gibte eigentlich shcon was richtung .doc oder .xls?
mann müsste halt erstmal rausfinden, was ursprünglich welceh datei war;-)

Hallo nochmal,

entweder habe ich es überlesen oder es ist noch keiner darauf eingegangen.

Im Anhang habe ich eine Datei (.doc) die Hieroglyphen beinhaltet.
Der Rechner wurde vor ca. 3 wochen befallen. XP!

Gibt es dafür eine Lösung?

Sorry falls ich es überlesen habe!!!

Gruß Rainer

Zitat:

Zitat von kurai

Hallo nochmal,

entweder habe ich es überlesen oder es ist noch keiner darauf eingegangen.

Im Anhang habe ich eine Datei (.doc) die Hieroglyphen beinhaltet.
Der Rechner wurde vor ca. 3 wochen befallen. XP!

Gibt es dafür eine Lösung?

Sorry falls ich es überlesen habe!!!

Gruß Rainer

Hallo Rainer,
leider nein.



Volker

Ich habe heute auch einen Rechner mit der neuen Verschlüsselungsvariante des Trojaners bekommen. Ein Mitarbeiter bei uns war so unvorsichtig den Anhang einer Mail zu öffnen. Da auf diesem Rechner wirklich wichtige Dateien betroffen sind, habe ich mich nach intensiver Recherche hier im Forum und anderen dazu entschlossen ein Wiederhestellungstool zu benutzen, da es so aussieht, als wenn die Dateien nach der Verschlüsselung einfach gelöscht werden ohne in dem "Windows-Mülleimer" zu landen. Ich benutze TestDisk (Überprüfung der Partition und deren Wiederherstellung) und PhotoRec (Dateiwiederherstellung) von CGSecurity. Beides ist open source -> Kostenlos und hat mir schon große Dienste erwiesen. Vom Programmnamen PhotoRec nicht täuschen lassen, es können damit alle Dateien wiederhergestellt werden. Das wirklich gute, es gibt eine Deutsche Beschreibung und Hilfe. Beides kann unter www.cgsecurity.org heruntergeladen werden.

@didi63

echt jetzt ? also auch daten wie music oder bilder können hergestellt werden ?

ich glaube es gibt 2 arten von trojaner verschlüsserungen : einmal das mit der endung locked oder so und einmal dieses : AjhjhdaHyxbvbyb ohne endung

funktionieren die open source programme auch auf diesen beiden verschlüsselungsarten ???

Nur um das klar zu stellen, es werden nicht die verschlüsselten Dateien entschlüsselt, sondern gelöschte Dateien wiederhergestellt. Das Wiederherstellungsprogramm PhotoRec kann dabei zwar DateiTypen erkennen, aber nicht den Dateinamen. Es wird ein neuer Dateiname generiert. Praktisches Beispiel:
Die Datei Mandant001.mdb wird nach der Verschlüsselung gelöscht und ist auch nicht mehr im Windows-Mülleimer, dann kann PhotoRec die Datei zwar wiederherstellen, sie kann dann aber f0132445ff.mdb heissen.
Also nicht die verschlüsselte Datei wird entschlüsselt, sondern die nach der Verschlüsselung gelöschte Originaldatei wird "undeleted".
Ich habe auf diese Weise schon zwei von fast 400 Dateien wiedergefunden. Ist mühselig, aber das Ergebnis ist unbezahlbar.

Zitat:

Zitat von Didi63

Nur um das klar zu stellen, es werden nicht die verschlüsselten Dateien entschlüsselt, sondern gelöschte Dateien wiederhergestellt.

Um das klar zu stellen.
Der Trojaner löscht keine Datei, er überschreibt lediglich die Daten von 0000h bis 2fffh.
Das macht er On the Fly, also so als ob ich Dir im Vorbeigehen einen Eimer Farbe ins Gesicht schütte und Du musst dann damit durch eine Gesichtskontrolle.

also ich habe versucht so langsam meine ganzen musik dateien wieder herzustellen....es klappt bei 80 % dass man einfach die endung .mp3 dranhängt aber bei den 20 % obwohl es als mp3 wieder hergestellt ist KANN ICH ES NICHT ÖFFNEN UND HÖREN !!!!!!!!!!!!!!! WIESO NICHT ICH WERDE NOCH WAHNSINNIG

wieso klappt es bei den meisten aber bei den ausgerechnet NICHT ?????

Zitat:

Zitat von Didi63

Nur um das klar zu stellen, es werden nicht die verschlüsselten Dateien entschlüsselt, sondern gelöschte Dateien wiederhergestellt. Das Wiederherstellungsprogramm PhotoRec kann dabei zwar DateiTypen erkennen, aber nicht den Dateinamen. Es wird ein neuer Dateiname generiert. Praktisches Beispiel:
Die Datei Mandant001.mdb wird nach der Verschlüsselung gelöscht und ist auch nicht mehr im Windows-Mülleimer, dann kann PhotoRec die Datei zwar wiederherstellen, sie kann dann aber f0132445ff.mdb heissen.
Also nicht die verschlüsselte Datei wird entschlüsselt, sondern die nach der Verschlüsselung gelöschte Originaldatei wird "undeleted".
Ich habe auf diese Weise schon zwei von fast 400 Dateien wiedergefunden. Ist mühselig, aber das Ergebnis ist unbezahlbar.

Wenn das mit photorec geht, hat dann schon mal jemand Recuva auf die Platte losgelassen? Das kann nämlich in günstigen Fällen die Dateinamen & sogar die Ordnerstruktur wiederherstellen: hxxp://www.piriform.com/recuva
Das Programm ist Freeware, ist z.B. auch auf Hiren's Boot CD drauf, damit kann man starten und die Platte unangetastet lassen: hxxp://www.hirensbootcd.org/

Bei der Bild-Verschlüsselung ist es einwandfrei. Doch leider sind viele
Doc-Dateien befallen. Gibt es da nichts so wie bei den jpg zur Entschlüsselung. Wie es hier beschrieben ist, blicke ich nicht durch zumal
nur eine Exel-Datei angesprochen wird.