Crypt0l0cker entschlüsseln? Bitte um schnelle Antwort

myst02

PC-Selbstbauer(in)
Crypt0l0cker entschlüsseln? Bitte um schnelle Antwort

Hey,

ein Freund von mir hat einen Link aus einer E-Mail geöffnet, woraufhin sich die Malware Crypt0l0cker auf seinem PC installiert und alle Dateien verschlüsselt hat. Kann man die Dateien wieder entschlüsseln. ohne zu bezahlen? Habe das Programm TorrentUnlocker versucht, da Crypt0l0cker ja auf TorrentLocker basiert, jedoch hat es nicht funktioniert.

Ich konnte die alten Dateien zwar mit einem Recoverytool wiederherstellen, aber die Dateien sind alle nur nummeriert und haben nicht mehr die alten Dateinamen (file001.xlsx, file002.xlsx usw.). Kann ich diese vielleicht irgendwie wieder in die alten Ordner mit dem selben Dateinamen einordnen?

Ich hoffe dass es noch eine Möglichkeit gibt, da mein Freund die Dateien dringend geschäftlich benötigt.

Danke im Voraus schonmal an alle für ihre Tipps!

LG
 
AW: Crypt0l0cker entschlüsseln? Bitte um schnelle Antwort

Da hilft nur ein vorhergemachtes aktuelles Backup. Dieses aber natürlich erst nach einer Neuinstallation anschließen.

Bei den geretteten Dateien wird wohl ein manuelles umbenennen fällig. Die Nummerierung kommt daher, das die Dateien direkt aus den Sektoren ausgelesen (Carving) wurden (werden ja beim normalen Löschen nicht überschrieben). Da fehlen dann aber alle Meta-Daten (Name, Speicherort, Datums usw.) die im Dateisystem abgelegt werden.
 
Zuletzt bearbeitet:
AW: Crypt0l0cker entschlüsseln? Bitte um schnelle Antwort

Meines Wissens nach gibt es derzeit keine Möglichkeit der Entschlüsselung dieses spezifischen lockers. Backup einspielen geht aber in der Regel ohnehin wesentlich schneller, selbst mit komplettem neu aufsetzen des Systems ist das doch in einer guten Stunde gemacht.
 
AW: Crypt0l0cker entschlüsseln? Bitte um schnelle Antwort

Ich konnte die alten Dateien zwar mit einem Recoverytool wiederherstellen, aber die Dateien sind alle nur nummeriert und haben nicht mehr die alten Dateinamen (file001.xlsx, file002.xlsx usw.). Kann ich diese vielleicht irgendwie wieder in die alten Ordner mit dem selben Dateinamen einordnen?

Nein, diese Informationen sind nicht mehr vorhanden, das musste von Hand erledigen. Es ist schon Glück genug dass du überhaupt was entschlüsseln konntest (bei der meisten Ransomware haste gar keine Chance). Gegen solche Viren hilft nur eines nachhaltig: Regelmäßige Backups auf nicht dauerhaft mit dem PC verbundenen Datenträgern. Und: Keine eMails öffnen von denen man nicht 100% sicher weiß dass sie Schadcodefrei sind.
 
AW: Crypt0l0cker entschlüsseln? Bitte um schnelle Antwort

Wird wohl keine Entschlüsselung sein, sondern eher die Wiederherstellung der vom Trojaner gelöschten Originale. s.o.
 
AW: Crypt0l0cker entschlüsseln? Bitte um schnelle Antwort

Ok, das funktioniert aber nur dann wenn erstens der Trojaner so dämlich war nichts zu überschreiben, zweitens es eine HDD und keine SSD war (die gelöschte Daten üblicherweise innerhalb von Minuten wegtrimmt) und drittens die neuen verschlüsselten Dateien nicht zufällig über die alten geschrieben wurden was wahrscheinlicher wird je voller das Laufwerk war.
 
AW: Crypt0l0cker entschlüsseln? Bitte um schnelle Antwort

Normalerweise wird Trim doch einmal in der Woche ausgeführt. Alles andere würde doch sehr auf die Löschzyklen gehen.


Ich hab mir im ThreatFire einfach eine Regel gebastelt, die warnt (und den Prozess erstmal anhält), wenn ein Prozess mehrere Dateien hintereinander löschen will.
Somit wären nur 1-2 Dateien verloren. Man muss natürlich schauen, welcher Prozess es ist, bevor man auf Fortsetzen klickt - aber es wäre schon verdächtig, wenn die Warnung einfach so kommt, ohne laufende Installation o.ä.
Am Anfang war ich natürlich damit beschäftigt, bei alle möglichen bekannten Prozessen wie "C:\Windows\explorer.exe" auf immer erlauben zu klicken.

Sollte zumindest als zusätzliche Barrikade wirken, die ein Trojaner nicht erwartet. :D


@TE: Noch schnell für die Statistik, welches Antivirenprogram hatte dein Freund denn installiert?
 
Zuletzt bearbeitet:
AW: Crypt0l0cker entschlüsseln? Bitte um schnelle Antwort

@TE: Noch schnell für die Statistik, welches Antivirenprogram hatte dein Freund denn installiert?

Avira Free und ein abgelaufenes Trial von McAfee :(
Hatte den PC leider noch nie, sonst hätte ich das auf jeden Fall ersetzt...

Hab den PC als erstes gleich mal mit der Live CD gesäubert, die erkannte 50 Viren...

Jetzt hab ich für ihn den Bitdefender Internet Security gekauft und Avira und McAfee deinstalliert.
 
AW: Crypt0l0cker entschlüsseln? Bitte um schnelle Antwort

ehm ... 50 Viren und Crypto? ... mach das Ding platt, bitte!
 
AW: Crypt0l0cker entschlüsseln? Bitte um schnelle Antwort

Hat er keine Backups?!

Wenn crypto auf dem System war -> platt machen, im schlechtesten Fall holst du ihn dir ins backup...
 
AW: Crypt0l0cker entschlüsseln? Bitte um schnelle Antwort

Er hat Backups, aber da sind nicht alle Dateien enthalten die er braucht.

Crypto hab ich schon platt gemacht, hab den Prozess gefunden & gelöscht und die Registryeinträge gelöscht.
 
AW: Crypt0l0cker entschlüsseln? Bitte um schnelle Antwort

Hat er den Schattenkopedienst aktiviert? Vielleicht bekommt er darüber etwas wieder.
Ist aber normalerweise eher unwarscheinlich da die Dinger meist einen Befehl ausführen um die Schattenkopien zun löschen, bevor sie anfangen alles zu verschlüsseln.
Unter Umständen schlägt dieser Befehl aber auch manchmel fehl. Bspw wenn der Benutzer unter dem der Trojaner ausgefürht wird nicht über die nötigen Berechtigungen verfügt.
 
AW: Crypt0l0cker entschlüsseln? Bitte um schnelle Antwort

Mit so etwas auf dem PC würde ich auch kein Risiko eingehen und das ganzen Ding platt machen.
 
AW: Crypt0l0cker entschlüsseln? Bitte um schnelle Antwort

Mach das Ding Platt und setz ihn komplett neu Auf. Alles andere ist Murks
 
AW: Crypt0l0cker entschlüsseln? Bitte um schnelle Antwort

Hm, ja, es wird wohl nichts anderes übrig bleiben als neu aufsetzen. Wollte das eigentl. vermeiden da er sehr viele Dateien und Programme drauf hat...
 
AW: Crypt0l0cker entschlüsseln? Bitte um schnelle Antwort

Normalerweise wird Trim doch einmal in der Woche ausgeführt. Alles andere würde doch sehr auf die Löschzyklen gehen.
Vorsicht, das kommt auf hersteller und Firmware an - Samsung trimmt mindestens ein mal pro Stunde (dazu gabs einen Test aber frag mich nicht mehr wo der ist... evtl sogar mal in einer älteren Print...)! ;)
Die "Löschzyklen" sind dabei wurscht, wenn eine zelle neu beschrieben wird muss sie ohnehin gelöscht und neu programmiert werden - ob ich sie per Trim sofort lösche und 2 Wochen später beschreibe hat den gleichen Verschleiß.
 
Zurück