RSA 2048 - Lösegeld Trojaner

FreestyleSkier

Cadet 4th Year
Dabei seit
Okt. 2008
Beiträge
96
Hallo,

ein Bekannter von mir hat sich leider einen Lösegeldtrojaner eingefangen.

Dieser Trojaner hat sämtliche Dateien, inkl. die auf dem Netzlaufwerk, laut ihm mit RSA 2048 verschlüsselt.

Gibt es hier irgendeine Weg, die Daten zu entschlüsseln ohne das Lösegeld zu bezahlen?

Habe schon sämtliche Googleeinträge durchforstet aber nichts nützliches gefunden.

Mfg
 

ThePhantom

Cadet 2nd Year
Dabei seit
Nov. 2015
Beiträge
27
Also, mehr finden tue ich auch nicht.

Mit Admin-Rechten das Avira Tool gestartet?

Weitere Möglichkeit, die Festplatte auszubauen und das ganze an einem Fremd PC zu probieren.

Wohl möglich, dass der Trojaner Sämtliche Tools aussperrt.
 

FreestyleSkier

Cadet 4th Year
Ersteller dieses Themas
Dabei seit
Okt. 2008
Beiträge
96
Das Entfernen des Trojaners wäre nicht das Problem. Neuinstallation des PCs wäre ebenfalls kein Problem, nur die Daten auf dem Netzlaufwerk sind ziemlich Wichtig und wären von äußerster Bedeutung wenn diese noch zu retten wären.
Leider gibt es von dieser Version kein Backup das eingespielt werden kann.
 

ThePhantom

Cadet 2nd Year
Dabei seit
Nov. 2015
Beiträge
27
Also ganz Ehrlich, so Wichtig sind die Daten doch nicht.

Wenn das so wäre, hätte man keine kosten und Aufwand gescheut um Backups davon zu machen..
 

R4Z3R

Lieutenant
Dabei seit
Dez. 2006
Beiträge
612
Wenn die Daten wirklich wichtig sind und die Recherche ergibt dass die Daten danach freigeschaltet werden: Zur Tanke und halt nen 50er Lehrgeld zahlen. Wenn dich jemand auf der Straße erpresst, würdest du wohl auch lieber 50€ zahlen statt mitanzusehen wie der Schurke deine Festplatte mit privaten Daten zerhäckselt.

Die Chance dass da irgendein Ermittler was für dich tun wird oder kann geht sowieso gegen Null.

Blöd gelaufen, aber Gelegenheit dazuzulernen - denn um sich das Ding einzufangen muss man wohl so einige offensichtliche Warnrzeichen übersehen.
 
Zuletzt bearbeitet:

Hanne

Fleet Admiral
Dabei seit
Jan. 2007
Beiträge
26.092
WIN im "Abgesicherter Modus" gestartet ? Versucht ?

Wenn es funktioniert > "Autostart" - leeren

Hatte noch bei WIN _ 7 > eines Bekannten so verfahren können -

Wiederherstellung oder BACKUP nicht vorhanden ?

"RSA 2048 verschlüsselt" muss nicht unbedingt geschehen sein -
 
Zuletzt bearbeitet:

Volume Z

Lt. Commander
Dabei seit
Juli 2014
Beiträge
1.540
Möglicherweise rettet das hier die Situation:

http://www.trojaner-board.de/166352-erpresservirus-help_restore_files-txt-rsa-2048-key-torproject-org.html#post1460461

http://www.effecthacking.com/2015/04/how-to-decrypt-or-restore-ransomware-encrypted-files.html

Die Umgebungsvariable %appdata% öffnet C:\Users\Bekannter von Dir\AppData\Roaming (standardmäßig versteckt). Wenn Du dort keine key.dat findest, gehe eine Ebene höher. Ich bin mir nicht ganz sicher, ob sie Roaming meinen oder AppData.

Gruß, VZ
 
Zuletzt bearbeitet:

Raybeez

Lt. Junior Grade
Dabei seit
Dez. 2006
Beiträge
447
Google nach dem exakten Namen des Schädlings. Wie auch Volume Z schreibt gibt es bei manchen dieser Schädlinge Abhilfe, weil Schlüssel bekannt sind.

Aber das trifft bei weitem nicht auf alle Verschlüsselungs-Malware zu! Zur Not eben das Lösegeld bezahlen und hoffen, dass der Erpresser den Schlüssel rausrückt. Laut FBI soll das aber oft der Fall sein.
 

Dante_dmc

Lieutenant
Dabei seit
Sep. 2008
Beiträge
759
ESET Online Scanner hilft in vielen Fällen um zumindest Backups zu machen und dann das System neu aufzusetzen, ebens Malwarebytes. Wobei ersteres oft noch ein bisschen besser ist, damit habe ich einen ähnlichen BKA Trojaner bei jemand entfernt, zwar nicht restlos aber das System lief wieder. Aber nur eine Neuinstallation verschafft Sicherheit.

Zahlen würde ich 0!

Das hilft bestimmt nicht. Dazu gibt es das Trojaner Board, die helfen bestimmt. Computerbase ist da nicht die beste Anlaufstelle.

Aber ehrlich, schon wirklich fahrlässig so die Daten zu sichern, das sollte man auf diversen Datenträgern tun, sofern die Datenmengen nicht so riesig sind. Im Zweifel Externe HDs anschaffen und die immer schon nach backup vom System trennen. So teuer ist das nicht.

Geh am besten zum Trojaner Board und frag die um Hilfe, auch wenn es mühselig ist, die schaffen das am Ende. Aber System danach platt machen und neu aufsetzen,. nur dann ist es wieder sicher.
 

PsychoPC

Banned
Dabei seit
Mai 2010
Beiträge
6.719
Und wenn du Zahlst oder dein Kollege ändert es sich auch nicht :o

Versucht mal die Systemwiederherstellung im Abgesicherten Modus wichtig lasst den PC von inet getrennt, Schaut in den Taskmanager nach aktive unbekannten Prozesse diese Beenden dann ladet euch woanders vom nem PC oder Laptop ADWcleaner herunter diesen auf nem USB stick packen.
Sollten Ordner auf der Festplatte nicht auswählbar sein versucht es mit dem Tool unlocker zu entsperren, unter der seite
https://toolslib.net/downloads/ findet ihr weitere Downloads bitte erst Beschreibung durchlesen.
Das Netzlaufwerk würde ich erstmal aus dem Netz lassen nach dem Windows neuinstallation würde das Laufwerk wieder einrichten und das Problem Lösen.

Irgendwas von Avira nutzten bringt nichts wie man sieht findet ja nichts
 

FreestyleSkier

Cadet 4th Year
Ersteller dieses Themas
Dabei seit
Okt. 2008
Beiträge
96
Danke für die vielen Infos!

Auffallend ist auch, dass nur "gängige" Dateien wie z.B.: Office, pdf, usw "verschlüsselt" worden sind. Restliche Dateien wie .rtf, Sicherungen eines Buchhaltungsprogramms, etc. sind nicht verschlüsselt.
Könnte das ein Hinweis darauf sein, dass es sich hier um einen "nicht" so guten Trojaner handelt?
 

TrustN0_1

Lt. Commander
Dabei seit
Juni 2009
Beiträge
1.271

purzelbär

Admiral
Dabei seit
Feb. 2012
Beiträge
7.358
FreestyleSkier, hier kommst du nicht weiter, wie schon empfohlen probier dein Glück im Trojaner Board die haben täglich mit verschiedensten Infizierungen auch mit den Verschlüsselungs Trojanern/Ransoms zu tun und wissen auch ziemlich zeitnah ob es noch Rettung gibt für die verschlüsselten Dateien oder nicht. Für die Zukunft: kauft euch externe USB Festplatten und macht darauf regelmässig zum einen sog. Systembackups und zum anderen ebenso regelmässige Sicherungen wichtiger Dateien und schaltet die USB Festplatten nur dann an wenn die verwendet werden müssen und danach gleich wieder aus/weg vom System.
 

Kronos60

Commander
Dabei seit
Feb. 2015
Beiträge
2.418
Also zahlen würde ich nicht, ich habe zwar mal in einem Thread gelesen das nach Bezahlung wirklich mal ein Entschlüsselungstool zugeschickt wurde, das Risiko ist jedoch groß, dass diese Kriminellen einfach das Geld nehmen. Und wie schon gesagt wichtig konnten die Daten nicht sein, wenn sie wichtig sind, dann sichere ich sie in zwei oder dreifacher Ausführung auf unterschiedlichen Datenträgern. Also für die Zukunft eine externe Festplatte kaufen und nur zur Sicherung anschließen.
 
I

IRON67

Gast
FreestyleSkier, hier kommst du nicht weiter, wie schon empfohlen probier dein Glück im Trojaner Board die haben täglich mit verschiedensten Infizierungen auch mit den Verschlüsselungs Trojanern/Ransoms zu tun
Und auch die können ihm nichts anderes sagen. Gehen dem TB die "Kunden" aus, dass du hier abwirbst? Die diversen Entschlüsselungstools funktionieren nur für bestimmte Varianten mit viel Glück. Welche Variante ihn erwischt hat, ist unklar. Kapersky bietet z.B. einen Decryptor für Bitcryptor und Cointvault. Trotzdem kanns sein, dass auch der versagt.
 
Top