Hallo zusammen!
Ich war gerade bei einem Freund, bei dem ein Virus zugeschlagen hat. Es ist das erste Mal, dass ich so ein Exemplar zu Gesicht bekomme: Das Ding hat alle Dokumente auf dem System, egal ob auf c: oder auf d:, verschlüsselt.

Ein Beispiel:

Datei vorher: jkdefrag.exe
Datei jetzt: Xtdj4kg56jnnm

Ich habe mal etwas gegoogelt und Berichte über einen ähnlichen Virus gefunden. Hier heißen aber die Dateien "jkdefrag.exe.lock.g45jjfh37" oder so ähnlich. Da konnte man mit Hilfe eines DecryptHelper und einer Rerenzdatei einen Entschlüsselungs-Schlüssel (schönes Wort) erstellen. Habe das probiert, aber ohne Erfolg.

Was kann ich noch tun?

Klarer Fall für:
http://www.forum-3dcenter.org/vbulletin/showthread.php?t=511819

Häufig haben die Verschlüsselungsviren auch eine Bezahlfunktion zum wieder entschlüsseln, sonst würde sich das für den Virenschreiber doch gar nicht lohnen ;D

mmm...

Rescue-CD schnappen und das System scannen. Wenn das Teil erkannt wird, Namen im Internet suchen und hoffen, dass dafür die Entschlüsselung bekannt ist.
Ansonsten das System durchsuchen und hoffen, den Schädling zu finden und einen Namen herauszubekommen.
Vorher aber besser mit einer Linux-CD booten und alle noch vorhandenen Dateien sichern.

Botfrei.de (https://www.botfrei.de/) mit dem angeschlossenen Forum ist eine sehr gute Anlaufstelle für das Problem. Da BSI und eco im Boot sind, ist es hochgradig seriös.

Schau man hier: http://www.trojaner-board.de/ (http://www.trojaner-board.de/116851-daten-retten-verschluesselungstrojaner.html)

Er hat den Virus an sich schon mit Avira entfernt. Habe mir von den Berichten dort einen Screenshot gemacht. Werde auch mal das Trojanerboard versuchen. Nasty little bugger... :frown:

Häufig haben die Verschlüsselungsviren auch eine Bezahlfunktion zum wieder entschlüsseln, sonst würde sich das für den Virenschreiber doch gar nicht lohnen ;D

In der Regel wird durch diese Funktion aber nichts entschlüsselt. Es wird nur das Geld einkassiert und die Daten bleiben verschlüsselt.

Bei Kunden hat wie zb der BKA Virus immer die RecueCD mit Combofix zu 90% geholfen.
Böses böses ucash xD

http://bka-trojaner.de/

Für die neue Variante der Verschlüsselungstrojaner gibts noch kein funktionstüchtiges Tool. Man kann gerne die verschlüsselten Daten erstmal wegsichern, bis vlt ein Tool auftaucht, dass hilft. Aber wenn der Verschlüsselungs-Algorithmus vernünftig geschrieben ist, und die Verschlüsselungs-Passphrase nicht bekannt ist, wird es sogut wie unmöglich, an die Daten wieder ranzukommen. Hier kann man dann nur hoffen, dass Backups vorhanden sind, ansonsten hat man bei wichtigen Daten ein echtes Problem!

mfg Oli

PS: Bei meinem letzten Fall war es ne Variante des "Windows-Update"-Trojaners.

Es ist der "Jorik.Zbot.dkw"... das ist die Variante ohne diese "locked".Dateien, für die es laut Trojaner-Board 8 mögliche Entschlüsselungsprogramme gibt. Nur für diese Variante gibt es offenbar nichts, das wurde zumindest im Delphi-Forum diskutiert...

Windows 7? War der Computerschutz aktiviert? Dann könnte man zumindest versuchen, eine vorherige Version wiederherzustellen. Hat schon bei einigen unserer Kunden funktioniert. Standardmäßig ist das aber nur auf C: angeschaltet.

Ja, Windows 7. Du meinst die Systemwiederherstellung? Habe ein Backup von einer Woche vor der Infektion zurücksichern lassen, aber die Dateien sind immer noch verschlüsselt.

er meint die "Vorherigen Versionen". Rechtsklick auf C und Vorgängerversion wiederherstellen wählen.

Ach diese Schattenkopie-Geschichte... muss ich mal per Teamviewer bei ihm nachsehen, hab das selbst nie benutzt.

Ja, Windows 7. Du meinst die Systemwiederherstellung? Habe ein Backup von einer Woche vor der Infektion zurücksichern lassen, aber die Dateien sind immer noch verschlüsselt.
.... Okey.... sonst das Backup mal auf einer anderen Platte installieren oder hing es mit an dem PC und ist mit verseucht ?

Avira hatte auch einige Funde innerhalb der Wiederherstellungsdateien gemeldet, aber nicht den speziellen Jorak.Zbot.dkw.

Hab heute in der Firma erstmal eine Rundmail geschrieben und nochmal um erhöhte Skepsis gebeten. Ich frage mich, ob so ein Virus im schlimmsten Fall sogar Netzlaufwerke verschlüsseln könnte... nicht auszudenken. Ist zwar ein Trendmicro mit allen möglichen Plugins im Einsatz, aber 100%igen Schutz gibt kein Virenscanner...

Klar geht das, solang Schreibrechte existieren. Aber von den Netzlaufwerken sollten doch in jedem Fall Backups existieren, falls der Fall mal eintrit?
(kommt ja öfter vor, dass jemand was löscht, was er doch noch braucht)