![]() |
|
Diskussionsforum: Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben. |
![]() |
|
![]() | #1 |
/// Helfer-Team ![]() ![]() | ![]() Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) Na ja, Werbung macht BC nicht. Allerdings scheint die Kapitulation gegenüber den Gangstern, bei eine Infizierung mit einer Trojaner-Variante nach dem 1.4.14, die einzige Chance zu sein, seine Daten wieder zu bekommen. Symantec hat ja die Klappe nicht halten können, sonst wäre es für viele vielleicht einfacher gewesen. Wie vor zwei Jahren, ist hier weider der Beweis für eine richtige Datensicherung, vor allem, wenn man auf diese angewiesen ist.
__________________ Das Board unterstützen Datenrettung -->HIER! Zitat der Woche: Die Gefahr, dass der Computer so wird wie der Mensch, ist nicht so groß wie die Gefahr, dass der Mensch so wird wie der Computer. |
![]() | #2 | |
![]() ![]() ![]() ![]() | ![]() Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)Zitat:
Wenn es wirklich wichtige Daten sind (und ich meine nicht Urlaubsvideos o.ä.) dann hat man i.d.R. auch eine Sicherung und der Schaden ist nicht ganz so groß. |
![]() | #3 |
![]() ![]() ![]() | ![]() Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) Blöde Frage: Wie kommt der Trojaner an die Information, welche und vorallem wie viele Dateien in einem Verzeichnis liegen?
__________________Er wird ja wohl auch irgendwann einmal eine Verzeichnisabfrage starten müssen? Annahme 1: Trojaner ermittelt, ob es ein Verzeichnis "Bilder" o.ä. gibt: -> Könnte man diese Abfrage nicht irgendwie abfangen und verändern, so dass z.B. die Ordner "Bilder" oder "Dokumente" für den CL nicht mehr sichtbar sind? (Gewollter Patch von "NtQueryDirectoryFile") Annahme 2: Die Pfade von "Bilder" und "Dokumente" sind im Trojaner hardcodiert und er fragt nicht nach, ob die Pfade existieren. Sieht er das Verzeichnis "Bilder" nicht, kann er trotzdem herausfinden, wie viele Dateien darin sind, und sie alle verschlüsseln. -> Man verschiebt/kopiert alle seine Sachen in einen unauffälligen Ordner wie z.B. "Neuer Ordner", oder benutzt "Neuer Ordner" direkt von Anfang an als Speicherort für das neue Word-Dokument oder die Ferienbilder. Anschliessend verändert man die Verzeichnisabfrage, so dass "Neuer Ordner" nicht mehr im Ordnerlisting (des CLs) auftaucht, so sieht dieser den Ordner und somit die wertvollen Dateien gar nicht erst. Vorteil gegenüber Datei-Backup / Virensignatur vom CryptoLocker: - Man muss sich nicht lange mit Backup-Lösungen befassen (ich z.B. hasse Backups) und man muss nur einen einzigen Namen im Verzeichnis-Listing ausblenden, - Man hätte automatisch einen wirklich heuristischen Schutz, da ja jede Variante, egal wie neu, immer noch irgendwann mal eine grundlegende Verzeichnisabfrage starten muss. Nachteile: - Verleitet vielleicht dazu, Backups für immer zu ignorieren, obwohl es auch irgendwann mal die Festplatte selber treffen könnte (kein malwarebedingter Schaden) - Findet der CL das "verborgene" Verzeichnis doch irgendwie (RAW-Lesezugriff?), hat man verloren. - Wie soll ein 0815-DAU die von Cryptolocker gemappte ntdll.dll zuverlässig verändern? Was haltet ihr von meinen Überlegungen? Grüsse - Microwave |
![]() |
Themen zu Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) |
abrechnung.zip, applikation, beliebige, bytes, dateien verschlüsselt, decrypthelper, ebenfalls, locked, log-analyse und auswertung, neue, ransomware, realtecdriver, rechnung.exe, sie haben sich mit einen windows-verschlüsselungs trojaner infiziert, tr/crypt.xpack.gen, tr/injector.lo, trojan.crypt.ebj, trojan:w32/ransomcrypt, trojan:win32/ransom.opv, verschlüsselt, verschlüsselte dateien, verschlüsselung, wiederherstellung, windows update virus |