Zurück   Trojaner-Board > Malware entfernen > Diskussionsforum

Diskussionsforum: Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)

Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben.

Thema geschlossen
Alt 08.06.2012, 11:16   #916
DevilTH
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



Zitat:
Zitat von Dynamic2223 Beitrag anzeigen
Die verschlüsselten Dateien sehen wie folgt aus:

[...] OsDQpOsvTrlupgevarluX [...]

Das verwendete Betriebssystem ist Microsoft Windows XP. Ich habe nun einen Original Datei gefunden. Falls ich das Decrypt Tool benutzte, kommt leider immer die Fehlermeldung, dass kein Schlüssel erzeug werden konnte.

Vielen Dank im Voraus
Für dein XP funktioniert der ShadowExplorer leider nicht, und für diese Verschlüsselungs-Version funktionieren die Decrypter normalerweise nicht.
Deine einzige Möglichkeit derzeit sind die JPG-Recovery Tools.
Gruß DevilTH

Alt 08.06.2012, 11:20   #917
Dynamic2223
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



@DevilTH: Und wie sieht es mit anderen Dateien aus? Gibt es da eine Möglichkeit?
__________________


Alt 08.06.2012, 11:23   #918
DevilTH
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



Noch viel schlechter
Wenn du genau weißt welcher Dateityp die ursprüngliche Datei war, kannst du bei mp3-Dateien mal die entsprechende Endung ranhängen. Es gab aber nur wenige Leute wo dass richtig funzte.
__________________

Alt 08.06.2012, 11:23   #919
Dynamic2223
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



Also .jpg kann man aufjedenfall wiederherstellen? Auf dem System sind sehr viele Rechnungen etc. und andere Dokumente drauf.

Alt 08.06.2012, 11:27   #920
Mastercontro
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



Moin,

habe einen Kunden der hat sich den Verschlüsselungstrojaner eingefangen und keine Datensicherung. Habe es dann mit den Beispielbildern versucht und einen schlüssel generiert aber funktioniert nicht. Scheint aber auch unterschiedlich verschlüsselt zu sein. Mal sind die Dateinamen nur zahlen 27367409827 mal Buchstaben und Zahlenkobis D3Fds§f2 mal sind es die normalen Dateinamen aber die gehen nicht auf kommt immer nur Datei ist beschädigt. Habe dem Kunden auch schon gesagt die alle weg sind. Aber eigentlich interessiert mich ob ich es evtl hinbekommen die wiederherzustellen.

MFG

Simon


Alt 08.06.2012, 11:32   #921
DevilTH
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



Zitat:
Zitat von Dynamic2223 Beitrag anzeigen
Also .jpg kann man aufjedenfall wiederherstellen? Auf dem System sind sehr viele Rechnungen etc. und andere Dokumente drauf.
Ja JPG werden gerade sehr erfolgreich wieder hergestellt. Schau mal ab da http://www.trojaner-board.de/115183-...tml#post841998
Bei den anderen Dateitypen wird noch nach Lösungen gesucht, da immer die Header und Marker des Dateikopfes verschlüsselt werden.

Zitat:
Zitat von Mastercontro Beitrag anzeigen
Moin,

habe einen Kunden der hat sich den Verschlüsselungstrojaner eingefangen und keine Datensicherung. Habe es dann mit den Beispielbildern versucht und einen schlüssel generiert aber funktioniert nicht. Scheint aber auch unterschiedlich verschlüsselt zu sein. Mal sind die Dateinamen nur zahlen 27367409827 mal Buchstaben und Zahlenkobis D3Fds§f2 mal sind es die normalen Dateinamen aber die gehen nicht auf kommt immer nur Datei ist beschädigt. Habe dem Kunden auch schon gesagt die alle weg sind. Aber eigentlich interessiert mich ob ich es evtl hinbekommen die wiederherzustellen.

MFG

Simon
Hallo Simon,

bei Vista und Win7 bekommst du mit ShadowExplorer meist die Dateien wieder hergestellt. Bei XP leider nicht.
Die Trojaner- Schreiber sind sehr fleißig: zuerst hatten sie nur ein locked im Dateinamen und eine relativ simple verschlüsselung. Jetzt ändert sich alle paar Tage das Muster. Zahlen sind vollkommen neu für mich
Gruß DevilTH

Alt 08.06.2012, 11:38   #922
Undertaker
/// Helfer-Team
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



Zitat:
Zitat von Mastercontro Beitrag anzeigen
Moin,

habe einen Kunden der hat sich den Verschlüsselungstrojaner eingefangen und keine Datensicherung. Habe es dann mit den Beispielbildern versucht und einen schlüssel generiert aber funktioniert nicht. Scheint aber auch unterschiedlich verschlüsselt zu sein. Mal sind die Dateinamen nur zahlen 27367409827 mal Buchstaben und Zahlenkobis D3Fds§f2 mal sind es die normalen Dateinamen aber die gehen nicht auf kommt immer nur Datei ist beschädigt. Habe dem Kunden auch schon gesagt die alle weg sind. Aber eigentlich interessiert mich ob ich es evtl hinbekommen die wiederherzustellen.

MFG

Simon
Hallo Simon,
läuft das System des Kunden schon wieder und wenn ja, hast Du das wiederhergestellt?
Hast Du Zugriff auf die Mail mit Anhang?

Wenn wir vom gleichen Übeltäter sprechen, dann wäre der Dropper sehr wichtig.
Verschlüsselungen in der von Dir beschriebenen Form sind neu.

Die bisherigen Verschlüsselungen hatten entweder den Präfix locked- oder der dateiname bestand aus Alphanumerischen zeichen ohne Extension.
Das was Du beschreibst ist neu.

Volker
__________________
Das Board unterstützen

Datenrettung -->HIER!

Zitat der Woche: Die Gefahr, dass der Computer so wird wie der Mensch, ist nicht so groß wie die Gefahr, dass der Mensch so wird wie der Computer.

Alt 08.06.2012, 13:03   #923
MarkK
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



Hallo

Ich hab jetzt mal das Programm ShadowExplorer ausprobiert und ich konnte alle meine Fotos Videos und mp3 wiederherstellen.

ich muß mich auch bei Trojaner-Board herzlich bedanken

Gruß

Alt 08.06.2012, 14:48   #924
Andie
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



kann mir jemand den Pfad und ev. Dateinamen-extension für systemwiederherstellung nennen? war-ist bei mir aktiviert, aber Wiederherstellungspunkte waren gelöscht,konnte aber keine Dateien finden. will nun mit recover diese suchen. vermute dass durch den Trojaner ausgeführte chkdsk welches viele Dateien geändert hat einiges am System hin war. nach Win-reparatur und reg-clean läuft nun auch Office 2007 mit Registrierung wieder.

Alt 08.06.2012, 15:02   #925
Undertaker
/// Helfer-Team
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



Zitat:
Zitat von Andie Beitrag anzeigen
kann mir jemand den Pfad und ev. Dateinamen-extension für systemwiederherstellung nennen? war-ist bei mir aktiviert, aber Wiederherstellungspunkte waren gelöscht,konnte aber keine Dateien finden. will nun mit recover diese suchen. vermute dass durch den Trojaner ausgeführte chkdsk welches viele Dateien geändert hat einiges am System hin war. nach Win-reparatur und reg-clean läuft nun auch Office 2007 mit Registrierung wieder.
C:\Windows\System32\Restore
__________________
Das Board unterstützen

Datenrettung -->HIER!

Zitat der Woche: Die Gefahr, dass der Computer so wird wie der Mensch, ist nicht so groß wie die Gefahr, dass der Mensch so wird wie der Computer.

Alt 08.06.2012, 15:09   #926
Andie
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



danke. und komisch. in dem pfad finde ich im explorer nur eine *.txt vom 12.01.2011 1kb
über die systemherstelung von win finde ich wenigstens die aktuellen von gestern heute.
hatte versucht das system mit ERNT 1.1j was ja bei jeden Start ne sicherung anlegt zurück zu holen, finzt aber wohl nur bedingt, sodass win halbwegs läuft.

sollte der eigentliche ordner für die wiederherstellung nicht system volumen information sein?

Alt 08.06.2012, 20:08   #927
Sven S.
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



Ich glaube fast, das der Dateianfang bei der neuen Variante des Trojaners mit "Zufallszeichen" überschrieben wird, welche aus Hardwareeigenschaften oder bestimmten Vorgängen gewonnen wird. Ein wirkliches entschlüsseln ist ja für den Programmierer der Schadsoftware nicht erforderlich (oder wer glaubt daran, das sich das Problem nach Zahlung löst? ;-)).

Somit wird es für diese neue Version wohl gar keine Möglichkeit der Entschlüsselung geben.

Oder gibts es doch noch einen Ansatz den Algorithmus zu erkennen?

Alt 08.06.2012, 22:02   #928
Undertaker
/// Helfer-Team
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



Zitat:
Zitat von Sven S. Beitrag anzeigen
Somit wird es für diese neue Version wohl gar keine Möglichkeit der Entschlüsselung geben.

Oder gibts es doch noch einen Ansatz den Algorithmus zu erkennen?
Zu Satz1) warum dann die Datei .$02 im Temp?

Zu Satz2) der Inhalt der Datei .$02

Es gibt nur noch keinen Ansatz die $02 zu entschlüsseln.
Der Schlüssel ist nicht mehr auf dem Rechner,
er wurde vom Virus an den C&C Server der Gangster übermittelt.
__________________
Das Board unterstützen

Datenrettung -->HIER!

Zitat der Woche: Die Gefahr, dass der Computer so wird wie der Mensch, ist nicht so groß wie die Gefahr, dass der Mensch so wird wie der Computer.

Alt 08.06.2012, 22:56   #929
Sven S.
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



Zitat:
Zitat von Undertaker Beitrag anzeigen
er wurde vom Virus an den C&C Server der Gangster übermittelt.
Wie erfolgt denn die Übermittlung? Ggf. Schlüssel abfangen (sofern ungesichert übertragen)?

Ich habe bisher nur das Schadprogramm und verschlüsselte Dateien. Praxistest mit Monitoring hab ich noch nicht gemacht, aber ihr doch sicherlich schon ;-)....

Alt 09.06.2012, 07:01   #930
Undertaker
/// Helfer-Team
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



@SvenS,

Zitat:
Zitat von Sven S. Beitrag anzeigen
Wie erfolgt denn die Übermittlung? Ggf. Schlüssel abfangen (sofern ungesichert übertragen)?

Ich habe bisher nur das Schadprogramm und verschlüsselte Dateien. Praxistest mit Monitoring hab ich noch nicht gemacht, aber ihr doch sicherlich schon ;-)....
Ja, dem Virus wurde tief in den Rectus gesehen.
Das Ergebnis steht beispielsweise hier:

http://www.trojaner-board.de/115183-...tml#post842502

oder hier ein Zitat eines Antimalwaregurus:

Zitat:
Xylitol May 31, 2012 9:04AM

It’s impossible to decrypt files without criminal’s server.
Report to the Police if you are infected.
Gruß Volker
__________________
Das Board unterstützen

Datenrettung -->HIER!

Zitat der Woche: Die Gefahr, dass der Computer so wird wie der Mensch, ist nicht so groß wie die Gefahr, dass der Mensch so wird wie der Computer.

Thema geschlossen

Themen zu Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)
abrechnung.zip, applikation, beliebige, bytes, dateien verschlüsselt, decrypthelper, ebenfalls, locked, log-analyse und auswertung, neue, ransomware, realtecdriver, rechnung.exe, sie haben sich mit einen windows-verschlüsselungs trojaner infiziert, tr/crypt.xpack.gen, tr/injector.lo, trojan.crypt.ebj, trojan:w32/ransomcrypt, trojan:win32/ransom.opv, verschlüsselt, verschlüsselte dateien, verschlüsselung, wiederherstellung, windows update virus




Ähnliche Themen: Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)


  1. Dateien (vermutl. durch Trojaner) verschlüsselt, wiederherstellung möglich?
    Plagegeister aller Art und deren Bekämpfung - 07.03.2015 (5)
  2. gefälschte Rechnung von Vodaphone mit falschem Link zur angeblichen .pdf-Rechnung
    Plagegeister aller Art und deren Bekämpfung - 18.12.2014 (9)
  3. Win 7 64Bit rECHNUNG:EXE TROJANER KEINE VERSCHLÜSSELTEN DATEIEN
    Log-Analyse und Auswertung - 04.05.2014 (7)
  4. Trojan.Ransomcrypt.F in c:\users\XXX\appdata\roaming\{112c4a02-1112-2f13-0e22-00181b0b15df}.exe: Wiederherstellung verschlüsselter Dateien
    Plagegeister aller Art und deren Bekämpfung - 21.09.2013 (5)
  5. Wiederherstellung von durch neuen Tojaner verschlüsselten Dateien
    Plagegeister aller Art und deren Bekämpfung - 06.03.2013 (15)
  6. Benötige Hilfe beim entschlüsseln meiner durch den Virus verschlüsselten Dateien
    Diskussionsforum - 29.01.2013 (4)
  7. Trojaner verschlüsselt Dateien und hängt Endung .police an - Wiederherstellung möglich?
    Plagegeister aller Art und deren Bekämpfung - 25.09.2012 (5)
  8. Bundestrojaner/Bundespolizei Virus mit verschlüsselten Dateien
    Plagegeister aller Art und deren Bekämpfung - 22.09.2012 (10)
  9. Dateien sind alle umbenannt in z.b. aeDepXDTssXlaTsX durch einen Anhang von einer E-Mail (Rechnung)
    Plagegeister aller Art und deren Bekämpfung - 05.09.2012 (1)
  10. Wiederherstellung/Entschlüsselung von Dateien
    Plagegeister aller Art und deren Bekämpfung - 07.06.2012 (5)
  11. (xpost) neuer Verschlüsselungstrojaner mit teils unveränderten aber trotzdem verschlüsselten Dateien
    Mülltonne - 07.06.2012 (3)
  12. Verschlüsselungstrojaner "Windows Update" (Rechnung.zip) incl. Sperrung aller Dateien
    Log-Analyse und Auswertung - 31.05.2012 (3)
  13. Trojaner? Rechnung.exe geöffnet aus Email, Dateien nun locked
    Plagegeister aller Art und deren Bekämpfung - 30.04.2012 (12)
  14. Aufnahme in "zu entschlüsselnde User"-Liste (Realtecdriver.exe / locked-?.wxyz)
    Log-Analyse und Auswertung - 27.04.2012 (2)
  15. Wiederherstellung der verschlüsselten Dateien nach Trojan.Encoder
    Anleitungen, FAQs & Links - 25.04.2012 (1)
  16. .exe-Dateien + Task-Manager öffnen nicht, Sys-Wiederherstellung klappt nicht
    Log-Analyse und Auswertung - 11.05.2011 (3)
  17. Erpressung mit verschlüsselten Dateien
    Plagegeister aller Art und deren Bekämpfung - 07.12.2010 (1)

Zum Thema Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Zitat: Zitat von Dynamic2223 Die verschlüsselten Dateien sehen wie folgt aus: [...] OsDQpOsvTrlupgevarluX [...] Das verwendete Betriebssystem ist Microsoft Windows XP. Ich habe nun einen Original Datei gefunden. Falls ich - Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)...
Archiv
Du betrachtest: Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.