Zurück   Trojaner-Board > Malware entfernen > Diskussionsforum

Diskussionsforum: Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)

Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben.

Thema geschlossen
Alt 24.05.2012, 10:49   #1
Proman
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



Zitat:
Zitat von Undertaker Beitrag anzeigen
moin moin,
das kann nur die locked- Version gewesen sein.
Benutzt hat er den decrypthelper, der ist vom KÖNIG (Matthias Kunig)
Ja sorry das habe ich nicht geschrieben...
Aber Undertacker hat es schon erahnt.

Ja es war eine Mail ...:

Sehr geehrte Frau K...

Blabla bla.... und im Anhang die Rechnung als zip.Datei
Draufgeklickt und dann sollte bezahlt werden (wie hier schon mehrfach erlebt )

Ich habe den decrypthelper 5.0.3 benutzt und als original das Beispielvideo BÄR im Verzeichnis Öffentliche Video.
Betriebsystem VISTA
PC alt und langsam. Beginn gestern Abend 21:00 Uhr.......... fertig heute Morgen.
45741 Datein bearbeitet und sauber wieder hergestellt.

Gruß Detlef

Alt 24.05.2012, 10:58   #2
Undertaker
/// Helfer-Team
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



Hallo Detlef,
hast Du alle 45741 Dateien geprüft?
Die Existenz aller wiederhergestellten dateien sagt nocht nichts darüber aus, ob sie auch brauchbar sind.
Ich brauchte zur sicheren rekonstruktion von 12000 dateien insgesamt vier Dateipaare.

Gruß Volker
__________________


Alt 24.05.2012, 11:05   #3
Proman
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



Also alle einzeln habe ich das nicht geprüft versteht sich.
aber der PC arbeitet wie gewöhnlich und auch alle Prg. die ich gestartet habe funktionieren wieder.
Denke das sollte MIR persönlich reichen.
Ist ja ein priv PC mit Bildern und Spiele
hier und da auch ne Steuerklärung pp.

Ich habe wie gesagt nur einen Schlüssel erstellt und dann laufen lassen.

Gruß Detlef
__________________

Alt 24.05.2012, 11:09   #4
GORENG
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



Hallo!

Da ich selbst in Kooperation mit anderen Wissenden & Diensleistern keine Lösung finde, schildere ich hier mal meinen Fall in der Hoffung auf gute Ideen....

Von einem Kunden liegt mir eine Festplatte mit einigen 1000 locked-dateiname.Endung.abcd vor. Die lange bekannte version also, vorne "locked-" und hinten 4 beliebige Buchstaben nach der eigentlichen Endung.

Verschlüsselt am 08.05., "Die von Ihnen verwendete Windows Lizenz ist abgelaufen € 100,-/ € 50,-"..... Die E-Mail und das verseuchte/ verschlüsselte System existieren nicht mehr, nur noch die Dateien auf der externen Festplatte die mir vorliegt.

Aus verschiedenen Quellen konnte ich inzwischen 14 Datei-Pärchen bilden, eine Entschlüsselung gelingt mir aber bislang nicht, mit keinem der bekannten Tools - alle im Forum genannten habe ich inzwischen ausprobiert.

Nun gibt es zwei Möglichkeiten, entweder es gibt mehr dieser Fälle und ich habe bislang nur keinen gefunden oder ich übersehe irgendeine Kleinigkeit. Bislang habe ich zu dieser Version der Verschlüsselung nur Erfolgsmeldungen gesehen/ gelesen, zumindest in jedem Fall Teilerfolge. Hier geht garnichts.....

Gerne kann ich zum Testen einige Files zur Verfügung stellen - ich hoffe auf gute Ideen....

Vielen Dank!

Alt 24.05.2012, 11:25   #5
Undertaker
/// Helfer-Team
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



moin moin,
Was meinst Du mit "Aus verschiedenen Quellen"?
Quelle können nur Originale von Dateien sein, die auf dem Rechner verschlüsselt wurden.
Dazu gehören beispielsweise Originale die sich noch als Spiegelabbilder irgendwo im Rechner befinden, aus Anhängen versendeter Mails (Bilder zum Onkel gemailt o.ä.), von Kopien auf Sticks, ext.HDDs oder CDs u.s.w.
Dabei ist es durchaus möglich, dass mit einem Paar nur Teilerfolge erzielt werden.
Bei zu wenigen Paaren kann es durchaus sein, dass keines passt.
Ich hatte beispielsweise mehrere hundert Originale zur Verfügung, aus denen ich 4 finden musste, um 12000 Dateien sicher zu rekonstruieren.

Gruß Volker


Alt 24.05.2012, 11:29   #6
GORENG
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



Ja, klar - solche Originale sind es auch.

Hast Du die Originale händisch durchprobiert und bist zufällig auf funktionierende gestossen?

Alt 24.05.2012, 11:37   #7
Undertaker
/// Helfer-Team
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



Zitat:
Zitat von GORENG Beitrag anzeigen
Ja, klar - solche Originale sind es auch.

Hast Du die Originale händisch durchprobiert und bist zufällig auf funktionierende gestossen?
Jein,
nachdem ich das erste willkürlich genommen habe und ca. 3000 Dateien sauber bearbeitet wurden und die nächsten Paare nichts mehr brachten, habe ich erstmal Kaffee getrunken.
Dabei fiel mein Blick auf die CDs mit den Originalen.

Hoffest 2012, Urlaub 2008, Hausbau 2010

Ich habe dann nach verschlüsselten Dateien aus verschiedenen jahren gesucht und da wieder willkürlich welche rausgenommen.
Nach dem vierten Paar war keine weitere Suche mehr nötig.

Volker

Alt 24.05.2012, 11:33   #8
benton18
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



ich hab mir erstmal das ganze C Laufwerk per shawosexplorer gezogen und warte nun auch einen decrypter für den neuen Buchstabensalat-Trojaner, da sollte ich genügend päärchen haben.

Alt 24.05.2012, 12:09   #9
benton18
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



Volker, dass geht ev leicht bei dem alten trojaner, bei em neuen is dass nimma so einfach, weil ja kein dateiname mehr erkenntlich ist. Geht dann nur noch über die Dateigröße, die is zum Glück gleich geblieben. ich sprech jetzt aber nur über den neuen decrypter.

Alt 24.05.2012, 12:12   #10
timeagent
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



Oder du hast Glück und du hast mehrere Verzeichnisse mit nur einer Datei drin. Zum Glück hat das Mistding nicht auch die Verzeichnisse umbenannt!!! Das wäre der absolute Horror!!!

Komischerweise spart der Virus auch alle Programme aus. Bisher läuft alles auf dem Rechner, trotz Verschlüsselung. Ist doch seltsam oder!!!

Alt 24.05.2012, 14:24   #11
samarek
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



Hallo,

bin mir nicht ganz sicher ob ich es mit der gleichen RansomWare zu tun habe wie der Rest hier, zumindest sieht der Screenshot sehr vertraut aus und ich habe es anscheinend auch mit verschlüsselten Office- und Medien-Dateien zu tun.

Allerdings hat mein betroffener Kollege keine E-Mail Anhänge geöffnet und die Dateien sind auch nicht nach dem hier mehrfach geschilderten Muster (locked.Dateiname.erweiterung.xyz o.ä.) umbenannt sondern die Dateinamen sind anscheinend zufällige alphanummerische Zeichenfolgen z.B. OAlxGVNUsslpVNl ohne Erweiterung.

Ausserdem hat mein Kollege konsequent alles was als Refernzdatei herhalten könnte (Beispielbilder usw.) von seinem Rechner gelöscht, ebenso alle Dateien die er mal per E-Mail verschickt hat und was er per E-Mail bekam (also alles was man noch aus Outlook holen könnte) gelöscht.
Eine einzige Excel-Datei mit der es evtl. gehen könnte habe ich von dem Rechner bekommen, allerdings ist die verschlüsselte Datei 3 Byte größer als die Originale.
Der gute Mann ist zu allem Überfluss auch noch in der Buchhaltung tätig, hat also auf seinem PC lokal (!!!)(nicht auf dem Server, der jeden Tag ein Backup macht) recht essentielle Dateien liegen.

Ich stehe hier also vor einem kleinen IT-Super-GAU und bräuchte mal dringend Hilfe.

Geändert von samarek (24.05.2012 um 14:48 Uhr)

Alt 24.05.2012, 15:20   #12
Nusshund
/// Helfer-Team
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



@samarek
für die art der verschlüsselung gibt es immo leider keine hilfe außer vieleicht shadowexplorer ab win vista wenn aktiviert siehe:
http://www.trojaner-board.de/115496-...erstellen.html

Nachtrag: bei einigen hat das anhängen von der orig dateierweiterung funktioniert!

Alt 24.05.2012, 15:24   #13
samarek
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



normale Erweiterung wieder anhängen funktioniert leider nicht, hab ich natürlich als aller erstes probiert, aber schon mit der Erwartung dass es nicht funktionieren wird.

Zitat:
ab win vista
war ja klar
der betroffene Rechner ist natürlich ein Windows XP Rechner

Alt 24.05.2012, 15:27   #14
markusg
/// Malware-holic
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



hi
schon mal die mails durchgegangen, evtl. im spam ordner oder papierkorb, falls ihr da die mail findet mal an mich senden.
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
makrusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.
ansonsten heißts abwarten :-(
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 24.05.2012, 15:29   #15
samarek
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



es wäre mir eine persönliche Befriedigung dir die Mail zur Verfügung zu stellen, damit du das Ding auseinander pflücken kannst, aber wie gesagt mein Kollege hat keine E-Mail bekommen und ich hab auch schon seine Archiv-Ordner und Alles durchsucht, er muss sich das irgendwo im Netz eingefangen haben.

Thema geschlossen

Themen zu Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)
abrechnung.zip, applikation, beliebige, bytes, dateien verschlüsselt, decrypthelper, ebenfalls, locked, log-analyse und auswertung, neue, ransomware, realtecdriver, rechnung.exe, sie haben sich mit einen windows-verschlüsselungs trojaner infiziert, tr/crypt.xpack.gen, tr/injector.lo, trojan.crypt.ebj, trojan:w32/ransomcrypt, trojan:win32/ransom.opv, verschlüsselt, verschlüsselte dateien, verschlüsselung, wiederherstellung, windows update virus




Ähnliche Themen: Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)


  1. Dateien (vermutl. durch Trojaner) verschlüsselt, wiederherstellung möglich?
    Plagegeister aller Art und deren Bekämpfung - 07.03.2015 (5)
  2. gefälschte Rechnung von Vodaphone mit falschem Link zur angeblichen .pdf-Rechnung
    Plagegeister aller Art und deren Bekämpfung - 18.12.2014 (9)
  3. Win 7 64Bit rECHNUNG:EXE TROJANER KEINE VERSCHLÜSSELTEN DATEIEN
    Log-Analyse und Auswertung - 04.05.2014 (7)
  4. Trojan.Ransomcrypt.F in c:\users\XXX\appdata\roaming\{112c4a02-1112-2f13-0e22-00181b0b15df}.exe: Wiederherstellung verschlüsselter Dateien
    Plagegeister aller Art und deren Bekämpfung - 21.09.2013 (5)
  5. Wiederherstellung von durch neuen Tojaner verschlüsselten Dateien
    Plagegeister aller Art und deren Bekämpfung - 06.03.2013 (15)
  6. Benötige Hilfe beim entschlüsseln meiner durch den Virus verschlüsselten Dateien
    Diskussionsforum - 29.01.2013 (4)
  7. Trojaner verschlüsselt Dateien und hängt Endung .police an - Wiederherstellung möglich?
    Plagegeister aller Art und deren Bekämpfung - 25.09.2012 (5)
  8. Bundestrojaner/Bundespolizei Virus mit verschlüsselten Dateien
    Plagegeister aller Art und deren Bekämpfung - 22.09.2012 (10)
  9. Dateien sind alle umbenannt in z.b. aeDepXDTssXlaTsX durch einen Anhang von einer E-Mail (Rechnung)
    Plagegeister aller Art und deren Bekämpfung - 05.09.2012 (1)
  10. Wiederherstellung/Entschlüsselung von Dateien
    Plagegeister aller Art und deren Bekämpfung - 07.06.2012 (5)
  11. (xpost) neuer Verschlüsselungstrojaner mit teils unveränderten aber trotzdem verschlüsselten Dateien
    Mülltonne - 07.06.2012 (3)
  12. Verschlüsselungstrojaner "Windows Update" (Rechnung.zip) incl. Sperrung aller Dateien
    Log-Analyse und Auswertung - 31.05.2012 (3)
  13. Trojaner? Rechnung.exe geöffnet aus Email, Dateien nun locked
    Plagegeister aller Art und deren Bekämpfung - 30.04.2012 (12)
  14. Aufnahme in "zu entschlüsselnde User"-Liste (Realtecdriver.exe / locked-?.wxyz)
    Log-Analyse und Auswertung - 27.04.2012 (2)
  15. Wiederherstellung der verschlüsselten Dateien nach Trojan.Encoder
    Anleitungen, FAQs & Links - 25.04.2012 (1)
  16. .exe-Dateien + Task-Manager öffnen nicht, Sys-Wiederherstellung klappt nicht
    Log-Analyse und Auswertung - 11.05.2011 (3)
  17. Erpressung mit verschlüsselten Dateien
    Plagegeister aller Art und deren Bekämpfung - 07.12.2010 (1)

Zum Thema Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Zitat: Zitat von Undertaker moin moin, das kann nur die locked- Version gewesen sein. Benutzt hat er den decrypthelper, der ist vom KÖNIG (Matthias Kunig) Ja sorry das habe ich - Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)...
Archiv
Du betrachtest: Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.