Neue Verschlüsselungs-Trojaner Variante im Umlauf

Keks5 · 08.06.2012, 22:48

Hallo einmal wieder,

die Untersuchung der HDD mit dem forensischen Programm war mehr oder weniger erfolgreich. Es wurden alle *.doc Dateien in ein Verzeichnis extrahiert. Ich habe dann mit einem Skript einen Grössenvergleich mit den originalen, verschlüsselten gemacht und die Kandidaten, die in Frage kommen in ein Unterverzeichnis des Ursprungsverzeichnisses kopiert.
Ebenfalls habe ich ein grep auf Schlagwörter, wie Namen etc. gemacht, und diese dann ebefalls in ein Verzeichnis kopiert. Es sind definitv Dateien dabei, die verschlüsselt sind/waren. Also ich konnte nun einen Großteil der Daten wieder herstellen. Wie im anderen Beitrag erwähnt, habe ich es mit DOCs gemacht.

EDIT:
Die Dateien sehen nach der Wiederherstellung wie folgt aus:
16768530.doc

Gruß
Keks5

Zitat:

Zitat von Keks5

Hallo,

ich habe geschafft einige Dokumente wieder zu beschaffen. Allerdings habe ich es bisher nur mit *.doc probiert. Die Namen sind alle nur noch numerisch, man kann sie aber an Hand der Größe einigermaßen identifizieren. Ob es sich um alle Dokumente kann ich nicht beurteilen, da es sich nicht um meinen Rechner handelt.

So, nun genug zurück gerudert:
Funktionieren tut es mit dem forensischen Tool "foremost" unter Linux.
Ich habe aus der CT die desinfeC'T - Ubuntu Version genommen, die ich bereits auf einem USB-Stick habe. Das nur am Rande, mit knoppix usw. geht es identisch gut. Ich kann hier nochmal unetbootin (UNetbootin - Homepage and Downloads) empfehlen, was einem simpel einen bootbaren Linux USB Stick zaubert, Anleitung auf der entspr. Seite.
1. Linux booten (Mit Kabel am WLAN Router, da ein paar Sachen herunter geladen werden müssen)
2. eine Console auf machen und folgendes eingeben

Code:

ATTFilter

sudo su -
apt-get update
apt-get install aptitude
aptitude update
aptitude search foremost

3. Wenn hier foremost gefunden wird, folgendes eingeben

Code:

ATTFilter

aptitude install foremost

Und bei Punkt 5 weiter machen

4. wenn nicht, dann müssen wir uns eine Version selber aus den Sourcen bauen und installieren einen Compiler

Code:

ATTFilter

aptitude install gcc make

Quellcode runterladen:
hxxp://foremost.sourceforge.net/pkg/foremost-1.5.7.tar.gz

mit der Console in das Verzeichnis wechseln, wo das heruntergeladene Paket "foremost-1.5.7.tar.gz" liegt. Was wir mit

Code:

ATTFilter

tar -xzvf foremost-1.5.7.tar.gz

entpacken

nun in das entpackte Verzeichnis wechseln "foremost-1.5.7" und folgende Befehle ausführen

Code:

ATTFilter

make
make install

Nun sollte das Programm compiliert und installiert sein.

5. Ich habe eine eine andere Platte angeschlossen, um dort meine Dateien drauf zu speichern. Die Syntax sieht folgermaßen aus:
foremost -t doc -i /dev/hda3 -o /media/meineplatte/recovery
-t gibt den Filetype an (im Link sind noch ettliche mehr beschrieben)
-i das Device, wie Linux die Partition anspricht
-o wo der Output gespeichert werden soll

Ein Link, der hilft:
https://help.ubuntu.com/community/DataRecovery

Evtl. sollte man jemanden Fragen, der sich mit Linux etwas auskennt.

Hier muss man auch Geduld mitbringen. Der Rechner, bei dem ich es gerade mache ist schon eine Weile bei der Arbeit.
Ich hoffe, dass ihr einiges retten könnt!!

Gruß
Keks5

Neue Verschlüsselungs-Trojaner Variante im Umlauf

Diskussionsforum: Neue Verschlüsselungs-Trojaner Variante im Umlauf

Neue Verschlüsselungs-Trojaner Variante im Umlauf

Ähnliche Themen: Neue Verschlüsselungs-Trojaner Variante im Umlauf