Hi,

ich habe mal eine technische Frage. Warum ist es denn so viel einfacher eine durch diesen Trojaner verschlüsselte JPEG-Datei wiederherzustellen, als eine DOC-Datei?

Danke euch schon mal für meine Erleuchtung.

EDIT: Kann man eigentlich noch irgendwie nachvollziehen (ohne die Original Datei zu kennen) um welchen Dateityp es sich handelt?

Gruß

Hallo Leute,

ich bin neu hier aber ein "alter" Forumserfahrener.
Also ist stelle keine fragen ohne vorher zu lesen!
Egal, Themawechsel

Seit 2 Tagen bin ich in diesem Thema am lesen und halte die Füße still.
Möchte aber auch etwas beitragen können:

Habe gerade eine Mailfrische Mail erhalten die ich naturlich nicht geöffnet habe!



Sehr geehrter Rainer Kuck,

Sicher ist es Ihnen entgangen, dass die Zahlungsfrist der nachfolgenden Rechnung abgelaufen ist. Auf unsere Mahnungsschreiben haben Sie ebenfalls nicht reagiert.

Artikel: Nikon IDK CD
Artikelnummer: 3478090118981
Stück: 2
Zwischensumme: 544,58 Euro

Aufgrund zusätzlicher Kosten anlässlich des Ausgleichs von Gebührenforderungen erheben wir Mahngebühren und Einschreibegebühren in der Höhe von 10.- Euro inkl. MwSt.

Wir bitten Sie, den ausstehenden Rechnungsbetrag in den nächsten 7 Tagen zu überweisen. Ansonsten sehen wir uns leider gezwungen, ein Betreibungsverfahren in die Wege zu leiten und ein Inkasso Unternehmen für die weiteren Massnahmen zu beauftragen.

Sollte sich dieses Mahnungsschreiben mit der Bezahlung des ausstehenden Betrags zeitlich überschnitten haben, so betrachten Sie dieses Schreiben bitte als gegenstandslos.

Beilagen:
- Zahlschein
- Bestellung

Mit freundlichen Grüßen

FOTO THUN GMBH






Avira hat nichts gefunden!
Bin mir aber sicher das es ein Virus ist!
Wer möchte denn diese schöne Mail zu Testen oder was auch immer haben?
Oder einfach dahin: hxxp://markusg.trojaner-board.de ?

Nichts desto trotz.
Ich habe hier 2 rechner, ein Laptop mit Win7 und ein rechner mit XP.
Das Laptop hat die rhzgdssgj7ikjtr433 Variante erwischt.
Der Rechner hat die Originalnamen und Endungen, doch wenn man eine zB Exeltabelle öffnet stehen da nur Hyroglyphen drin!


Ich vertraue auf die Cracks hier, die sich den Ar... aufreissen um leuten zu helfen die sie gar nicht kennen!
Ganz Herzlichen Dank!

Gruß Rainer

Zitat:

Zitat von icaros

Hi,

ich habe mal eine technische Frage. Warum ist es denn so viel einfacher eine durch diesen Trojaner verschlüsselte JPEG-Datei wiederherzustellen, als eine DOC-Datei?

Danke euch schon mal für meine Erleuchtung.

Hallo icaros,
das liegt am strukturellen Aufbau des jeweiligen Dateityps.
JPGs sind segmentiert, das heißt, zwischen einzelnen Bilddatenpaketen existieren Marker. Den Bilddekoder interessieren nur die Bilddaten nach dem Marker, der Rest ist für ihn uninteressant.
Aus diesem Grunde kann man auch in einem JPG-Bild Informationen verstecken und transportieren, die man nicht sieht und die den Decoder nicht kratzen. Für den Betrachter scheint das ein stinknormales Bild zu sein.
Decoder mit einer hohen Fehlertolleranz können somit noch Datenpackete erkennen und retten.
Nagle mich jetzt nicht im Detail fest, dazu weiß ich darüber zu wenig.

Übrigens gilt sowas ähnliches auch für MP3s, guckst Du hier.

Zitat:

EDIT: Kann man eigentlich noch irgendwie nachvollziehen (ohne die Original Datei zu kennen) um welchen Dateityp es sich handelt?

Da "nur" die ersten 12k der Datei verschlüsselt sind, ist es für Spezialisten sicher möglich, mit einem Hexeditor aus dem Rest der Datei auf das Format zu schließen.
Wenn beispielsweise in regelmäßigen Abständen FF D8 auftaucht, deutet das auf Marker eines JPGs hin.
Für uns Normalsterbliche ist das aber nicht zu erkennen.

Du kannst es testen.
Hänge an alle verschlüsselten Dateien ein .mp3.
Wenn der Player das abspielt, dann war es eine MP3.
Hänge an alle Dateien ein .jpg.
Wenn JPEG-Recovery ein Bild anzeigt, dann war es auch eins.

Gruß Volker

Zitat:

Zitat von kurai

Ich vertraue auf die Cracks hier, die sich den Ar... aufreissen um leuten zu helfen die sie gar nicht kennen!
Ganz Herzlichen Dank!

Gruß Rainer

Hallo Rainer,
Vertrauen ist gut, allein die Fakten sprechen eine andere Sprache.
So sind mittlerweile alle involvierten Coder der Meinung, dass nur eine behördliche Beschlagnahme oder das Hacken der C&C Server mit den Passwörtern Erfolg verspricht.
Inwieweit dann die Zuordnung des Passwortes auf die jeweilige Computer-ID des Betroffenen erfolgt wäre auch noch zu klären.

Die Hoffnung stirbt aber nie.

Gruß Volker