Zitat:

Zitat von Derben

Der decrypter schneidet mir bei .xls, .docx einen Teil vom File- Header ab:

... schnipp ...

Meine Keyfile:

hxxp://dl.dropbox.com/u/26766620/decrypt.key

.jpg und .rar/.zip, die im selben Durchlauf berechnet wurden, funktionieren bisher komplett.

Welchen Zustand der Datei sehe ich rechts/links?
Ist die wiederhergestellte Datei aufs Byte genau gleich groß zu der verschlüsselten Version?

Gibt es eine Möglichkeit, Java mit mehr als einem CPU Kern arbeiten zu lassen? So sitz ich noch bis Ostern hier. (Ja, Ostern.)

Zitat:

Zitat von Qinjify

Gibt es eine Möglichkeit, Java mit mehr als einem CPU Kern arbeiten zu lassen? So sitz ich noch bis Ostern hier. (Ja, Ostern.)

Kommt auf die Liste, benötigt aber Änderungen am Sourcecode.
Alternativ schaue ich mich mal nach weiteren Optimierungen um.

Falls hier jemand mitliest, der Ahnung vom Java-Datei-Handling hat, kann er mir gerne beim Optimieren der Entschlüsselungsroutine unter die Arme greifen!

Code: Alles auswählenAufklappen

ATTFilter

private void decrypt(byte[] key, File encrypted, File original)
	throws IOException
{
	InputStream inputStream = new BufferedInputStream(new FileInputStream(encrypted));
	OutputStream outputStream = new BufferedOutputStream(new FileOutputStream(original));

	int pos = 0;
	while(inputStream.available() > 0)
	{
		if(pos < key.length)
		{
			outputStream.write(inputStream.read() ^ key[pos++]);
		}
		else
		{
			outputStream.write(inputStream.read());
		}
	}

	inputStream.close();
	outputStream.flush();
	outputStream.close();
}
         

Hier gibt es definitiv Optimierungspotential.
Ziel war es erstmal nur eine Version fertig zu stellen, die einzelne, wichtige Dateien wiederherstellen kann ohne die verschlüsselte Version zu überschreiben!

Nur mal als Zwischeninfo von mir.
v3.2 läuft gerade über einen Ordner 5,04GB - 640 Dateien, 131 Ordner.
Seit 25 Minuten.
Er hat bisher ca. 200 Dateien geschafft, was in diesem Fall ziemlich genau 0,5GB entspricht.

Zitat:

Zitat von matkuni

Welchen Zustand der Datei sehe ich rechts/links?
Ist die wiederhergestellte Datei aufs Byte genau gleich groß zu der verschlüsselten Version?

Oh, Verzeihung, Links das Original aus einem Backup.

Original: 143.872 byte
Rekonstruktion: 143.872

Größe passt also noch

Benutzt du irgendwelche unicode- Funktionen oder andere, die
die Regionseinstellungen in Betracht ziehen? Habe Win7 Region auf
japanisch.

Zitat:

Zitat von Derben

Oh, Verzeihung, Links das Original aus einem Backup.

Original: 143.872 byte
Rekonstruktion: 143.872

Größe passt also noch

Benutzt du irgendwelche unicode- Funktionen oder andere, die
die Regionseinstellungen in Betracht ziehen? Habe Win7 Region auf
japanisch.

Sorry, ist ein wenig untergegangen.
Und was ist die rechte Datei? Die vom verschlüsselte Datei oder die wiederhergestellte Version?

Wenn es noch die verschlüsselte ist - das ist ganz normal!
Die Schadsoftware vergreift sich nur an den ersten 4 KB einer Datei.

Stand hier nicht gerade noch ein Post von mir?

@irm
das diese backdoor funktionalität aufmerksamen lesern bewusst ist, ist klar.
ich schrieb das nur für die leute, die hier einen post ala, super, es hat geklappt, machen, und ihren pc dann nicht mehr weiter untersuchen lassen.
da diese malware nun einmal eine vollwertige schadsoftware, nicht wie das sonstige ransom ware gedöns ist, was wir so haben, muss das zwischendurch noch mal erwähnt werden :-)

Hi zusammen ich finde das alles echt toll wie das alle hinbekomme aber ich verstehe echt nur bahnhof
kann mir jemand bitte helfen

Zitat:

Zitat von snoweagle

Hi zusammen ich finde das alles echt toll wie das alle hinbekomme aber ich verstehe echt nur bahnhof
kann mir jemand bitte helfen

Wo hakt es denn?
Erst einmal muß der Schädling runter vom Rechner.

naja, erst mal müssen wir deinen pc bereinigen dann kannst du im normalen windows betrieb die files entschlüsseln.
da hier aber nun mal einiges zu tun ist, sollte man schon geduld mit bringen

also fakt ist eins das dananch der 50er schein bei euch landet da die zeckentrojaner dies abverlangten- 2. kann ich nicht per paypal aus dem jetzigen rechner zahlen da er error etc. anzeigt .
3. was mach ich jetzt und wie ?
gruss günni

Zitat:

Zitat von markusg

naja, erst mal müssen wir deinen pc bereinigen dann kannst du im normalen windows betrieb die files entschlüsseln.
da hier aber nun mal einiges zu tun ist, sollte man schon geduld mit bringen

Also erstmal machst du folgendes: Kein Geld überweisen.

Meine Line war die Kaspersky Rescue Disk. Damit lies sich der ursprüngliche Trojaner entfernen.
Danach kannst du mit dem hier angebotenen Tool deine Dateien wieder entschlüsseln.

VIELEN DANK ZUNÄCHST FRAGE. wie komme ich an die disk ? ich kann ja keine erstellen

Zitat:

Zitat von Qinjify

Also erstmal machst du folgendes: Kein Geld überweisen.

Meine Line war die Kaspersky Rescue Disk. Damit lies sich der ursprüngliche Trojaner entfernen.
Danach kannst du mit dem hier angebotenen Tool deine Dateien wieder entschlüsseln.

Von einem nicht-verseuchten Rechner. Ein paar Grundvoraussetzungen müssen schon gegeben sein.