Hallo zusammen,

hat jemand Erfahrung mit der Entschlüsselung von Dateien, welche zuvor mit einer Datenrettungssoftware wiederhergestellt worden sind?

Hintergrund:
nach dem Bekannten Schema "locked-....wxyz" verschlüsselte Daten wurden von einer Festplatte mit beschädigtem Dateisystem (unter Windows keine Partitionen mehr lesbar) mit der Datenrettungssoftware ToolStar Filerecovery wiederhergestellt.

Nun ist kein gleiches Paar zum extrahieren des Schlüssels nutzbar - wahrscheinlich, weil die Daten durch die Datenrettung nicht mehr dem Original entsprechen (etwas größer sind).

Müssten denn das Dateien-Paar exakt gleich groß sein?

Hat jemand eine Idee, um die Daten gegebenfalls doch noch entschlüsseln zu können?


Vielen Dank für jeden hilfreichen Tip!

FredEric

Hallo nochmal,

übrigens war diese Variante des "Verschlüsselungs-Trojaners" so fies, dass Dateien, die auch auf einem USB-Stick gespeichert waren, nicht verschlüsselt worden sind.

Kunde hat später einen USB-Stick mit Musik geliefert - die auf dem USB-Stick gespeicherten Musikstücke waren jedoch zwischen allen "locked..."-Files nicht verschlüsselt...

Hallo,
ich benutze outlook 2010.

Wie soll ich die email ins eml-format bringen?

Geht es nicht, wenn ich die email weiterleite?

Mfg

fiedler-sm

was kann mann tun, wenn keine originaldatei vorhanden ist?

@Tinae
@timeagent
was ist mit shadow explorer?
@007Alex007
selbe frage, oder scareuncrypt
@wbreiden
denke nicht, wie gesagt die dropper sind interessanter
@FredEric1979
ne dateien müssen gleich groß sein.
@fiedler-sm
weiterleiten
geht
@Tinae
@mail ensenden:
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
makrusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

Hallo,

Shadow Explorer scheint zu gehen (aber nicht alle Dateien)

mfg

fiedler-sm

is aber immerhin besser als nichts :-)

Also bei meinem CHEFE auf dem Rechner läuft XP
Leider bekomm ich keine Anzeige im Shadow Explorer. Weder ein Laufwer noch Dateien die ich anwählen könnte!!!
SRY

da gehts mit shadow explorer nicht

Shadow Explorer geht erst ab Vista

laut Chip.de

Wie heißt es so schön: Die Hoffnung stirbt zuletzt.
Als wenn der Virus nicht schon genug wäre, knallt eben der Rechner runter dank eines kleinen Stromausfalls. 6 Stunden Arbeit für die Katz.
Na ja vieleicht find ich noch ein paar Temp Dateien!!!

Weiterleiten klappt leider auch nicht mehr, da mein Rechner, wie auch GMX die Mail erkennt!!!

Zitat:

Zitat von markusg

@Tinae
@timeagent
was ist mit shadow explorer?
@007Alex007
selbe frage, oder scareuncrypt
@wbreiden
denke nicht, wie gesagt die dropper sind interessanter
@FredEric1979
ne dateien müssen gleich groß sein.
@fiedler-sm
weiterleiten
geht
@Tinae
@mail ensenden:
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
makrusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

ich benutze kein Mailprogramm, wie funktioniert es über AOL im Browser??
Habe ich schonmal gefragt, aber leider noch keine Antwort erhalten.

doch, habs hier schon mal für andere beantwortet, mail öffnen, weiterleiten

geht leider nicht, wird als Virus erkannt!

ok also ich merk grad, jetzt bekommen die Hacker Jungs langsam Lust an dem neuen 1601 Trojaner (erstellungsdatum im Jahre 1601 all unserer Files, schau mal nach;-)

http://www.trojaner-board.de/115534-...-trojaner.html

l

Mir ist einfach unbegreiflich was für eine Orginaldatei ich verwenden soll DIE SIND DOCH VERSCHLÜSSELT!!!!

Zitat:

Zitat von Sabi89

Mir ist einfach unbegreiflich was für eine Orginaldatei ich verwenden soll DIE SIND DOCH VERSCHLÜSSELT!!!!

installier dir den shadows explorer (chip.de), geh oben einfach auf ein datum VORdem trojanerangriff und exportiere eine datei, und dann such dir die aktuelle verschlüsselte datei raus anhand der dateigröße (ist ident wennst den selben trojaner hast wie ich) und fertig.

Oder geh in deine gesendeten emails und hol dir einen dateianhang den du mal versendet hast.

PS: vorerst gibts noch einen entschlüssler, wenn deine dateien so aussehen:

JJJhdhagdZTZTZT

behalte erstmal alle dateien und warte ab, was die pros hier entwickeln.