![]() |
|
Diskussionsforum: Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben. |
![]() |
|
![]() | #1 | |
| ![]() Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)Zitat:
Aber Undertacker hat es schon erahnt. Ja es war eine Mail ...: Sehr geehrte Frau K... Blabla bla.... und im Anhang die Rechnung als zip.Datei Draufgeklickt und dann sollte bezahlt werden (wie hier schon mehrfach erlebt ) Ich habe den decrypthelper 5.0.3 benutzt und als original das Beispielvideo BÄR im Verzeichnis Öffentliche Video. Betriebsystem VISTA PC alt und langsam. Beginn gestern Abend 21:00 Uhr.......... fertig heute Morgen. 45741 Datein bearbeitet und sauber wieder hergestellt. Gruß Detlef |
![]() | #2 |
/// Helfer-Team ![]() ![]() | ![]() Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) Hallo Detlef,
__________________hast Du alle 45741 Dateien geprüft? Die Existenz aller wiederhergestellten dateien sagt nocht nichts darüber aus, ob sie auch brauchbar sind. Ich brauchte zur sicheren rekonstruktion von 12000 dateien insgesamt vier Dateipaare. Gruß Volker |
![]() | #3 |
| ![]() Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) Also alle einzeln habe ich das nicht geprüft versteht sich.
__________________aber der PC arbeitet wie gewöhnlich und auch alle Prg. die ich gestartet habe funktionieren wieder. Denke das sollte MIR persönlich reichen. Ist ja ein priv PC mit Bildern und Spiele hier und da auch ne Steuerklärung pp. Ich habe wie gesagt nur einen Schlüssel erstellt und dann laufen lassen. Gruß Detlef |
![]() | #4 |
| ![]() Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) Hallo! Da ich selbst in Kooperation mit anderen Wissenden & Diensleistern keine Lösung finde, schildere ich hier mal meinen Fall in der Hoffung auf gute Ideen.... Von einem Kunden liegt mir eine Festplatte mit einigen 1000 locked-dateiname.Endung.abcd vor. Die lange bekannte version also, vorne "locked-" und hinten 4 beliebige Buchstaben nach der eigentlichen Endung. Verschlüsselt am 08.05., "Die von Ihnen verwendete Windows Lizenz ist abgelaufen € 100,-/ € 50,-"..... Die E-Mail und das verseuchte/ verschlüsselte System existieren nicht mehr, nur noch die Dateien auf der externen Festplatte die mir vorliegt. Aus verschiedenen Quellen konnte ich inzwischen 14 Datei-Pärchen bilden, eine Entschlüsselung gelingt mir aber bislang nicht, mit keinem der bekannten Tools - alle im Forum genannten habe ich inzwischen ausprobiert. Nun gibt es zwei Möglichkeiten, entweder es gibt mehr dieser Fälle und ich habe bislang nur keinen gefunden oder ich übersehe irgendeine Kleinigkeit. Bislang habe ich zu dieser Version der Verschlüsselung nur Erfolgsmeldungen gesehen/ gelesen, zumindest in jedem Fall Teilerfolge. Hier geht garnichts..... Gerne kann ich zum Testen einige Files zur Verfügung stellen - ich hoffe auf gute Ideen.... Vielen Dank! |
![]() | #5 |
/// Helfer-Team ![]() ![]() | ![]() Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) moin moin, Was meinst Du mit "Aus verschiedenen Quellen"? Quelle können nur Originale von Dateien sein, die auf dem Rechner verschlüsselt wurden. Dazu gehören beispielsweise Originale die sich noch als Spiegelabbilder irgendwo im Rechner befinden, aus Anhängen versendeter Mails (Bilder zum Onkel gemailt o.ä.), von Kopien auf Sticks, ext.HDDs oder CDs u.s.w. Dabei ist es durchaus möglich, dass mit einem Paar nur Teilerfolge erzielt werden. Bei zu wenigen Paaren kann es durchaus sein, dass keines passt. Ich hatte beispielsweise mehrere hundert Originale zur Verfügung, aus denen ich 4 finden musste, um 12000 Dateien sicher zu rekonstruieren. Gruß Volker |
![]() | #6 |
| ![]() Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) Ja, klar - solche Originale sind es auch. Hast Du die Originale händisch durchprobiert und bist zufällig auf funktionierende gestossen? |
![]() | #7 | |
/// Helfer-Team ![]() ![]() | ![]() Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)Zitat:
nachdem ich das erste willkürlich genommen habe und ca. 3000 Dateien sauber bearbeitet wurden und die nächsten Paare nichts mehr brachten, habe ich erstmal Kaffee getrunken. Dabei fiel mein Blick auf die CDs mit den Originalen. Hoffest 2012, Urlaub 2008, Hausbau 2010 Ich habe dann nach verschlüsselten Dateien aus verschiedenen jahren gesucht und da wieder willkürlich welche rausgenommen. Nach dem vierten Paar war keine weitere Suche mehr nötig. Volker |
![]() | #8 |
![]() ![]() | ![]() Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) ich hab mir erstmal das ganze C Laufwerk per shawosexplorer gezogen und warte nun auch einen decrypter für den neuen Buchstabensalat-Trojaner, da sollte ich genügend päärchen haben. |
![]() | #9 |
![]() ![]() | ![]() Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) Volker, dass geht ev leicht bei dem alten trojaner, bei em neuen is dass nimma so einfach, weil ja kein dateiname mehr erkenntlich ist. Geht dann nur noch über die Dateigröße, die is zum Glück gleich geblieben. ich sprech jetzt aber nur über den neuen decrypter. |
![]() | #10 |
![]() | ![]() Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) Oder du hast Glück und du hast mehrere Verzeichnisse mit nur einer Datei drin. Zum Glück hat das Mistding nicht auch die Verzeichnisse umbenannt!!! Das wäre der absolute Horror!!! Komischerweise spart der Virus auch alle Programme aus. Bisher läuft alles auf dem Rechner, trotz Verschlüsselung. Ist doch seltsam oder!!! |
![]() | #11 |
| ![]() Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) Hallo, bin mir nicht ganz sicher ob ich es mit der gleichen RansomWare zu tun habe wie der Rest hier, zumindest sieht der Screenshot sehr vertraut aus und ich habe es anscheinend auch mit verschlüsselten Office- und Medien-Dateien zu tun. Allerdings hat mein betroffener Kollege keine E-Mail Anhänge geöffnet und die Dateien sind auch nicht nach dem hier mehrfach geschilderten Muster (locked.Dateiname.erweiterung.xyz o.ä.) umbenannt sondern die Dateinamen sind anscheinend zufällige alphanummerische Zeichenfolgen z.B. OAlxGVNUsslpVNl ohne Erweiterung. Ausserdem hat mein Kollege konsequent alles was als Refernzdatei herhalten könnte (Beispielbilder usw.) von seinem Rechner gelöscht, ebenso alle Dateien die er mal per E-Mail verschickt hat und was er per E-Mail bekam (also alles was man noch aus Outlook holen könnte) gelöscht. Eine einzige Excel-Datei mit der es evtl. gehen könnte habe ich von dem Rechner bekommen, allerdings ist die verschlüsselte Datei 3 Byte größer als die Originale. Der gute Mann ist zu allem Überfluss auch noch in der Buchhaltung tätig, hat also auf seinem PC lokal (!!!)(nicht auf dem Server, der jeden Tag ein Backup macht) recht essentielle Dateien liegen. Ich stehe hier also vor einem kleinen IT-Super-GAU und bräuchte mal dringend Hilfe. Geändert von samarek (24.05.2012 um 14:48 Uhr) |
![]() | #12 |
/// Helfer-Team ![]() | ![]() Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) @samarek für die art der verschlüsselung gibt es immo leider keine hilfe außer vieleicht shadowexplorer ab win vista wenn aktiviert siehe: http://www.trojaner-board.de/115496-...erstellen.html Nachtrag: bei einigen hat das anhängen von der orig dateierweiterung funktioniert! |
![]() | #13 | |
| ![]() Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) normale Erweiterung wieder anhängen funktioniert leider nicht, hab ich natürlich als aller erstes probiert, aber schon mit der Erwartung dass es nicht funktionieren wird. Zitat:
![]() der betroffene Rechner ist natürlich ein Windows XP Rechner |
![]() | #14 |
/// Malware-holic ![]() ![]() ![]() ![]() ![]() ![]() | ![]() Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) hi schon mal die mails durchgegangen, evtl. im spam ordner oder papierkorb, falls ihr da die mail findet mal an mich senden. an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert. wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ: .eml einstellen. dann bitte lesen: makrusg - trojaner-board.de und mir die soeben erstellte datei zukommen lassen. wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders. bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen. sie können dann dorthin solche verdächtigen mails senden. diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig. ansonsten heißts abwarten :-(
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
![]() | #15 |
| ![]() Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) es wäre mir eine persönliche Befriedigung dir die Mail zur Verfügung zu stellen, damit du das Ding auseinander pflücken kannst, aber wie gesagt mein Kollege hat keine E-Mail bekommen und ich hab auch schon seine Archiv-Ordner und Alles durchsucht, er muss sich das irgendwo im Netz eingefangen haben. |
![]() |
Themen zu Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) |
abrechnung.zip, applikation, beliebige, bytes, dateien verschlüsselt, decrypthelper, ebenfalls, locked, log-analyse und auswertung, neue, ransomware, realtecdriver, rechnung.exe, sie haben sich mit einen windows-verschlüsselungs trojaner infiziert, tr/crypt.xpack.gen, tr/injector.lo, trojan.crypt.ebj, trojan:w32/ransomcrypt, trojan:win32/ransom.opv, verschlüsselt, verschlüsselte dateien, verschlüsselung, wiederherstellung, windows update virus |