![]() |
|
Diskussionsforum: Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben. |
![]() |
|
![]() | #1 |
![]() | ![]() Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) Hi Leute. Ich hab wieder mal einen Rechner eines Kunden bei mir. Bekanntes Bild: Ukash Bild usw... Hab die Exe aus dem Starbereich entfernt; PC bootet wieder. Aber jetzt: Die Dateien sind "verschlüsselt". Und zwar die Dateinamen. Diese tragen z.B. Namen wie jtEVqxLdjsEVqGLUAt Ohne Erweiterung (hab auch eingeblendet, die bekannten Dateinamenerweiterungen anzuzeigen usw...) Die Dateiinhalte sind diesmal übrigens NICHT verschlüsselt. Ich kann Dateien --> öffnen mit.. Wordpad. Geht ganz normal auf; ohne Verschlüsselungs-Chinesisch. Jetzt hab ich im Forum mal ein paar Seiten zurückgeblättert, ob das schon mal da war; hab aber nichts gefunden. Ist so ein Verhalten bei Euch schon bekannt oder ist das eine neue Variante? Wenn Ihr sowas schon mal hattet - gibt´s dafür auch ein Tool? Damit z.B. anhand der Dateiheader die Extension wiederhergestellt werden kann? Evtl. ist der Dateiname ja auch nach einem bestimmten Schema verschlüsselt? Oder bin ich hier der Erste? (nicht-freu). Bis dann Andreas |
![]() | #2 |
![]() ![]() | ![]() Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) Die Dateien wurden mit einem 256 Bit AES schlüssel verschlüsselt, es ist eine neue Variante, die der Kunde hier hat :/
__________________http://www.trojaner-board.de/115183-...te-umlauf.html <- Hier lesen.
__________________ |
![]() | #3 |
![]() | ![]() Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) Die Datei selbst aber nicht, denk ich. Nur der Dateiname. Dateinamenerweiterung (.jpg / .doc / .xls / .pdf....) wurde gelöscht.
__________________ |
![]() | #4 |
![]() ![]() | ![]() Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) also statt bild.jpg bild.jtEVqxLdjsEVqGLUAt ?
__________________ Gruß, Melia. Preiset den Javafanten! |
![]() | #5 |
![]() | ![]() Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) Nein, nur jtEVqxLdjsEVqGLUAt Keine Erweiterung, die auf den Dateity schließen lässt. Kein locked- vorher oder Ähnliches. Und das bei tausenden Dateien. |
![]() | #6 |
![]() ![]() | ![]() Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) Dann ist das die neue Variante, auf dessen Thread ich verlinkt habe ![]()
__________________ --> Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) |
![]() | #7 |
| ![]() Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) hat einer eine verschlüsselte windows beispiel bild datei ?? damit ich mit nen schlüssel erzeugen kann .... ??? bitte |
![]() | #8 |
![]() ![]() | ![]() Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) Welche Windowsversion?
__________________ Gruß, Melia. Preiset den Javafanten! |
![]() | #9 |
| ![]() Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) windows xp sp3 |
![]() | #10 |
![]() ![]() | ![]() Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)
__________________ Gruß, Melia. Preiset den Javafanten! |
![]() | #11 |
/// Malwareteam ![]() ![]() ![]() ![]() | ![]() Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) @shakalX & Fabula: Meiner Meinung nach werden Bilder beim Hochladen verändert, das gepostete Bild bringt also nicht viel, so gut die Hilfe auch gemeint war ![]() Hier bekommst du die Originale http://www.trojaner-board.de/114115-...tml#post820441
__________________ Keep Jazzing! ![]() DerJazzer Imperare sibi maximum imperium est. ©Seneca Wenn du uns unterstützen möchtest | http://www.anaesthesist-werden.de/ |
![]() | #12 |
![]() ![]() | ![]() Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) Werden sie? Wäre mir neu, wieder was gelernt ![]()
__________________ Gruß, Melia. Preiset den Javafanten! |
![]() | #13 |
| ![]() Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) na die Beispiel Bilder normal hab ich ja ... nur ich brauch davon eine verschlüsselte oder nicht dait ich den schlüssel erstellen kann... hab das da schon probiert aber das hilft nix da wird nix weider hergestellt |
![]() | #14 | |
/// Helfer-Team ![]() ![]() | ![]() Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)Zitat:
irgendwie reden wir aneinander vorbei. Verschlüsselte Beispielbilder eines anderen Rechners helfen Dir garnicht. Die Verschlüsselung erfolgt individuell auf den jeweiligen Rechner. Hier ist der Diskusionsthread, hier wird über alle Varianten diskutiert. Wie sehen denn Deine verschlüsselten Dateien überhaupt aus? So: locked-xxxxxxx.yyy.gtre oder so: ExdErsdERgfXySw @shadow hat Dir hier http://www.trojaner-board.de/114115-...tml#post829353 bereits geraten, einen eigenen Thread zur individuellen Hilfe zu eröffnen. Bei der Diskussion hier kommst Du sonst noch völlig durcheinander. Gruß Volker |
![]() | #15 |
| ![]() Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) Ich habe gestern einen Trojaner erhalten, der auf einem Rechner die Dateien umbenennt und verschlüsselt. Ich habe auch schon das Tool DecryptHelper 0.5.3 von Matthias Kunig probiert, leider ohne Erfolg. System: Windows 7 Home Premium. Symptome: Die Dateien werden umbenannt und verschlüsselt, z.B.: Originalbild: Chrysanthemum.jpg Neuer Name: jnqujtlxXOjrGgJJLG Ich habe mal eine Kopie der umbenannten Datei erstellt (sicherheitshalber per Ubuntu LiveCD gebootet, auf leeren USB-Stick kopiert, und dann auf einen sauberen XP-Rechner angesehen) und sie in eine .jpg umbenannt. Sie ist aber nicht lesbar, also wohl nicht nur umbenannt sondern auch verschlüsselt. Ich habe dann Originaldateien und die verschlüsselten Versionen versucht mit DecryptHelper 0.5.3 zu bearbeiten, doch hier schlägt schon die Erzeugung des Schlüssels fehl. Ich wähle nach Aufforderung die verschlüsselte Datei aus, dann die zugehörige Original-Windows-Beispielbilddatei (aus dem hier im Forum verlinkten Archiv), dann erscheint die Meldung "Der Schlüssel konnte nicht bestimmt werden!". Jetzt bin ich ratlos. Gibt es irgendwelche Ideen, wie ich die Dateiinhalte wieder entschlüsseln kann, evtl. sogar die Dateinamen wiederherstellen kann? Jede Hilfe dazu wäre echt nett! Leider sind die verschlüsselten Windows-7-Beispielbilder alle größer als 488 kb, so dass das Größenlimit für Zip-Dateien des Forums überschritten wird und ich die verschlüsselten Dateien hier nicht hochladen darf. Falls benötigt kann ich sie aber gerne zumailen. |
![]() |
Themen zu Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) |
abrechnung.zip, applikation, beliebige, bytes, dateien verschlüsselt, decrypthelper, ebenfalls, locked, log-analyse und auswertung, neue, ransomware, realtecdriver, rechnung.exe, sie haben sich mit einen windows-verschlüsselungs trojaner infiziert, tr/crypt.xpack.gen, tr/injector.lo, trojan.crypt.ebj, trojan:w32/ransomcrypt, trojan:win32/ransom.opv, verschlüsselt, verschlüsselte dateien, verschlüsselung, wiederherstellung, windows update virus |