Kaspersky RannohDecryptor zum entschlüsseln von locked Dateien (Trojan-Ransom.Win32.Rannoh)

Veröffentlicht am von

Der Hersteller Kaspersky stellt mit dem Tool RannohDecryptor ein weiteres Werkzeug zur Verfügung, gegen die verschlüsselten Dateien im Format “locked-original Dateiname.Typ.1234″, die vom Verschlüsselungstrojaner verschlüsselt wurden sind.

Nachdem der Hersteller Avira seine Entschlüsselungssoftware “Avira Ransom File Unlocker” bereitgestellt hat, zog auch nur wenige Tage später der Anti-Viren Hersteller Kasperksy mit dem “Kaspersky RannohDecryptor” nach.
Ein Tool gegen den Verschlüsselungstrojaner, bekannt auch unter die Namen Trojan:W32/Ransomcrypt, trojan-ransom.win32.rannoh, trojan:win32/ransom.opv, Trojan-Ransom.Win32.Rannoh, Trojan.Crypt.EBJ, TR/Crypt.XPACK.Gen (Ransom.A), Trojan.Encoder usw., um die Dateien die im Format “locked-original Dateiname.Typ.1234″ vorliegen wieder zu entschlüsseln.

Ich persönlich hatte das Programm schon erfolgreich im Einsatz gehabt und könnte damit auf mehren Kunden PCs die Dateien wieder herstellen. In der Bedeinbarkeit gestaltet es sich recht einfach. Den “Kaspersky RannohDecryptor” starten, Einstellungen vornehmen und starten. Während des suchen nach den Dateien werden die gefunden gleich entschlüsselt. Finde es in der Bedienbarkeit sogar etwas besser als den “Avira Ransom File Unlocker“.

Der Kaspersky RannohDecryptor nach dem staren.

Kaspersky RannohDecryptor

Nach dem starten des “Kaspersky RannohDecryptor” öffnet sich die Benutzeroberfläche. Mit einem Klick auf “Change Parameters” kommt man in das Einstellungsmenü. Dies sieht dann so aus:

Der Einstellungsdialog (Parameters) des Kaspersky RannohDecryptor.

Kaspersky RannohDecryptor Einstellungsdialog

Dort wählt man die Laufwerke aus, auf denen das Programm nach locked Dateien suchen und diese wieder entschlüsseln soll.
Als zusätzliche Option wird hier noch das löschen von verschlüsselten Dateien nach dem Entschlüsselungsvorgang angeboten. Diese Option sollte man erst mal nicht aktivieren um zu schauen ob alle Dateien auch Ordnungsgemäß entschlüsselt wurden. Später kann man die locked Dateien manuell immer noch löschen.

Alle Einstellungen sind gemacht, dann kann man mit “Start scan” das suchen und entschlüsseln starten. Während des Scans wird der aktuelle Staus in Form von Laufzeit, wie viele verschlüsselte Dateien gefunden wurden und wie viele Dateien entschlüsselt wurden ausgegeben.

Wenn nach “Start scan” diese Meldung eingeblendet wird…

Der Abfragedialog bzw. Hinweis vom Kaspersky RannohDecryptor.

Kaspersky RannohDecryptor Hinweis

dann konnte der “Kaspersky RannohDecrypter” nicht automatisch anhand der Windows Beispielbilder den Entschlüsselungskey ermitteln.
Jetzt muß man mit einen Klick auf “Continue” machen und die verschlüsselte Datei angeben. Danach fragt das Programm nach der Original Datei. Wenn das erfolgreich war beginnt der Scan und die suche nach den verschlüsselten Dateien und deren Entschlüsselung.

Zu guter Letzt noch ein paar wichtige Hinweise! Immer erst mal ein Backup anlegen von den Dateien für den Fall das es nicht funktioniert und man auf eine neue Version des Programms warten muss.
Da der Verschlüsselungstrojaner auch schon in neueren Versionen gesichtet wurden ist, kann es sein das es mit dem entschlüsseln nicht mehr funktioniert. Da muss man leider erst mal abwarten bis die AV-Hersteller die neue Verschlüsselung geknackt haben und dann aktualisierte Programme zur Verfügung stellen.

Kaspersky RannohDecryptor 1.1.0.0

Download Kaspersky RannohDecryptor 1.1.0.0 

Mit dem Avira Ransom File Unlocker verschlüsselte Dateien im Format “locked-Original Dateiname.Typ.????” wieder entschlüsseln

Veröffentlicht am von

Der Avira Ransom File Unlocker zum entschlüsseln der Dateien im Format “locked-Original Dateiname.Typ.????” die vom Verschlüsselungstrojaner, bekannt auch unter den Namen Trojan:W32/Ransomcrypt, trojan-ransom.win32.rannoh, trojan:win32/ransom.opv, Trojan-Ransom.Win32.Rannoh, Trojan.Crypt.EBJ, TR/Crypt.XPACK.Gen (Ransom.A), Trojan.Encoder usw., verschlüsselt wurden sind. Der Download das Programms befindet sich am Ende des Artikels.

Wer den Verschlüsselungstrojaner auf dem PC hat bzw. hatte steht meistens vor dem Problem, wie komm ich wieder an meine Dateien ran. Da bietet der Hersteller Avira mit dem Tool “Avira Ransom File Unlocker” ein Lösung an.
Aktuell befindet sich die Software in Version 1.0.1 und ist für Dateien im Format “locked-Original Dateiname.Typ.????” geeignet.

Bisher hab ich selbst auf mehren Rechnern das Tool im Einsatz gehabt und konnte damit erfolgreich die verschlüsselten Dateien wieder entschlüsseln. Dennoch ist auch hier vorsichtig geboten und man sollte das vorher an ein paar Dateien ausprobieren ob das entschlüsseln erfolgreich ist. Und dann kann man das auf alle Dateien anwenden. Die Software lässt dabei auch die verschlüsselten Dateien zurück, das man später immer noch mal ein Versuch hat. Für den Fall der Fälle.

Der Avira Ransom File Unlocker nach dem starten.

Avira Ransom File Unlocker (Screenshot)

Die Bedienung des Avira Ransom File Unlocker ist recht einfach. Das Programm starten und dies sucht automatisch die verschlüsselten Windows-Beispielbilder. Wenn das erfolgreich war ist im Textfeld “verschlüsselte Datei” der komplette Dateipfad enthalten. Das Tool bringt die Windows-Beispielbilder (im original) selbst mit und errechnet daran den Entschlüsselungsschlüssel.

Danach brauch man nur noch eine einzelne Datei oder ein ganzes Verzeichnis auswählen und den Entschlüsselungsvorgang dann damit zu starten.
Der Fortschritt der Entschlüsselung wird im Hauptfenster angezeigt. Und etwas Geduld, manchmal dauert es einen Moment bis der erste Fortschritt sichtbar ist.

Was tun wenn das Programm automatisch keine locked Datei findet zum ermitteln des Schlüssels? Dann wird es natürlich etwas schwieriger. Man muß sich eine Datei aussuchen die mindestens 4KB groß ist und man aus ein Backup wiederherstellen oder von einer CD im original nehmen kann. Diese weißt man dann den jeweiligen Eingabefeldern “Verschlüsselte Datei” und “Original Datei” zu, damit der Avira Ransom File Unlocker daraus den Schlüssel ermitteln kann.

Avira Ransom File Unlocker 1.0.1

Download Avira Ransom File Unlocker 1.0.1 

CD oder DVD Laufwerke sind verschwunden oder mit gelben Ausrufezeichen im Gerätemanager

Veröffentlicht am von

Es werden keine CD oder DVD Laufwerke mehr auf dem Arbeitsplatz angezeigt oder sind im Gerätemanager mit gelben Ausrufezeichen versehen.

Nach Installation oder Deinstallation von Programmen werden keine CD/DVD Laufwerke mehr angezeigt. Es ist auch möglich das die Laufwerke angezeigt werden, aber ein zugreifen darauf nicht möglich ist und dabei eine Fehlermeldung angezeigt wird. Im Gerätemanager werden die Laufwerke mit ein Ausrufezeichen angezeigt und im Gerätestatus wird Fehlercode 19, 31, 32, 39 oder 41 angezeigt.
Dieser Artikel beschreibt Methoden zur Behebung dieses Problems. Eine dieser Methoden erfordert das manuelle Entfernen der Registrierungseinträge “UpperFilters” und “LowerFilters” aus der Windows-Registrierung. Sie müssen den Computer neu starten, nachdem Sie die in diesem Artikel beschriebenen Schritte ausgeführt haben.

Fehlerbeschreibung:

- Sie können nicht mehr auf das CD- oder DVD-Laufwerk zugreifen.
- Folgender Gerätestatus wird im Gerätemanager angezeigt.

  • Das Gerät funktioniert nicht ordnungsgemäß, da Windows die für das Gerät erforderlichen Treiber nicht laden kann (Code 31).
  • Für das Gerät ist kein Treiber erforderlich. Der Treiber wurde deaktiviert (Code 32 oder Code 31).
  • Die Registrierung ist eventuell beschädigt. (Code 19)

- Fehlermeldung des Typs “Fehlercode 39″ angezeigt.
- Eine Meldung wie die folgende angezeigt:

  • Der Gerätetreiber wurde für die Hardware geladen, aber das Gerät wurde nicht gefunden. (Code 41)

Methoden zur Behebung des Fehlers:

Man entfernt in der Windows-Registry die Einträge zu “LowerFilters” und “UpperFilters”
Gehen Sie auf folgenden Schlüssel in der Registry und löschen die oben genannten Einträge.

HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\Class\ {4D36E965-E325-11CE-BFC1-08002BE10318}

 

Zur Sicherheit sollte man die Einträge vor dem löschen als Backup exportieren.

Die Informationen in diesem Artikel beziehen sich auf:

- Windows 2000
- Windows XP
- Windows Vista
- Windows 7

Weitere Links dazu:

Microsoft Hilfe & Support – Artikel-ID : 314060

 

Alle Verknüpfungen haben das WORD Icon Symbol und werden mit WORD geöffnet

Veröffentlicht am von

Wie der Titel schon sagt, alle Verknüpfungen, sei es auf dem Desktop, in der Taskleiste oder im Startmenü haben das Word Icon Symbol.

Wie passiert so was? Das kann passieren wenn man Software installiert oder deinstalliert. In diesem Fall ist es nach der Deinstallation von Office 2010 passiert. Installiert war Office 2007 und Office 2010 im 30/60 Tage Testmodus. Nach Ablauf der Testphase wurde das Office 2010 wieder deinstalliert und dann ist es passiert. Alle Verknüpfungen hatten auf einmal das WORD Icon Symbol.
Der erste Lösungsansatz war hier erst mal das Office 2007 zu deinstallieren und dann wieder neu zu installieren. Das half aber nicht, der Fehler bestand weiter hin.

Wo liegt also das Problem? In der Windows-Registry ist der Fehler zu finden. Man muss die lnk Einträge in der Windows- Registry wieder zurücksetzen. Der Registry-Fix ist in diesem Artikel zum download bereitgestellt.

Was der REG-Fix beinhaltet:

Windows Registry Editor Version 5.00

[-HKEY_CLASSES_ROOT\.lnk]
[HKEY_CLASSES_ROOT\.lnk]
@=”lnkfile”

[HKEY_CLASSES_ROOT\.lnk\ShellEx]

[HKEY_CLASSES_ROOT\.lnk\ShellEx\{000214EE-0000-0000-C000-000000000046}]
@=”{00021401-0000-0000-C000-000000000046}”

[HKEY_CLASSES_ROOT\.lnk\ShellEx\{000214F9-0000-0000-C000-000000000046}]
@=”{00021401-0000-0000-C000-000000000046}”

[HKEY_CLASSES_ROOT\.lnk\ShellEx\{00021500-0000-0000-C000-000000000046}]
@=”{00021401-0000-0000-C000-000000000046}”

[HKEY_CLASSES_ROOT\.lnk\ShellEx\{BB2E617C-0920-11d1-9A0B-00C04FC2D6C1}]
@=”{00021401-0000-0000-C000-000000000046}”

[HKEY_CLASSES_ROOT\.lnk\ShellNew]
“Handler”=”{ceefea1b-3e29-4ef1-b34c-fec79c4f70af}”
“IconPath”=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,68,00,65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,2d,00,\
31,00,36,00,37,00,36,00,39,00,00,00
“ItemName”=”@shell32.dll,-30397″
“MenuText”=”@shell32.dll,-30318″
“NullFile”=”"

[HKEY_CLASSES_ROOT\.lnk\ShellNew\Config]
“DontRename”=”"

[-HKEY_CLASSES_ROOT\SystemFileAssociations\.lnk]
[HKEY_CLASSES_ROOT\SystemFileAssociations\.lnk]
“FileOperationPrompt”=”prop:System.ItemTypeText;System.FileOwner;System.Author;System.Title;System.Subject;System.Comment;System.DateModified;System.Link.TargetParsingPath”
“FullDetails”=”prop:System.PropGroup.Description;System.ItemTypeText”

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.lnk]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.lnk]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.lnk\OpenWithProgids]
“lnkfile”=hex(0):

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\PropertySystem\PropertyHandlers\.lnk]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\PropertySystem\PropertyHandlers\.lnk]
@=”{00021401-0000-0000-C000-000000000046}”

[-HKEY_CLASSES_ROOT\lnkfile]
[HKEY_CLASSES_ROOT\lnkfile]
@=”Shortcut”
“EditFlags”=dword:00000001
“FriendlyTypeName”=”@shell32.dll,-4153″
“IsShortcut”=”"
“NeverShowExt”=”"

[HKEY_CLASSES_ROOT\lnkfile\CLSID]
@=”{00021401-0000-0000-C000-000000000046}”

[HKEY_CLASSES_ROOT\lnkfile\shellex]

[HKEY_CLASSES_ROOT\lnkfile\shellex\ContextMenuHandlers]

[HKEY_CLASSES_ROOT\lnkfile\shellex\ContextMenuHandlers\Compatibility]
@=”{1d27f844-3a1f-4410-85ac-14651078412d}”

[HKEY_CLASSES_ROOT\lnkfile\shellex\ContextMenuHandlers\OpenContainingFolderMenu]
@=”{37ea3a21-7493-4208-a011-7f9ea79ce9f5}”

[HKEY_CLASSES_ROOT\lnkfile\shellex\ContextMenuHandlers\{00021401-0000-0000-C000-000000000046}]
@=”"

[HKEY_CLASSES_ROOT\lnkfile\shellex\DropHandler]
@=”{00021401-0000-0000-C000-000000000046}”

[HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler]
@=”{00021401-0000-0000-C000-000000000046}”

[HKEY_CLASSES_ROOT\lnkfile\shellex\PropertySheetHandlers]

[HKEY_CLASSES_ROOT\lnkfile\shellex\PropertySheetHandlers\ShimLayer Property Page]
@=”{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}”

 

Die Datei wird per Doppelklick importiert. Es erscheint vor dem Importvorgang nochmal eine Sicherheitsabfrage. Diese muss bestätigt werden. Und dann sind die fehlerhaften Einträge in der Windows Registry ersetzt bzw. überschrieben. Den PC danach noch neu starten und die Verknüpfungen sind dann alle wieder in Ordnung.

Vor dem Importieren ein Backup der Registry anlegen.

Hinweis! Beim Importieren der Datei kommt eine Fehlermeldung, das nicht auf allen Keys zugriffen werden kann bzw. das diese in Benutzung sind. Unter Umständen kann es sein das die REG-Datei im Abgesicherten Modus importiert werden muss um die fehlerhaften Einträge zu ersetzen. Und danach den PC Neustarten und die Verknüpfungen sind alle wieder korrekt.

WORD Verknüpfung Registry-Fix

Download 

Verschlüsselungs-Trojaner Ransomware verschlüsselt Dateien im Format “locked-Original Dateiname und Typ.axyz”

Veröffentlicht am von

Der Verschlüsselungs-Trojaner verschlüsselt alle gefundenen Dokumente wie Bilder, Videos, Musik, Excel-, Word- und PDF-Dateien usw. im Format “locked-Original Dateiname und Typ.axyz”.

Seit dem 26.04.2012 treibt ein Verschlüsselungs-Trojaner sein Unwesen. Der Anwender bekommt eine Spam-Mail die ein Anhang wie “Abrechnung.zip” oder “Rechnung.zip” enthält. Sobald die Anlage geöffnet wird, werden die Benutzerdateien im Format “locked-<Original Dateiname und Typ>.axyz” verschlüsselt.

Verschlüsselungs-Trojaner (Screenshot)

Verschlüsselungs-Trojaner

Die Spam-Mails sind auf deutsch und wenden sich an den Empfänger mit folgenden Betreff und Inhalt:

Betreff: „<Vorname> <Nachname> Vertrag Nr 46972057“

Sehr geehrte(r) <Vorname> <Nachname>,

Sie haben sich für unseren Mail Upgrade eingetragen und wir freuen uns Sie als unseren frischen Teilnehmer zu begrüssen Sie können jetzt bis zu 500 Mitteilungen pro Monat frei versenden und Ihr Speicherplatz erhöht sich um 5 Gb.

433,29 Euro für Registration werden Ihnen pro 12 Monate im Vorraus von Ihrem Bankkonto abgeschrieben. Entnehmen Sie die Rechnungsdaten bitte dem Anhang, dort finden Sie auch die Erläuterung für Ihre 2 Wochen Kündigungsfrist.

Mit freudlichen Grüssen

Ihr Kundenservice

 

—————————————–

 

Guten Tag …,

vielen Dank für Ihre Bestellung bei elektronikmax.de, nachfolgend finden Sie Ihre Bestellbestätigung.

Ihre Bestellnummer 58732092145
Artikel: Toshiba 3715196067 581,70 Euro
Rechnungsname: …
Zahlungsmethode: Visa

Versandadresse und detaillierte Vertragsdaten finden Sie im Anhang.

Die Zahlung wurde autorisiert und wird innerhalb 2 Tage abgetragen.
Bestelleinzelheiten und Stornierung Möglichkeiten finden Sie im Anhang.

Ihr Mail-Support

Walddorf GmbH
Bergstieg 25
12153 Augsburg (PLZ ist falsch)

Telefon: (+49) 181 7761456
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr)
Gesellschaftssitz ist Dortmund
Umsatzsteuer-ID: DE899003298
Geschäftsfuehrer: Lisa Schmitz

 

—————————————–

 

Sehr geehrte Damen und Herren, …

Sie haben sich für unseren Mail Upgrade eingetragen und wir sind gespannt Sie als unseren neuen Mitglieg zu begutachten
Sie können jetzt bis zu 400 Sms pro Monat gebührenfrei versenden und Ihr Onlinespeichervolumen wird grösser um 17 GB.
233,39 Euro für Mitgliedschaft werden Ihnen jährlich im vorraus von Ihrem Bankkonto abgeschrieben. Entnehmen Sie die Vertragseinzeilheiten bitte dem Anhang, dort finden Sie auch die Erklärung für Ihre 2 Wochen Kündigungsfrist.

Mit freundlichen Grüßen
Ihr Support

 

Die E-Mails können in den Texten, Inhalt und Betreff variieren. Also vorsichtig und keine Anhänge (Abrechnung.zip, Rechnung.zip) von unbekannten Absenden öffnen.

Wie entferne ich den Verschlüsselungs-Trojaner?

Starte einen vollständigen Scan mit dem Programm “Malwarebytes Anti-Malware”. Die Software kann hier heruntergeladen werden:

Download Malwarebytes Anti-Malware

Nach dem download installiere das Programm und führe einfach ein Quick-Scan durch und entferne die gefunden Trojaner. Danach zur Sicherheit nochmal ein Full-Scan durchführen.

Dann kommen wir mal zum Entschlüssen der Dateien. Die ersten Tage gab es noch kein Tool dafür und AV-Hersteller haben noch daran gearbeitet. Mittlerweile gibt es einige Tools dafür.

Wie entschlüssele ich meine Dateien?

Ich persönlich hab bisher mit dem Programm “Avira Ransom File Unlocker” alle verschlüsselte Dateien wieder hergestellt. Die Software ist einfach zu bedienen, bringt die Windows Beispielbilder mit und führt den Entschlüsselungsvorgang schnell durch.

Den Avira Ransom File Unlocker kann man am Ende des Artikels herunterladen.

Hinweis! Zum entschlüsseln der Dateien, muss der Schlüssel erst erzeugt werden. Dafür benötigen die Entschlüsselung-Tools eine Original-Datei und eine locked-Datei.

Auf der Seite trojaner-board.de findet man noch weitere Entschlüsselung-Tools die man ausprobieren kann falls der Avira Ransom File Unlocker nicht funktioniert.

Diese finden man hier.

Zusätzlich noch den Hinweis! Immer ein Backup anlegen der Dateien und es am Anfang nur mit ein paar Dateien ausprobieren. Erst wenn das erfolgreich verläuft, kann man alle Dateien entschlüsseln. Den Rechner zwischen Schlüssel-Generierung und Entschlüsselungsvorgang nicht Neustarten.

Quellenangaben: trojaner-board.de

Avira Ransom File Unlocker 1.0.1

Download Avira Ransom File Unlocker 1.0.1