![]() |
|
Diskussionsforum: Neue Verschlüsselungs-Trojaner Variante im UmlaufWindows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben. |
![]() |
|
![]() | #1 | |
![]() | ![]() Neue Verschlüsselungs-Trojaner Variante im UmlaufZitat:
Ich hab selber keine betroffenen Rechner da, sonst würde ich auch testen. |
![]() | #2 | |
/// Helfer-Team ![]() ![]() | ![]() Neue Verschlüsselungs-Trojaner Variante im UmlaufZitat:
ich habe es versucht, konnte es aber nicht reproduzieren. Bei mir wurde keine verschlüsselte Datei wiederhergestellt. Lediglich ältere, gelöschte Dateien wurden erkannt. Ich habe daraufhin verschlüsselte Dateien gelöscht und versucht sie zu rekonstruieren. Recuva hat allerdings nichts brauchbares wiederhergestellt, nur wieder die verschlüsselten Dateien. Das hat noch nichts zu bedeuten, kann ja mein Fehler sein. Ich habe aber die Vermutung, dass es sich bei der Rekonstruktion um Dateien handelt, die vor dem Befall gelöscht wurden Solange es keiner verifiziert und bestätigt, bin ich skeptisch. Volker @seeadler, warum sorry, Du mußt Dich doch nicht entschuldigen. Zum Thema: Du setzt voraus, dass man mit dem infizierten Rechner ins Netz muß. Nein, kann ja auch mit einem Zweitrechner sein. Wenn ich dann mein Thema starte und schildere, dass mit dem befallenen Rechner nix geht, wird man schon über eine BootCD zum Ziel geführt. Da Erzangle hier im Forum war, konnte er sein Thema starten, unabhängig ob sein infizierter Rechner startet oder nicht. Volker
__________________ |
![]() | #3 |
![]() | ![]() Neue Verschlüsselungs-Trojaner Variante im Umlauf Datensicherung durch Löschen? Nun ja, wenn man hellsehen könnte, wäre das eine Option ...
__________________ |
![]() | #4 | |
/// Helfer-Team ![]() ![]() | ![]() Neue Verschlüsselungs-Trojaner Variante im UmlaufZitat:
![]() Ja Peter, so blöd wie das klingt, aber wer kurz vor dem Öffnen des Anhangs seine Daten gelöscht hat, hat die allerbesten Chancen. Es sei denn, er fuchtelt vor dem Restore unnütz auf der HDD rum. Volker
__________________ Das Board unterstützen Datenrettung -->HIER! Zitat der Woche: Die Gefahr, dass der Computer so wird wie der Mensch, ist nicht so groß wie die Gefahr, dass der Mensch so wird wie der Computer. |
![]() | #5 |
![]() | ![]() Recuva !? Recuva kann doch "nur" gelöschte Dateien wiederherstellen ! Wenn trotzdem das Wiederherstellen fast aller Dateien geklappt hat, kann es sein, daß der user vor Kurzem alle Dateien von einer Partition/Festplatte z.B. c: auf eine andere Partition/Festplatte d: verschoben hat. Beim Verschieben werden nämlich die Daten zuerst kopiert und dann die Quelldaten gelöscht. Diese gelöschten Quelldaten konnte recuva dann wiederherstellen. Klappt aber nur, wenn die Daten auf andere Partitionen bzw. Festplatten verschoben wurden. Beim Verschieben innerhalb einer Partition wird leider nur das Inhaltsverzeichnis (MFT) verändert. |
![]() | #6 | |
| ![]() Neue Verschlüsselungs-Trojaner Variante im UmlaufZitat:
Die nette Datei im Tmp Ordner hat er mir aber leider nicht angezeigt. Also hinsetzen ein ![]() ![]() ![]() |
![]() | #7 |
![]() | ![]() Neue Verschlüsselungs-Trojaner Variante im Umlauf Und den Rechner vollkommen in Ruhe lassen, solange die Datensicherung läuft und die Sicherungsplatte angedockt ist ... (sprich bspw. mit dem e-mail-Briefkasten und anderen Programmen erst wieder rummachen, nachdem man die Datensicherungsplatte vom Rechner getrennt hat) Geändert von Peter I. (22.06.2012 um 10:42 Uhr) |
![]() | #8 |
| ![]() Neue Verschlüsselungs-Trojaner Variante im Umlauf Hey , hätte da mal ne frage und zwar : Da jpg , pdf , doc , mp3 ... etc. im Hex jedesmal den selben Anfang haben ( Beispiel : Jpg Anfang bei jedem Bild : 001 Pdf Anfang bei jedem Dokument : 002 Doc Anfang bei jedem Dokument : 003 mp3 Anfang bei jedem Dokument : 004 ) würde es doch reichen wenn man ein Programmm schreibt, in dessen man auswählen kann um welchen Datentyp es sich handelt, dann sucht das Programm in der Datei den jeweiligen Anfang ( bsp: 001 ) und löscht alles was VOR dem Code stand aus der Datei raus. Da ja nur die ersten (12 ? ) kb verschlüsselt sind und der Rest erhalten bleibt müssten die Datein doch wieder lesbar sein. Vorraussetzung ist dann hallt nur dass man weis um Welchen Datentyp es sich handelt, aber bei ein bisschen Ordnung sollte das ja das geringste Problem darstellen ![]() Falls ich falsch liege verbessert mich bitte (: |
![]() | #9 |
![]() | ![]() Neue Verschlüsselungs-Trojaner Variante im Umlauf Es hat nichts mit Unordnung zu tun, verschiedene Dateitypen (RAW und jpeg bspw.) in einem Verzeichnis liegen zu haben. |
![]() | #10 | |
| ![]() Neue Verschlüsselungs-Trojaner Variante im UmlaufZitat:
![]() Ich kenns hallt nur von mir selbst sämtl. Datein einfach in einem Ordner zu schmeißen, und mich anschließend darüber aufzuregen welch eine Unordnung auf meinem PC herrscht ![]() Aber nun zum Thema zurück : würde der Vorschlag funktionieren ? oder werden statt nur dem Anfang auch das innere der Dateien Verschlüsselt |
![]() | #11 |
| ![]() Neue Verschlüsselungs-Trojaner Variante im Umlauf Hallo Leute. Mein PC (Windows XP) ist auch mit dem Windows Verschlüsselungs-Trojaner infiziert. Ich kann aber über einen 2. Benutzername auf meine Dateien zugreifen, die natürlich verschlüsselt sind. Ich muss unbedingt einige Dateien retten. Habe hier schon ne Menge gelesen, bin mir aber nicht sicher wie ich vorgehen soll. Wie kann ich die wichtigsten Dateien retten ? LG. |
![]() | #12 |
/// Helfer-Team ![]() ![]() | ![]() Neue Verschlüsselungs-Trojaner Variante im Umlauf Nein! Du pauschalierst und haust alle Dateiformate in einen Topf. Dem ist aber nicht so, da der strukturelle Aufbau der Dateien unterschiedlich ist. Bei allen Formaten, bei denen das jeweilige Programm zum verarbeiten des Formates den Restdatenbestand interpretieren kann, wird eine Rekonstruktion gelingen, siehe MP3s und JPGs. Überall dort, wo der Interpreter die Informationen der ersten 12kB zwingend braucht um den Rest sinnvoll zu verarbeiten, geht das nicht. Die von Dir vorgeschlagene Routine müsste eine "Eierlegende Wollmilchsau" sein und die gibt es nicht. Man kann versuchen, bei Kenntnis des jeweiligen Formates, die ersten 12k durch die aus einer ähnlichen, intakten Datei gleichen Formates zu ersetzen. Wobei gilt, je ähnlicher, desto besser- Logischerweise und mit Glück ist dann eventuell eine sinnvolle Interpretation möglich. Ich empfehle Dir dazu mal den Beitrag von c4enigma zu lesen. Volker
__________________ Das Board unterstützen Datenrettung -->HIER! Zitat der Woche: Die Gefahr, dass der Computer so wird wie der Mensch, ist nicht so groß wie die Gefahr, dass der Mensch so wird wie der Computer. |
![]() |