| |
| |||||||
Diskussionsforum: Neue Verschlüsselungs-Trojaner Variante im UmlaufWindows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben. |
16.06.2012, 13:13
| #10 |
| /// Helfer-Team  |  Neue Verschlüsselungs-Trojaner Variante im Umlauf Hallo studentl, Ich habe hier Testordner mit verschlüsselten Dateien der unterschiedlichsten Formate. Alle verschlüsselt in der Form erTGGbHzuGNHJ. AVI, BMP, DOC, DWG, DXF, EXE, JPG, TXT, XLS und ZIP Ich habe eben recoverMyFiles von GetData auf diese Ordner losgelassen. Nicht eine einzige Datei wurde erkannt, geschweige denn wiederhergestellt. Selbst nachdem ich den Dateien die entsprechende Extension verpasst habe, lief recoverMyFiles drüber weg. Testweise habe ich dann einen Scan auf dem gesamten Laufwerk gemacht. Dabei wurden jede Menge gelöschter Dateien gefunden, aber eben nur gelöschte. Zur Kontrolle habe ich dann den gesamten Order der verschlüsselten Dateien, einschließlich Unterordner, auf einen Stick kopiert und wieder gelöscht. Auf diesen Stick habe ich nochmals recoverMyFiles gehetzt. Das Ergebnis: Im root waren zwei verschlüsselte Dateien, recoverMyFiles hat beide wieder angezeigt, allerdings nach wie vor verschlüsselt. Weiterhin wurden über 12000 verlorene Dateiengefunden und als TXT deklariert, keine größer als 1MB. Aus dem Inhalt einiger dieser Textdateien kann man erkennen, dass sie Bestandteil einer AutoCAD DWG-Datei waren. Einige enthielten Textpassagen aber die meisten nur kryptische UDF8- und UDF16-Zeichen. Meines Erachtens handelt es sich hier um die Inhalte der einzelnen Sektoren, ohne Zusammenhang. recoverMyFiles tut ja in dem Modus auch nix anderes als andere RAW-Recovery Tools. Wenn Du 90% der Dateien wiederbeleben konntest, mache mal einen Step by Step Beitrag, am besten mit Screenshots. Bist Du Dir überhaupt sicher, dass es sich bei den wiederhergestellten Dateien um die Verschlüsselten handelt? Oder kann es sein, dass das vorher gelöschte Vorversionen waren? Irgendwie fehlt mir der Glaube, dass RAW.Recoverer die modifizierten 12k am Anfang einer jeden Datei so einfach wegstecken. Es sei denn, die Daten haben eine Blockstruktur und man findet Einspungpunkte in den Blöcken, wie beispielsweise bei MP3s und JPGs. Aber das ist ja bekannt und dafür gibt es schon Tools. Wirklich wichtig wäre eine effektive Methode Office-Dateien wiederherzustellen. Volker
__________________ Das Board unterstützen Datenrettung -->HIER! Zitat der Woche: Die Gefahr, dass der Computer so wird wie der Mensch, ist nicht so groß wie die Gefahr, dass der Mensch so wird wie der Computer. |
Baum-Darstellung