel ja noch anderweitig benutzt werden ?
Muss ich mal abwarten.

MfG

carlo

[carlo]

Hallo @ all,
Nachtrag zu Trojaner BKA.

Den oben  benannten Schlüssel kann man nicht für eine
andere Entschlüsselung verwenden.
Daten müssen vom gleichen PC sein.

Achtung !!!!!

Eine Merkwürdigkeit ist mir aber durch Zufall aufgefallen.

Jetzt kommt`s,........

Der Befallene PC (mit BKA ) alles angeschlossen war  blockiert.
Der Befallene PC (mit BKA ) ohne Internetanschluss ??!!!
hier konnten noch Datengesichert werden , allerdings Verschlüsselt.
Mit Internet war kein Zugriff möglich.

Ob das bei anderen auch so ist, konnte ich bis dato nicht Testen.

Wie kommt das BKA Virus auf den PC???

Ein Weg auf den PC ist eine Mail von der Post !!!!
Hier wird einem mitgeteilt, das eine Sendung vom Paketdepot abzuholen sei,
der Kode oder die Sendungsnr. befinden sich in dem ANHANG.

Wer diesen öffnet hat schon verloren.
Beim nächsten PC Start ist es dann so weit  ( BKA läst Grüßen )

MfG

carlo

[carlo]

Hallo @ all,
Habe mal wieder etwas neues vom BKA- Trojaner in die Finger bekommen.

Sollte vor 2 Wochen einen BKA -Trojaner vom Laptop entfernen und durch die Hintertür noch Daten sichern.

Der Trojaner musste erst weg, um an Daten in einigen Programmen zu kommen.

Musste leider feststellen das DER auch ein BIOS PASSWORT gesetzt hatte.
Konnte weder von DVD noch von USB starten.

Der Kunde ( wenig Ahnung vom Bios und so ) und ich (hatte den PC schon einmal
in den Händen) sind uns sicher kein BIOS Passwort gesetzt zu haben.

Ist oder währe so etwas möglich?

Musste den Halben Laptop zerlegen, um an die BIOS-Batterie zu kommen (wegen Reset des BIOS.)
So etwas verbautes habe ich lange nicht gesehen.
Scheint aber immer schwerer zu werden, je flacher diese Dinger werden.

Letztendlich alles geschafft nach schon beschriebenen Methoden.

MfG

carlo

[Vadder60]

Hallo carlo,
wenn sich ein Virus in den Bootsektor eingeschleust hat, dann kann es sein,
dass du nicht in das BIOS kannst.

Gruß
Vadder60