Gegen den Verschlüsselungstrojaner: RannohDecryptor von Kaspersky

Nachdem wir letzte Woche schon über einige Tools gegen den Verschlüsselungstrojaner berichtet haben, wollen wir Ihnen nun die Lösung von Kaspersky vorstellen. RannohDecryptor.exe entschlüsselt Ihre Dateien auf dem System, wenn diese über die Malware Trojan.Matsnu.1, bzw. von Kaspersky als Trojan-Ransom.Win32.Rannoh bezeichnet, verschlüsselt wurden.
Typischerweise sehen Sie zunächst folgenden Sperrbildschirm nach einer Infektion.

Gefakt: Windows Lizensierung abgelaufen

Als erstes sollten Sie nun den Schädling entfernen, indem Sie in den abgesicherten Modus starten und dann beispielsweise mit Malwarebytes einen vollständigen Scan machen. Sollte der Scanner den Schädling nicht finden, bietet sich auch ein OTL Scan an. Benötigen Sie Hilfe, so heißen wir Sie in unserem Hilfe-Forum gerne willkommen. Im Forum können Sie uns Ihre Log-Dateien zur Auswertung posten.

Nachdem der Schädling entfernt wurde, sollten Sie Ihre verschlüsselten Dateien dekodieren. Hier kommt der RannohDecryptor von Kaspersky zum Einsatz.
Die Dateien tragen folgende Syntax in der Bezeichnung locked-Originalname.<4 zufällige Zeichen>.
Laden Sie den RannohDecryptor hier herunter. Für die Entschlüsselung wird mindestens eine Datei im Original benötigt.


Über die Option “Delete crypted file after decryption” können Sie die verschlüsselten Dateien nach der Dekodierung automatisch löschen lassen.
Die Log-Datei wird auf der Systempartition nach dem Scan und der Entschlüsselung abgelegt z.B. C:\RannohDecryptor.1.1.0.0_15.05.2012_10.22.07_log.txt.

Sollten Sie Fragen zu dem Programm haben, so besuchen Sie bitte unser Forum.

22 thoughts on “Gegen den Verschlüsselungstrojaner: RannohDecryptor von Kaspersky”

  1. Danke für die Information. Nach der Beseitigung von dem Sperrbildschirm musste ich eine Systemreparatur unter Windows 7 durchführen.

    Ich habe von meinen Programmen: hier Malwarebytes, OTL Scan, Avast zwar Hinweise auf gefundene Schadsoftware nun erhalten – allerdings nicht die hier genannten Namen 🙁 In der Regel verlasse ich mich auf den Mail-Scanner von meinem Provider und auf Avast….

    Leider sind Dateinamen geändert worden 🙁 und RannohDecryptor von Kaspersky erkennt die Veränderung nicht

    01:38:54.0642 1852 Trojan-Ransom.Win32.Rannoh decryptor tool 1.1.0.0 Apr 30 2012 19:08:22
    01:38:54.0907 1852 ============================================================
    01:38:54.0907 1852 Current date / time: 2012/05/19 01:38:54.0907
    01:38:54.0907 1852 SystemInfo:
    01:38:54.0907 1852
    01:38:54.0907 1852 OS Version:xxxxx
    01:38:54.0907 1852 Product type: Workstation
    01:38:54.0907 1852 ComputerName: R23-PC
    01:38:54.0907 1852 UserName: r23
    […]
    ============================================================
    01:38:54.0907 1852 Initialize success
    01:40:25.0580 7064 Can’t initialize on pair
    01:40:25.0580 7064 Can’t init decryptor
    01:41:17.0606 7012 Deinitialize success

    Ich werde dies vermutlich am Montag bei der Polizei zur Anzeige bringen.
    Die Kriminalpolizei warnt vor Spam-Mails mit betrügerischen Zahlungsaufforderungen

    Auf meinem Desktop habe ich eine ‘ACHTUNG-LESEN.txt’ mit folgendem Inhalt


    Sehr geehrte Damen und Herren,
    anscheinend wurde das Update Programm vollständig unterbrochen. Jetzt kann das Virus nur manuell beseitigt werden. Dies brauchen Sie um Ihre Dateien benutzen zu können. Falls Sie also die gesperrten Daten brauchen, senden Sie uns bitte 200 Euro Ukash Code an die Email: security-center@inbox.lt, so bald dieser Code geprüft wurde, erhalten Sie ein Update Programm. Falls Sie Ihre Daten nicht brauchen raten wir Ihnen dringend Ihren Computer zu formatieren um den Virus vollständig zu entfernen. Ukash können Sie an einer beliebigen Tankstelle erwerben und auch in mehreren Internetcafes in Ihrer Nähe.
    mfG Ihr Security Team

    Was ist Ukash? und bekommt man dies wirklich an der Tankstelle? Und hat schon mal jemand 200 Euro so an diese gezahlt?

    Der Schaden, der auf meinem System verursacht wurde ist sehr hoch - nur weil man gezwungen ist seine E-Mail Adresse im Impressum zu veröffentlichen ...

    Meine Kunden senden mir üblicherweise per E-Mail Anhang halt Dateien zur Pop Art Bearbeitung zu. Ich erhalte auch üblicherweise Rechnungen als E-Mail Anhang... Nicht öffnen von E-Mail Anhängen kann ich mir leider nicht erlauben, da ich sonst keine Neukunden finde...

    1. Der Schaden, der auf meinem System verursacht wurde ist sehr hoch – nur weil man gezwungen ist seine E-Mail Adresse im Impressum zu veröffentlichen …

      ja da bin ich deiner meinung mir gings damit auch so wie dir
      undnu sitzen alle hier und brauchenzeit und ruhe um eine guten weg zu finden

  2. hallo,ich habe mir auch einen solchen trojaner eingefangen und habe nun nur noch dieses bild am bildschierm,
    wie bekomme ich dann diese seite weg , so das ich überhaupt etwas machen könnte???????
    gruss
    axel

  3. Hallo,
    auch ich gehöre zu den Leidensgenossen s .o. mit diesen Bild.Habe mir den Troyaner Typ TR/Agent.85774( lt.Bezeichnung von meinen Avira Schutzprogramm) über E-Mail bei web.de eingefangen.
    Kam nicht mehr ins System.Über einen zweiten Pc habe ich dann Das Rescue Programm von Avira auf cd gebrannt und dann versucht Win 7 neu zu starten. Der erste Versuch hat nicht geklappt,System fuhr sofort wieder herunter auf besagtes Bild. Am nächsten Tag neue Daten von Avira gebrannt.Jetzt hatte es geklappt.System blieb oben und ich konnte dann die Troyaner mit diversen Virenprogrammen lokalisieren und löschen.Habe aber vorher sie auf einen Stick kopiert.Alle persönlichen Daten sind verschlüsselt. Ich komme also ohne einen Entschlüsselungsproramm nicht mehr an meine Daten auf meinem PC.
    Auf der Festplatte Partition D liegen die automatischen Sicherungsdateien von Win 7.Habe diese mit Easy-Transfer auf eine externe Festplatte kopiert und gescannt. Keinen Troyaner oder andere Viren gefunden.Leider sind meine Daten auf Partition D nicht von Win gesichert worden.War mein Fehler.
    Die Frage stellt sich jetzt: System löschen u.neu mit Win 7 formatieren und neu aufsetzen oder Daten versuchen mit Programm zu entschlüsseln.
    Liebe Leidensgenossen,könnt Ihr mir helfen und einen Rat geben.
    Mit freundlichen Grüssen
    Alfredo78

    1. Hallo Alfredo78,

      bitte registriere Dich in unserem kostenlosen Supportforum http://forum.botfrei.de und erstelle dort ein neues Thema. Dort können wir Dich gezielt und individuell unterstützen.

      Grüße,
      CS, ABBZ

    2. Der Trojaner ist entfernt, zurück blieben cryptisch verschlüsselte Dateien.
      Der RannohDecrypter von Kaspersky konnte leider nicht helfen. Gibt es noch andere Möglichkeiten.
      Grüße K.

    3. Hallo Kiesel3,
      leider nein, sobald wir mehr wissen werden wir einen Artikel dazu veröffentlichen.
      ABBZ

  4. Es ist einfach unglaublich, was für Fähigkeiten manche Leute entwickeln. Würden die ihre Kenntnisse und Energie in seriöse Projekte stecken statt in kriminelle Machenschaften, könnten wir alle davon profitieren.

    1. Ich will dich ja nicht deillusionieren, aber: Es ist nicht unbedingt viel Talent notwendig, um etwas kaputt zu schlagen. Das ist im echten Leben übrigens genau so, wenn du mal darüber nachdenkst. Es ist kein fantastischer Komprimierungsalgorithmus oder weiß der Geier was anspruchsvolles, es ist ein Trojaner, der Dokumente beschädigt. Was für ein großer Schritt, den noch nie zuvor jemand gewagt hat.

  5. Die Daten sind immer noch verschlüsselt. HDD ausgebaut, Virenscanner laufen lassen, Virus gefunden, aber leider sind alle Dateien verschlüsselt.

    Alle möglichen Lösungsvorschläge probiert, keine Chance!

  6. Und es funktioniert doch ( c’t Desinfec’t) 9/2012 hat Crypt.gypicon.B beseitigt.
    Das Kaspersky-Tool hat ebenfalls (fast überall) funktioniert, nachdem ich ihm als saubere Datei aus einem anderen XP-System ein Bild aus Dok&Einstellungen/AllUsers/Gemeinsame Bilder ein Beispielbild als Vergleichsobjekt per Stick zugewiesen habe.

  7. Hallo
    Auch ich habe jetzt das Problem von so einem GVU Trojaner. Hab alles versucht aber bekomme ihn mit keiner Software raus.
    Solche Dre……e sollte man öffentlich bekannt geben mit Name und Adresse.
    Und dann auf ihn mit Gebrüll. Schadensersatzklagen ohne Ende.
    Am besten bis an sein Lebensende.
    Aber nun habe ich erstmal das Problem selber. Weis keinen rat mehr.
    Mike

    1. das habe ich getan jedoch ich erhalte keine privatnachrichten retour da ich leider die anmeldung ohne emailadresse nicht vervollständigen kann 🙁

  8. Hallo, auch ich hatte den Trojaner-Mist-Virus.
    Jetzt alle Dateien verschlüsselt oder einfach unkenntlich von ihrer Bezeichnung. Komische Ziffern. Wie kriege ich das wieder weg? Wie gehe ich da vor?
    Danke für eine Hilfe
    M. Beicht

    1. Hallo,

      leider können wir hier aus Gründen der Übersichtlichkeit keinen individuellen Support anbieten. Ich lade Dich aber in unser kostenloses Supportforum http://forum.botfrei.de ein – dort helfen Dir unsere Experten gezielt weiter.

      Gruß,
      CS, ABBZ

  9. Hallo ich habe erst vor einiger Zeit den polizeitrojaner gehabt und ihn eigentlich recht leicht wieder entfernt nur mit Anti Maleware nur jetzt nach ca 1 Monat ist ein anderes problem aufgetreten und zwar “Diese Website kann nicht angezeigt werden” auf dieselbe art und weise wie bei dem Polizeitrojaner nur viel agressiver
    ich kann den Computer hochfahren und nichts geht mehr nur der Bildschirm in weiß mit dem text
    und im abgesicherten modus kommt nur ein bluescreen also auch das ist nicht möglich

    jetzt hat ein freund von mir eine festplatte genommen und die andere abgesteckt und ein weiteres system installiert dann die alte festplatte wieder angeschloßen und nen virenscann laufen lassen der jedoch nichts findet
    und die Daten einfach so von der Festplatte holen geht auch nicht da ich auf meinem Adminuser ein Passwort habe das jedoch nicht abgefregt wird vom neuen system aus.
    ach ja es gibt noch einen Gastuser und der lässt sich auch nicht hochfahren als definitiv nichts funktioniert

    Bitte Hilfe danke

    1. Hallo Zora,

      das scheint ein spezielles Problem zu sein. Du kannst dich kostenlos in unserem Support-Forum anmelden. Unsere Experten helfen dir “Schritt-für-Schritt” bei dem Problem.

      Grüße,
      CG (ABBZ)

Kommentare sind geschlossen.