Zurück   Trojaner-Board > Malware entfernen > Diskussionsforum

Diskussionsforum: Neue Verschlüsselungs-Trojaner Variante im Umlauf

Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben.

Antwort
Alt 08.06.2012, 19:17   #1
limelight
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



falscher Thread

Geändert von limelight (08.06.2012 um 19:24 Uhr)

Alt 08.06.2012, 20:20   #2
Keks5
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Hallo,

ich habe geschafft einige Dokumente wieder zu beschaffen. Allerdings habe ich es bisher nur mit *.doc probiert. Die Namen sind alle nur noch numerisch, man kann sie aber an Hand der Größe einigermaßen identifizieren. Ob es sich um alle Dokumente kann ich nicht beurteilen, da es sich nicht um meinen Rechner handelt.

So, nun genug zurück gerudert:
Funktionieren tut es mit dem forensischen Tool "foremost" unter Linux.
Ich habe aus der CT die desinfeC'T - Ubuntu Version genommen, die ich bereits auf einem USB-Stick habe. Das nur am Rande, mit knoppix usw. geht es identisch gut. Ich kann hier nochmal unetbootin (UNetbootin - Homepage and Downloads) empfehlen, was einem simpel einen bootbaren Linux USB Stick zaubert, Anleitung auf der entspr. Seite.
1. Linux booten (Mit Kabel am WLAN Router, da ein paar Sachen herunter geladen werden müssen)
2. eine Console auf machen und folgendes eingeben
Code:
ATTFilter
sudo su -
apt-get update
apt-get install aptitude
aptitude update
aptitude search foremost
         
3. Wenn hier foremost gefunden wird, folgendes eingeben
Code:
ATTFilter
aptitude install foremost
         
Und bei Punkt 5 weiter machen

4. wenn nicht, dann müssen wir uns eine Version selber aus den Sourcen bauen und installieren einen Compiler
Code:
ATTFilter
aptitude install gcc make
         
Quellcode runterladen:
hxxp://foremost.sourceforge.net/pkg/foremost-1.5.7.tar.gz

mit der Console in das Verzeichnis wechseln, wo das heruntergeladene Paket "foremost-1.5.7.tar.gz" liegt. Was wir mit
Code:
ATTFilter
tar -xzvf foremost-1.5.7.tar.gz
         
entpacken

nun in das entpackte Verzeichnis wechseln "foremost-1.5.7" und folgende Befehle ausführen
Code:
ATTFilter
make
make install
         
Nun sollte das Programm compiliert und installiert sein.

5. Ich habe eine eine andere Platte angeschlossen, um dort meine Dateien drauf zu speichern. Die Syntax sieht folgermaßen aus:
foremost -t doc -i /dev/hda3 -o /media/meineplatte/recovery
-t gibt den Filetype an (im Link sind noch ettliche mehr beschrieben)
-i das Device, wie Linux die Partition anspricht
-o wo der Output gespeichert werden soll

Ein Link, der hilft:
https://help.ubuntu.com/community/DataRecovery


Evtl. sollte man jemanden Fragen, der sich mit Linux etwas auskennt.

Hier muss man auch Geduld mitbringen. Der Rechner, bei dem ich es gerade mache ist schon eine Weile bei der Arbeit.
Ich hoffe, dass ihr einiges retten könnt!!

Gruß
Keks5
__________________


Alt 08.06.2012, 22:48   #3
Keks5
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Hallo einmal wieder,

die Untersuchung der HDD mit dem forensischen Programm war mehr oder weniger erfolgreich. Es wurden alle *.doc Dateien in ein Verzeichnis extrahiert. Ich habe dann mit einem Skript einen Grössenvergleich mit den originalen, verschlüsselten gemacht und die Kandidaten, die in Frage kommen in ein Unterverzeichnis des Ursprungsverzeichnisses kopiert.
Ebenfalls habe ich ein grep auf Schlagwörter, wie Namen etc. gemacht, und diese dann ebefalls in ein Verzeichnis kopiert. Es sind definitv Dateien dabei, die verschlüsselt sind/waren. Also ich konnte nun einen Großteil der Daten wieder herstellen. Wie im anderen Beitrag erwähnt, habe ich es mit DOCs gemacht.

EDIT:
Die Dateien sehen nach der Wiederherstellung wie folgt aus:
16768530.doc

Gruß
Keks5

Zitat:
Zitat von Keks5 Beitrag anzeigen
Hallo,

ich habe geschafft einige Dokumente wieder zu beschaffen. Allerdings habe ich es bisher nur mit *.doc probiert. Die Namen sind alle nur noch numerisch, man kann sie aber an Hand der Größe einigermaßen identifizieren. Ob es sich um alle Dokumente kann ich nicht beurteilen, da es sich nicht um meinen Rechner handelt.

So, nun genug zurück gerudert:
Funktionieren tut es mit dem forensischen Tool "foremost" unter Linux.
Ich habe aus der CT die desinfeC'T - Ubuntu Version genommen, die ich bereits auf einem USB-Stick habe. Das nur am Rande, mit knoppix usw. geht es identisch gut. Ich kann hier nochmal unetbootin (UNetbootin - Homepage and Downloads) empfehlen, was einem simpel einen bootbaren Linux USB Stick zaubert, Anleitung auf der entspr. Seite.
1. Linux booten (Mit Kabel am WLAN Router, da ein paar Sachen herunter geladen werden müssen)
2. eine Console auf machen und folgendes eingeben
Code:
ATTFilter
sudo su -
apt-get update
apt-get install aptitude
aptitude update
aptitude search foremost
         
3. Wenn hier foremost gefunden wird, folgendes eingeben
Code:
ATTFilter
aptitude install foremost
         
Und bei Punkt 5 weiter machen

4. wenn nicht, dann müssen wir uns eine Version selber aus den Sourcen bauen und installieren einen Compiler
Code:
ATTFilter
aptitude install gcc make
         
Quellcode runterladen:
hxxp://foremost.sourceforge.net/pkg/foremost-1.5.7.tar.gz

mit der Console in das Verzeichnis wechseln, wo das heruntergeladene Paket "foremost-1.5.7.tar.gz" liegt. Was wir mit
Code:
ATTFilter
tar -xzvf foremost-1.5.7.tar.gz
         
entpacken

nun in das entpackte Verzeichnis wechseln "foremost-1.5.7" und folgende Befehle ausführen
Code:
ATTFilter
make
make install
         
Nun sollte das Programm compiliert und installiert sein.

5. Ich habe eine eine andere Platte angeschlossen, um dort meine Dateien drauf zu speichern. Die Syntax sieht folgermaßen aus:
foremost -t doc -i /dev/hda3 -o /media/meineplatte/recovery
-t gibt den Filetype an (im Link sind noch ettliche mehr beschrieben)
-i das Device, wie Linux die Partition anspricht
-o wo der Output gespeichert werden soll

Ein Link, der hilft:
https://help.ubuntu.com/community/DataRecovery


Evtl. sollte man jemanden Fragen, der sich mit Linux etwas auskennt.

Hier muss man auch Geduld mitbringen. Der Rechner, bei dem ich es gerade mache ist schon eine Weile bei der Arbeit.
Ich hoffe, dass ihr einiges retten könnt!!

Gruß
Keks5
__________________

Antwort

Themen zu Neue Verschlüsselungs-Trojaner Variante im Umlauf
256 bit, 256 bit aes schlüssel, abmahnn, computerverschlüsselungstrojaner, mahnung.zip, rechnung.pif, sie haben sich mit einen windows-verschlüsselungs trojaner infiziert, spam-mails, tr/skelf.a, trojan.matsnu.1, trojan.winlock, trojan:win32/matsnu.gen!a, verschlüsselungs-trojaner, virus verschlüsselt, wickel, willkomen bei windows update, win32/trustezeb.b, windows notfall sicherheits-update center




Ähnliche Themen: Neue Verschlüsselungs-Trojaner Variante im Umlauf


  1. XcodeGhost: Neue Version von manipuliertem Apple-Entwicklungstool im Umlauf
    Nachrichten - 04.11.2015 (0)
  2. Neue DHL-Mail Variante?
    Diskussionsforum - 29.05.2015 (2)
  3. Neue Familie von Erpressungs-Trojanern Umlauf
    Nachrichten - 15.08.2013 (0)
  4. Bundestrojaner neue Variante?
    Plagegeister aller Art und deren Bekämpfung - 26.03.2013 (28)
  5. BKA Trojaner neue Variante "Der Computer ist für die Verletzung der Gesetze der Bundesrepublik..."
    Plagegeister aller Art und deren Bekämpfung - 05.08.2012 (2)
  6. Windows-Verschlüsselungs-Trojaner (Neue Art)
    Plagegeister aller Art und deren Bekämpfung - 25.07.2012 (1)
  7. Verschlüsselungs Trojaner BKA GEMA Variante
    Plagegeister aller Art und deren Bekämpfung - 25.07.2012 (1)
  8. Neuer Verschlüsslungs Variante in umlauf
    Diskussionsforum - 13.07.2012 (7)
  9. Verschlüsselungs-Trojaner, Neue Version
    Plagegeister aller Art und deren Bekämpfung - 13.06.2012 (1)
  10. Rechner befallen von ...... Neue Verschlüsselungs-Trojaner Variante im Umlauf
    Plagegeister aller Art und deren Bekämpfung - 12.06.2012 (1)
  11. Verschlüsselungs-Trojaner Variante
    Plagegeister aller Art und deren Bekämpfung - 03.06.2012 (1)
  12. Neue Variante von Ukash
    Log-Analyse und Auswertung - 23.10.2011 (34)
  13. Bundespolizei: Neue Variante vom 'Bundes-Trojaner'
    Plagegeister aller Art und deren Bekämpfung - 09.09.2011 (5)
  14. Neue Mails im Umlauf
    Plagegeister aller Art und deren Bekämpfung - 21.03.2007 (1)
  15. neue Variante von W32.Netsky ?
    Plagegeister aller Art und deren Bekämpfung - 15.04.2005 (10)
  16. Neue Blaster Variante?
    Plagegeister aller Art und deren Bekämpfung - 02.09.2003 (4)

Zum Thema Neue Verschlüsselungs-Trojaner Variante im Umlauf - falscher Thread - Neue Verschlüsselungs-Trojaner Variante im Umlauf...
Archiv
Du betrachtest: Neue Verschlüsselungs-Trojaner Variante im Umlauf auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.