Hallo Zusammen,

ich habe mir auf meinem Geschäftspc auch so einen blöden Verschlüsselungstrojaner eingefangen gehabt. Ich selber hab das Ding dann nur aus gemacht und zu den Fachleuten gebracht. Tja.. Trojaner ist weg, aber auch alle Dateien.. Es handelte sich wohl auch um eine ganz neue Version, wo wohl noch nicht geknackt ist. :-(
Und ich habe schon wieder so eine "Email" in meinem Postfach, aber noch mal falle ich auf den Mist nicht rein...
Ich hoffe das auch die neue Version bald entschlüsselt ist, dann bekomme ich meine alten Dateien wieder...

LG

@ undertaker

ich will hier auch niemanden nerven, ihr macht eine super arbeit und seit mehr als gestresst. bin seit meinem befall am 30.05. hier, habe alles gelesen und immer tag-aktuell dabei.

da kann ich verstehen, dass bei neuanfragen, wo auch niemand was gelesen hat und immer die gleichen dusseligen fragen kommen, einem die hutschnur hoch geht. kenne ich von deinen posts. haste aber recht. ich wäre wahrscheinlich schon mehrfach explodiert. aber ich sehe auch eine schwäche fürs weibliche geschlecht da bist du nachgiebiger.

alles egal, riesen lob an euch und danke.

ingo_2810

Zitat:

Zitat von ingo_2810

...
aber ich sehe auch eine schwäche fürs weibliche geschlecht da bist du nachgiebiger.

alles egal, riesen lob an euch...

ingo_2810

Zum ersten Teil:
Andersrum wäre auch keine Option für mich.

Zum zweiten Teil, Danke!

Volker

Guten Abend,
ich habe folgendes Erscheinungsbild:

Die Bilder werden in der Vorschau noch angezeigt (Dateiname ist erhalten geblieben), jedoch bei Versuch das Bild zu öffnen erscheint "ungültiges Bild".
Ich könnte ein Originalbild und ein verschlüsseltes Bild zur Verfügung stellen.

Danke und Gruß
Heiko

Zitat:

Zitat von vn1500

Guten Abend,
ich habe folgendes Erscheinungsbild:

Die Bilder werden in der Vorschau noch angezeigt (Dateiname ist erhalten geblieben), jedoch bei Versuch das Bild zu öffnen erscheint "ungültiges Bild".
Ich könnte ein Originalbild und ein verschlüsseltes Bild zur Verfügung stellen.

Danke und Gruß
Heiko

Hi,

an den beiden Dateien hätte ich Interesse..

Schicke dir ne PN.

Grüße

Hallo
hab seit einigen Tagen den Geschäftsrechner meines Bruders in Bearbeitung. Die Dateien sind auch mit dem Buchstabensalat verschlüsselt und natürlich existiert auch keine Datensicherung.

Habe nun vor zwei Tagen Recuva drüberlaufen lassen und konnte einen Teil der Daten insbesondere Word, Excel, pdf`s usw. in den meisten Fällen mit Dateinamen und Endungen wieder herstellen.

Zitat:

Zitat von bertimj

Hallo
hab seit einigen Tagen den Geschäftsrechner meines Bruders in Bearbeitung. Die Dateien sind auch mit dem Buchstabensalat verschlüsselt und natürlich existiert auch keine Datensicherung.

Habe nun vor zwei Tagen Recuva drüberlaufen lassen und konnte einen Teil der Daten insbesondere Word, Excel, pdf`s usw. in den meisten Fällen mit Dateinamen und Endungen wieder herstellen.

Super! Hat noch jemand ähnliche Erfahrungen, dann können wir ja Recuva in die Liste der Tools zur Datenrettung aufnehmen?!
Ich hab selber keine betroffenen Rechner da, sonst würde ich auch testen.

Zitat:

Zitat von pcab50

Super! Hat noch jemand ähnliche Erfahrungen, dann können wir ja Recuva in die Liste der Tools zur Datenrettung aufnehmen?!
Ich hab selber keine betroffenen Rechner da, sonst würde ich auch testen.

moin moin pcab50,
ich habe es versucht, konnte es aber nicht reproduzieren.
Bei mir wurde keine verschlüsselte Datei wiederhergestellt.
Lediglich ältere, gelöschte Dateien wurden erkannt.
Ich habe daraufhin verschlüsselte Dateien gelöscht und versucht sie zu rekonstruieren.
Recuva hat allerdings nichts brauchbares wiederhergestellt, nur wieder die verschlüsselten Dateien.
Das hat noch nichts zu bedeuten, kann ja mein Fehler sein.
Ich habe aber die Vermutung, dass es sich bei der Rekonstruktion um Dateien handelt, die vor dem Befall gelöscht wurden
Solange es keiner verifiziert und bestätigt, bin ich skeptisch.

Volker

@seeadler,
warum sorry, Du mußt Dich doch nicht entschuldigen.
Zum Thema:
Du setzt voraus, dass man mit dem infizierten Rechner ins Netz muß.
Nein, kann ja auch mit einem Zweitrechner sein.
Wenn ich dann mein Thema starte und schildere, dass mit dem befallenen Rechner nix geht, wird man schon über eine BootCD zum Ziel geführt.
Da Erzangle hier im Forum war, konnte er sein Thema starten, unabhängig ob sein infizierter Rechner startet oder nicht.

Volker

Zitat:

Zitat von Undertaker

Ich habe aber die Vermutung, dass es sich bei der Rekonstruktion um Dateien handelt, die vor dem Befall gelöscht wurden
...
Volker

Datensicherung durch Löschen? Nun ja, wenn man hellsehen könnte, wäre das eine Option ...

Zitat:

Zitat von Peter I.

Datensicherung durch Löschen? Nun ja, wenn man hellsehen könnte, wäre das eine Option ...

Ja Peter, so blöd wie das klingt, aber wer kurz vor dem Öffnen des Anhangs seine Daten gelöscht hat, hat die allerbesten Chancen.
Es sei denn, er fuchtelt vor dem Restore unnütz auf der HDD rum.

Volker

Zitat:

Zitat von pcab50

Super! Hat noch jemand ähnliche Erfahrungen, dann können wir ja Recuva in die Liste der Tools zur Datenrettung aufnehmen?!
Ich hab selber keine betroffenen Rechner da, sonst würde ich auch testen.

Also Recuva stellt die verschlüsselten Dateien nicht wieder her. Dateien die vorher gelöscht worden sind,zeigt es mir an und stellt es auch wieder her. Die verschlüsselten Datei leider nicht. Habe auch ähnliche Progs laufen lassen überall das gleiche.
Die nette Datei im Tmp Ordner hat er mir aber leider nicht angezeigt.
Also hinsetzen ein und abwarten, und hoffen das alle danach endlich mal eine Datensicherung machen und nicht nachher so dastehem

Zitat:

Zitat von Duene

Also hinsetzen ein und abwarten, und hoffen das alle danach endlich mal eine Datensicherung machen und nicht nachher so dastehem

Und den Rechner vollkommen in Ruhe lassen, solange die Datensicherung läuft und die Sicherungsplatte angedockt ist ... (sprich bspw. mit dem e-mail-Briefkasten und anderen Programmen erst wieder rummachen, nachdem man die Datensicherungsplatte vom Rechner getrennt hat)

Hey ,

hätte da mal ne frage und zwar :

Da jpg , pdf , doc , mp3 ... etc.
im Hex jedesmal den selben Anfang haben
( Beispiel :
Jpg Anfang bei jedem Bild : 001
Pdf Anfang bei jedem Dokument : 002
Doc Anfang bei jedem Dokument : 003
mp3 Anfang bei jedem Dokument : 004
)

würde es doch reichen wenn man ein Programmm schreibt, in dessen man auswählen kann um welchen Datentyp es sich handelt, dann sucht das Programm in der Datei den jeweiligen Anfang ( bsp: 001 ) und löscht alles was VOR dem Code stand aus der Datei raus.

Da ja nur die ersten (12 ? ) kb verschlüsselt sind und der Rest erhalten bleibt müssten die Datein doch wieder lesbar sein.

Vorraussetzung ist dann hallt nur dass man weis um Welchen Datentyp es sich handelt, aber bei ein bisschen Ordnung sollte das ja das geringste Problem darstellen

Falls ich falsch liege verbessert mich bitte (:

hallo ich habe heute das vergnügen gahabt mein rechner neu auf zu setzen ich habe an virus@trojaner-board.de mal drei e-mails von mir geschickt mit den neuen trojaner drauf ich hoffen er hilft euch weiter würde mich über eine nachricht freuen

@Undertaker

Ich habe stichprobenartig die Daten getestet, es ließen sich alle öffnen. Entweder ist ein Trittbettfahrer unterwegs, oder aber aus irgendeinem Grund wurde nichts verschlüsselt. Ich konnte auch kein Textfile finden. Malwarebytes hat auch nur noch Adware gefunden, sonst nix.
Habe die zwei Verdächtigen Files mal auf einen USB-Stick gezogen und könnte die hochladen. Das alte System läuft inzwischen in einer VM auf einem neuen Rechner. Bisher ist nichts auffälliges mehr festzustellen.

Zitat:

Zitat von Duene

Gupta SQLBase
Aus der Software AdvoWeb von Advoware
Habe schon einige Tools über die BD gejagt aber bisher ohne Erfolg
arbeite nur mit den Kopien :-), bin auf Backtrack ausgewichen und versuche damit was zu reparieren die Struktur der Software ist halt wichtig, die Amwältin hat keine Sicherung gehabt und waren nur über 500 Klienten :-(

Tipp: Wende Dich besser direkt an Advoweb( Hr. Meisner)! Falls die Anwältin vor kurzem ein Update eingespielt haben sollte, dann gibt es eine Sicherung der Datenbank. Gucke mal nach einem "sic" Ordner, dieser wird automatisch angelegt.
Man kann diese Datenbanksicherung auch automatisieren (mit Boardmitteln), so dass für Notfälle immer ein Backup vorhanden ist.
Viel Erfolg!