|
Diskussionsforum: Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben. |
08.06.2012, 11:16 | #916 | |
| Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)Zitat:
Deine einzige Möglichkeit derzeit sind die JPG-Recovery Tools. Gruß DevilTH |
08.06.2012, 11:20 | #917 |
| Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) @DevilTH: Und wie sieht es mit anderen Dateien aus? Gibt es da eine Möglichkeit?
__________________ |
08.06.2012, 11:23 | #918 |
| Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) Noch viel schlechter
__________________Wenn du genau weißt welcher Dateityp die ursprüngliche Datei war, kannst du bei mp3-Dateien mal die entsprechende Endung ranhängen. Es gab aber nur wenige Leute wo dass richtig funzte. |
08.06.2012, 11:23 | #919 |
| Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) Also .jpg kann man aufjedenfall wiederherstellen? Auf dem System sind sehr viele Rechnungen etc. und andere Dokumente drauf. |
08.06.2012, 11:27 | #920 |
| Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) Moin, habe einen Kunden der hat sich den Verschlüsselungstrojaner eingefangen und keine Datensicherung. Habe es dann mit den Beispielbildern versucht und einen schlüssel generiert aber funktioniert nicht. Scheint aber auch unterschiedlich verschlüsselt zu sein. Mal sind die Dateinamen nur zahlen 27367409827 mal Buchstaben und Zahlenkobis D3Fds§f2 mal sind es die normalen Dateinamen aber die gehen nicht auf kommt immer nur Datei ist beschädigt. Habe dem Kunden auch schon gesagt die alle weg sind. Aber eigentlich interessiert mich ob ich es evtl hinbekommen die wiederherzustellen. MFG Simon |
08.06.2012, 11:32 | #921 | ||
| Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)Zitat:
Bei den anderen Dateitypen wird noch nach Lösungen gesucht, da immer die Header und Marker des Dateikopfes verschlüsselt werden. Zitat:
bei Vista und Win7 bekommst du mit ShadowExplorer meist die Dateien wieder hergestellt. Bei XP leider nicht. Die Trojaner- Schreiber sind sehr fleißig: zuerst hatten sie nur ein locked im Dateinamen und eine relativ simple verschlüsselung. Jetzt ändert sich alle paar Tage das Muster. Zahlen sind vollkommen neu für mich Gruß DevilTH |
08.06.2012, 11:38 | #922 | |
/// Helfer-Team | Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)Zitat:
läuft das System des Kunden schon wieder und wenn ja, hast Du das wiederhergestellt? Hast Du Zugriff auf die Mail mit Anhang? Wenn wir vom gleichen Übeltäter sprechen, dann wäre der Dropper sehr wichtig. Verschlüsselungen in der von Dir beschriebenen Form sind neu. Die bisherigen Verschlüsselungen hatten entweder den Präfix locked- oder der dateiname bestand aus Alphanumerischen zeichen ohne Extension. Das was Du beschreibst ist neu. Volker
__________________ Das Board unterstützen Datenrettung -->HIER! Zitat der Woche: Die Gefahr, dass der Computer so wird wie der Mensch, ist nicht so groß wie die Gefahr, dass der Mensch so wird wie der Computer. |
08.06.2012, 13:03 | #923 |
| Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) Hallo Ich hab jetzt mal das Programm ShadowExplorer ausprobiert und ich konnte alle meine Fotos Videos und mp3 wiederherstellen. ich muß mich auch bei Trojaner-Board herzlich bedanken Gruß |
08.06.2012, 14:48 | #924 |
| Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) kann mir jemand den Pfad und ev. Dateinamen-extension für systemwiederherstellung nennen? war-ist bei mir aktiviert, aber Wiederherstellungspunkte waren gelöscht,konnte aber keine Dateien finden. will nun mit recover diese suchen. vermute dass durch den Trojaner ausgeführte chkdsk welches viele Dateien geändert hat einiges am System hin war. nach Win-reparatur und reg-clean läuft nun auch Office 2007 mit Registrierung wieder. |
08.06.2012, 15:02 | #925 | |
/// Helfer-Team | Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)Zitat:
__________________ Das Board unterstützen Datenrettung -->HIER! Zitat der Woche: Die Gefahr, dass der Computer so wird wie der Mensch, ist nicht so groß wie die Gefahr, dass der Mensch so wird wie der Computer. |
08.06.2012, 15:09 | #926 |
| Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) danke. und komisch. in dem pfad finde ich im explorer nur eine *.txt vom 12.01.2011 1kb über die systemherstelung von win finde ich wenigstens die aktuellen von gestern heute. hatte versucht das system mit ERNT 1.1j was ja bei jeden Start ne sicherung anlegt zurück zu holen, finzt aber wohl nur bedingt, sodass win halbwegs läuft. sollte der eigentliche ordner für die wiederherstellung nicht system volumen information sein? |
08.06.2012, 20:08 | #927 |
| Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) Ich glaube fast, das der Dateianfang bei der neuen Variante des Trojaners mit "Zufallszeichen" überschrieben wird, welche aus Hardwareeigenschaften oder bestimmten Vorgängen gewonnen wird. Ein wirkliches entschlüsseln ist ja für den Programmierer der Schadsoftware nicht erforderlich (oder wer glaubt daran, das sich das Problem nach Zahlung löst? ;-)). Somit wird es für diese neue Version wohl gar keine Möglichkeit der Entschlüsselung geben. Oder gibts es doch noch einen Ansatz den Algorithmus zu erkennen? |
08.06.2012, 22:02 | #928 | |
/// Helfer-Team | Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)Zitat:
Zu Satz2) der Inhalt der Datei .$02 Es gibt nur noch keinen Ansatz die $02 zu entschlüsseln. Der Schlüssel ist nicht mehr auf dem Rechner, er wurde vom Virus an den C&C Server der Gangster übermittelt.
__________________ Das Board unterstützen Datenrettung -->HIER! Zitat der Woche: Die Gefahr, dass der Computer so wird wie der Mensch, ist nicht so groß wie die Gefahr, dass der Mensch so wird wie der Computer. |
08.06.2012, 22:56 | #929 |
| Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) Wie erfolgt denn die Übermittlung? Ggf. Schlüssel abfangen (sofern ungesichert übertragen)? Ich habe bisher nur das Schadprogramm und verschlüsselte Dateien. Praxistest mit Monitoring hab ich noch nicht gemacht, aber ihr doch sicherlich schon ;-).... |
09.06.2012, 07:01 | #930 | ||
/// Helfer-Team | Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) @SvenS, Zitat:
Das Ergebnis steht beispielsweise hier: http://www.trojaner-board.de/115183-...tml#post842502 oder hier ein Zitat eines Antimalwaregurus: Zitat:
__________________ Das Board unterstützen Datenrettung -->HIER! Zitat der Woche: Die Gefahr, dass der Computer so wird wie der Mensch, ist nicht so groß wie die Gefahr, dass der Mensch so wird wie der Computer. |
Themen zu Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) |
abrechnung.zip, applikation, beliebige, bytes, dateien verschlüsselt, decrypthelper, ebenfalls, locked, log-analyse und auswertung, neue, ransomware, realtecdriver, rechnung.exe, sie haben sich mit einen windows-verschlüsselungs trojaner infiziert, tr/crypt.xpack.gen, tr/injector.lo, trojan.crypt.ebj, trojan:w32/ransomcrypt, trojan:win32/ransom.opv, verschlüsselt, verschlüsselte dateien, verschlüsselung, wiederherstellung, windows update virus |