@deraddi
Ich schick dir morgen oder übermorgen eine pm. Mach dir keine große Hoffnung. Da sind wir beide längst tot bis CUDA das erste Bild entschlüsselt hat. Falls es sich nur um Multimediadateien und um Bilder handelt, dann hast du aber trotzdem gute Chancen mit Reparaturprogrammen diese Dateien zurückzuholen. Es sind "nur" die ersten $3000 Bytes einer jeden Datei kaputt. Jpgs sind robuste Dateien. Viele Leute auf dem Trojaner-Board hatten Erfolg mit der Reparatur von verschlüsselten Bildern. Schau mal hier.
http://www.trojaner-board.de/116851-...tml#post842337
An deiner Stelle würde ich es mit Datenrettung versuchen.
@Zuelpich53
Zitat:
Der Trojaner wurde zwar von einer Computerfirma gelöscht, jedoch alle Daten sind verschlüsselt.
Falls die Daten der Buchhaltung mit der neuen Variante des Trojaners verschlüsselt worden sind, dann gibt es leider momentan keinen Weg die Daten zu reparieren. Es besteht auch keine Hoffnung, dass sich das bald ändert. Tut mir leid.
Eine winzig kleine Chance an halbwegs aktuelle Daten zu kommen besteht vielleicht noch. Einige Programme löschen während des regulären Betriebs alte Datendateien um Platz für die aktuellen Datendateien zu schaffen. Manchmal kann man gelöschte Dateien wieder herstellen. Eventuell findet sich noch eine gelöschte Buchhaltungsdatei mit der du weiterarbeiten kannst. Die Chance darauf ist klein aber ein Versuch wert. Mit einem Opfer hatte ich Kontakt der auf diesem Weg eine wichtige Datei zurück bekam. Man braucht aber eine Menge Glück damit das gelingt.
Auch haben einige Betroffene Dateien wieder über sogenannte "Shadowkopien" zurückbekommen können. Dieser Weg ist nur möglich, wenn der entsprechende Dienst auf deinem Computer gestartet war.
Noch eine letzte Hoffnung besteht im Allgemeinen - bei dir eher nicht da eine Computerfirma den Computer bereits untersucht hat. An anderer Stelle habe ich geschrieben:
Bei Kleinunternehmern werden oft Arbeitsplätze auch als Datenbankserver eingesetzt. Datenbankserverprogramme (
mssql,
mysql,firebird usw..) starten normalerweise früher als diese Malware und öffnen Datenbankdateien auf eine Art die es der Malware unmöglich macht diese zu verschlüsseln. Sollte ein solcher Computer betroffen sein, dann hat man beste Chancen diese Datenbankdateien unbeschädigt vorzufinden. Es lohnt sich das zu prüfen, da in diesen Datenbankdateien oftmals die Faktura/ Fibu/ Terminverwaltung usw. steckt.
Mehr kann ich dir momentan leider nicht helfen, Zuelpich. Das Trojaner-Board ist eine exzellente Anlaufstelle für Betroffene. Dort findet man eine Menge Informationen und kompetente Ansprechpartner zu diesem gemeinen Virus. Es ist mit Sicherheit die Zeit wert dort vorbei zuschauen.
@zeras
Zitat:
Neu formatieren sollte doch reichen oder?
Bei Version 1.150.1 kann ich sicher sagen, dass es reicht. Bei der Version 2.000.11 weiß ich mit Sicherheit, dass der injected Code nichts macht was ein Überleben nach einer Formatierung ermöglicht. Allerdings habe ich den Loaderteil der Version 2.000.11 noch nicht genau untersucht. Ich bin mir aber fast sicher, dass da auch nichts zu finden ist. Der Trojanerprogrammierer hat bisher nicht die geringsten Anstalten gemacht irgendetwas zu verheimlichen oder hartnäckig durchzusetzen. Es gibt keine "Tricks" die man sonst in Malware findet. Der Erpresser setzt einfach auf Quantität in jeder Beziehung und spart sich die Arbeit.
Zitat:
Ich habe nun versucht, mit einer Live CD zu starten. Irgendwie geht das nicht, obwohl ich eigentlich die CD als 1. Bootmedium eingestellt hatte. Es startet nun Windows normal hoch, aber der Ukash Bildschirm kommt nicht mehr.
Startet auf diesem Computer eine Windows-InstallationsCd? Ist vielleicht die LiveCd kaputt?
Der Ukash-Desktop sollte zu sehen sein. Läuft auf dem Rechner eine Sicherheitssoftware die spät, aber nun doch noch aufgewacht ist?
Viele Grüße
Marcu