![]() |
|
Diskussionsforum: Neue Verschlüsselungs-Trojaner Variante im UmlaufWindows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben. |
![]() |
|
![]() | #1 |
| ![]() Neue Verschlüsselungs-Trojaner Variante im Umlauf falscher Thread Geändert von limelight (08.06.2012 um 19:24 Uhr) |
![]() | #2 |
![]() | ![]() Neue Verschlüsselungs-Trojaner Variante im Umlauf Hallo,
__________________ich habe geschafft einige Dokumente wieder zu beschaffen. Allerdings habe ich es bisher nur mit *.doc probiert. Die Namen sind alle nur noch numerisch, man kann sie aber an Hand der Größe einigermaßen identifizieren. Ob es sich um alle Dokumente kann ich nicht beurteilen, da es sich nicht um meinen Rechner handelt. So, nun genug zurück gerudert: Funktionieren tut es mit dem forensischen Tool "foremost" unter Linux. Ich habe aus der CT die desinfeC'T - Ubuntu Version genommen, die ich bereits auf einem USB-Stick habe. Das nur am Rande, mit knoppix usw. geht es identisch gut. Ich kann hier nochmal unetbootin (UNetbootin - Homepage and Downloads) empfehlen, was einem simpel einen bootbaren Linux USB Stick zaubert, Anleitung auf der entspr. Seite. 1. Linux booten (Mit Kabel am WLAN Router, da ein paar Sachen herunter geladen werden müssen) 2. eine Console auf machen und folgendes eingeben Code:
ATTFilter sudo su - apt-get update apt-get install aptitude aptitude update aptitude search foremost Code:
ATTFilter aptitude install foremost 4. wenn nicht, dann müssen wir uns eine Version selber aus den Sourcen bauen und installieren einen Compiler Code:
ATTFilter aptitude install gcc make hxxp://foremost.sourceforge.net/pkg/foremost-1.5.7.tar.gz mit der Console in das Verzeichnis wechseln, wo das heruntergeladene Paket "foremost-1.5.7.tar.gz" liegt. Was wir mit Code:
ATTFilter tar -xzvf foremost-1.5.7.tar.gz nun in das entpackte Verzeichnis wechseln "foremost-1.5.7" und folgende Befehle ausführen Code:
ATTFilter make make install 5. Ich habe eine eine andere Platte angeschlossen, um dort meine Dateien drauf zu speichern. Die Syntax sieht folgermaßen aus: foremost -t doc -i /dev/hda3 -o /media/meineplatte/recovery -t gibt den Filetype an (im Link sind noch ettliche mehr beschrieben) -i das Device, wie Linux die Partition anspricht -o wo der Output gespeichert werden soll Ein Link, der hilft: https://help.ubuntu.com/community/DataRecovery Evtl. sollte man jemanden Fragen, der sich mit Linux etwas auskennt. Hier muss man auch Geduld mitbringen. Der Rechner, bei dem ich es gerade mache ist schon eine Weile bei der Arbeit. Ich hoffe, dass ihr einiges retten könnt!! Gruß Keks5 |
![]() | #3 | |
![]() | ![]() Neue Verschlüsselungs-Trojaner Variante im Umlauf Hallo einmal wieder,
__________________die Untersuchung der HDD mit dem forensischen Programm war mehr oder weniger erfolgreich. Es wurden alle *.doc Dateien in ein Verzeichnis extrahiert. Ich habe dann mit einem Skript einen Grössenvergleich mit den originalen, verschlüsselten gemacht und die Kandidaten, die in Frage kommen in ein Unterverzeichnis des Ursprungsverzeichnisses kopiert. Ebenfalls habe ich ein grep auf Schlagwörter, wie Namen etc. gemacht, und diese dann ebefalls in ein Verzeichnis kopiert. Es sind definitv Dateien dabei, die verschlüsselt sind/waren. Also ich konnte nun einen Großteil der Daten wieder herstellen. Wie im anderen Beitrag erwähnt, habe ich es mit DOCs gemacht. ![]() EDIT: Die Dateien sehen nach der Wiederherstellung wie folgt aus: 16768530.doc Gruß Keks5 Zitat:
|
![]() |