Forum
Tipps
News
Menu-Icon

Die meisten dateien auf einmal gesperrt

Hallo,

vor c.a. 1 stunde oder haben sich fast alle dateien wie Word etc gesperrt.

Als dateientyp steht da jetzt nurnoch "Locked-Datei"

Dazu war das auf meinem Desktop:

Your files are locked and encrypted with a unique RSA-1024 key!
To regain access you have to obtain the private key (password).
++++++++++++++++++++
To receive your private key (password):
Go to http://u5ubeuzamg54x5f3.onion.to and follow the instructions.
You will receive your private key (password) within 24 hours.
Your ID# is 28403489

If you can't find the page, install the Tor browser (https://www.torproject.org/projects/torbrowser.html.en) and browse to
http://u5ubeuzamg54x5f3.onion
++++++++++++++++++++
BEWARE - this is NOT a virus.
The ONLY way to unlock your files/data is to obtain your private key (password) or you may consider all your data lost.
You have just 5 days before the private key (password) is deleted from our server, leaving your data irrevocably broken.
++++++++++++++++++++
LOCKED ON POSSESSION OF COPYRIGHTED MATERIAL AND SUSPICION OF (CHILD)---OGRAPHIC MATERIAL.


Systemwiederherstellung ging nicht.

was soll ich tuhen?

mfg



Antworten zu Die meisten dateien auf einmal gesperrt:

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Nun ist so etwas ähnliches wie der Bundespolizeitrojaner
Hier lies mal
http://www.trojaner-board.de/147099-locked-readme-to-unlock-txt-verschluesselungs-virus.html
Ob diese Dateien nun tatsächlich Verschlüsselt sind, weis ich nicht. Habe mit mit diesem Trojaner noch nichts zu tun gehabt, wurde ich aber trotzdem versuchen, diese Dateien mit einer Linux von CD uder USB Stick zu retten. Danach alles PLATT machen und neu Aufsetzen.
Hier eine Anleitung für Datenrettung
http://blog.botfrei.de/2012/03/datensicherung-mit-parted-magic/

« Letzte Änderung: 17.01.14, 15:56:46 von Hannibal624 »

Hi!

Ein interessanter Virus... würde mir den gern mal genauer ansehen

Schau mal in der Regestry was dort für die Dateiendung von Word-Dokumenten für ein Eintrag vorliegt
ansonsten schau mal welche Dateiendung das Dokument jetzt hat.

Auch wäre es interessant zu sehen ob der Virus auch im abgesicherten Modus "aktiv" ist... die meisten dieser Billig"Trojaner" waren selbst dazu zu dämlich entwickelt...

Die meisten davon waren auch so dämlich entwickelt, dass man sie durch entfernen beseitigen konnte...

In dem Link von Meister Hannibal findest du ja bereits die Erklärung welcher Trojaner das ist und wie man ihn entfernt...

Wegen den Daten, wärst du bereit mir einige der Locked und selbige als Original zur verfügung zur stellen?

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

hey falke

Malewarebytes:

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 249591
Laufzeit: 4 Minute(n), 33 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\mücahit\AppData\Local\Temp\NBj27xt2TijUNe8.exe (Trojan.FileCoder) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Ich habe diese ganzen encypter etc versucht aber sie sagen immer nur nicht identisch. obwohl es das backupp davon war...

mit "ScareUncrypt" hat es jedoch geklapptt habe eine schluessel.bin erstellt und hat mir dann trozdem nichts gebracht.

leider habe ich keine ahnung, was du mit dieser registry oder so meinst ^^

diese viren sind eine neue generation von programmen... bei einigen war die vorgehensweise so:

Die dateien wurden in .rar gepackt, verschlüsselt
dann wurden die ursprungsdaten gelöscht
dann die .txt hinterlegt
Im Hintergrund wurden dann svchost.exe manipuliert und eine password.exe im Hintergrund laufen lassen um den Angreifer zu informieren...

Bei den daten dieser Malware handelt es sich allerdings nicht um RAR-Archive...

Ich versuche grad noch rauszufinden um welche Dateiart es sich bei diesem Dateityp handelt... (also wirklich und nicht den angezeigten)
Mir hat ein Tool bereits ausgespuckt, dass es sich um ein gepacktes Format handelt... die Frage ist nun welches

- sry für doppelpost -

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

habe jetzt mein laptop wieder zurückgesetzt, hoffe es ist jetzt weg

und was ist mit den dateien?

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

die meisten sachen sind weg, zum glück hatte ich noch paar sehr wichtige sachen abgesichtert  :-X

Die leute die die Malware entwickelt hatten waren so schlau ein Programm zu verwenden was nur als "Package" identifiziert wird... Dieses Programm scheint entweder selbstentwickelt zu sein oder sehr exotisch... aber dennoch lässts darauf schließen, dass das was wir da sehen nicht mehr als ein Archiv ist....

.tar.gz
.tar
.gz
.rar
.zip
.rpm

davon isses schonmal keins, es wurde wohl nen exotischer Archivtyp verwendet

Ich habe ein LapTop mit dem gleichen Problem.
Alle Dateien haben ein neues Datum erhalten und in jeden Order kommt der Hinweis:

All files including videos, photos and documents on your computer are encrypted.

Encryption was produced using a unique public key generated for this computer. To decrypt files, you need to obtain the private key.

The single copy of the private key, which will allow you to decrypt the files, located on a secret server on the Internet; the server will destroy the key after a time specified in this window. After that, nobody and never will be able to restore files.

In order to decrypt the files, open site 4sfxctgp53imlvzk.onion.to/index.php and follow the instructions.

If 4sfxctgp53imlvzk.onion.to/index.php is not opening, please follow the steps below:

1. You must download and install this browser http://www.torproject.org/projects/torbrowser.html.en
2. After installation, run the browser and enter the address: 4sfxctgp53imlvzk.onion/index.php
3. Follow the instructions on the web-site. We remind you that the sooner you do, the more chances are left to recover the files.

IMPORTANT INFORMATION:

Your Personal CODE: 00000001-4FE71135

Dieser Hinweis ist in drei Formaten und habe das gleiche Datum und Zeit.

Ich würde gerne die Dateien retten. Habt Ihr etwas mehr herausgefunden.

Dafür müsste ich erstmal ein paar Dateien bekommen um damit rumzuspielen und mir den Virus genauer ansehen können ^^

Ich kann Dir diese schon senden. Ist dies nicht ein wenig gefährlich für Deine Dateien.

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Wird vermutlich nicht weiterhelfen. Habe mich ein wenig schlau gemacht über diese "Ransomware".
Um deinen Code, welcher vermutlich auch nicht hilft, zu erhalten musst du dir den "TOR Browser" downloaden. Dieser erschwert die Auffindung des Urhebers. Mit diesem wirst du auf eine Seite geleitet wo du aufgefordert wirst 100,. Euro zu bezahlen. Das weitere kennen wir ja. Hier einige Seiten über diese Malware.
https://www.google.at/search?q=+Your+files+are+locked+and+encrypted+with+a+unique+RSA-1024+key!&ie=utf-8&oe=utf-8&rls=org.mozilla:de:official&client=firefox-a&channel=sb&gws_rd=cr&ei=W9H5UuqdNJKThgesiYDgAw
Kannst du durchsuchen, möglich dass du eine Lösung findest.

Es gibt diesen Virus mitlerweile in unzähligen varianten... einige davon lassen sich leichter umkehren, andere schwieriger... es is dennoch möglich dass ich es schaffe diese "Verschlüsselung" umzukehren... am hilfreichsten wärs natürlich ein exakt gleiches dokument als original und als verschlüsseltes zu haben...

Wegen dem Virus mach dir mal keine sorge, ich halte es für unwahrscheinlich, dass der sich in den dokumenten eingenistet hat, zumal ich damit umzugehen weiß ^^

wäre gut wenn wir uns demnächst mal online in nem chat o.ä. zusammensetzen, oder ich zugriff bekomme auf den verseuchten pc

die dokumente kannst du mir aber schonmal über mein mailpostfach im forum schicken

wichtig ist, dass dein system schonmal nach netzwerkzugriffen und manipulierten hintergrundprogrammen gescannt wird, um herauszufinden, ob der virus noch aktiv ist und möglicherweise über das internet kommuniziert

Ich will da auf jeden fall dranbleiben, ich finde den virus extrem interessant

unter
http://www.trojaner-board.de/147099-locked-readme-to-unlock-txt-verschluesselungs-virus.html

findest du originale und verschlüsselte Dateien von mir.
Darfst dich gerne dran austoben.

Würde mich riesig über eine Lösung freuen ;)

Hast du deinen PC bereits neu aufgesetzt?
Wenn nicht, hast du bereits was mit Schattenkopien versucht?


« Outlook 2013 Port ändernname von bad programm gesucht. »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Word
Das Programm Word ist ein Textverarbeitungsprogramm aus dem Hause Microsoft und wird auch MS Word oder einfach auch nur Word genannt. Dieses Programm wurde ursprüngl...

Desktop
Als Desktop bezeichnet man die Arbeitsoberfläche eines Computers. Der Desktop ist nichts anderes als eine grafische Benutzeroberfläche (Graphical User Interface...

YouTube
Ist ein 2005 gegründetes, in zwölf Sprachen verfügbares Internet-Videoportal, dass sich weltweiter Popularität erfreuen darf. Durchschnittlich werden ...