Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)

AlbertM

Ich habe gestern einen Trojaner erhalten, der auf einem Rechner die Dateien umbenennt und verschlüsselt. Ich habe auch schon das Tool DecryptHelper 0.5.3 von Matthias Kunig probiert, leider ohne Erfolg. System: Windows 7 Home Premium.

Symptome:
Die Dateien werden umbenannt und verschlüsselt, z.B.:
Originalbild: Chrysanthemum.jpg
Neuer Name: jnqujtlxXOjrGgJJLG

Ich habe mal eine Kopie der umbenannten Datei erstellt (sicherheitshalber per Ubuntu LiveCD gebootet, auf leeren USB-Stick kopiert, und dann auf einen sauberen XP-Rechner angesehen) und sie in eine .jpg umbenannt. Sie ist aber nicht lesbar, also wohl nicht nur umbenannt sondern auch verschlüsselt.

Ich habe dann Originaldateien und die verschlüsselten Versionen versucht mit DecryptHelper 0.5.3 zu bearbeiten, doch hier schlägt schon die Erzeugung des Schlüssels fehl. Ich wähle nach Aufforderung die verschlüsselte Datei aus, dann die zugehörige Original-Windows-Beispielbilddatei (aus dem hier im Forum verlinkten Archiv), dann erscheint die Meldung "Der Schlüssel konnte nicht bestimmt werden!". Jetzt bin ich ratlos.

Gibt es irgendwelche Ideen, wie ich die Dateiinhalte wieder entschlüsseln kann, evtl. sogar die Dateinamen wiederherstellen kann? Jede Hilfe dazu wäre echt nett!

Leider sind die verschlüsselten Windows-7-Beispielbilder alle größer als 488 kb, so dass das Größenlimit für Zip-Dateien des Forums überschritten wird und ich die verschlüsselten Dateien hier nicht hochladen darf. Falls benötigt kann ich sie aber gerne zumailen.