Zitat:

Zitat von bertimj

Hallo
hab seit einigen Tagen den Geschäftsrechner meines Bruders in Bearbeitung. Die Dateien sind auch mit dem Buchstabensalat verschlüsselt und natürlich existiert auch keine Datensicherung.

Habe nun vor zwei Tagen Recuva drüberlaufen lassen und konnte einen Teil der Daten insbesondere Word, Excel, pdf`s usw. in den meisten Fällen mit Dateinamen und Endungen wieder herstellen.

Super! Hat noch jemand ähnliche Erfahrungen, dann können wir ja Recuva in die Liste der Tools zur Datenrettung aufnehmen?!
Ich hab selber keine betroffenen Rechner da, sonst würde ich auch testen.

Zitat:

Zitat von pcab50

Super! Hat noch jemand ähnliche Erfahrungen, dann können wir ja Recuva in die Liste der Tools zur Datenrettung aufnehmen?!
Ich hab selber keine betroffenen Rechner da, sonst würde ich auch testen.

moin moin pcab50,
ich habe es versucht, konnte es aber nicht reproduzieren.
Bei mir wurde keine verschlüsselte Datei wiederhergestellt.
Lediglich ältere, gelöschte Dateien wurden erkannt.
Ich habe daraufhin verschlüsselte Dateien gelöscht und versucht sie zu rekonstruieren.
Recuva hat allerdings nichts brauchbares wiederhergestellt, nur wieder die verschlüsselten Dateien.
Das hat noch nichts zu bedeuten, kann ja mein Fehler sein.
Ich habe aber die Vermutung, dass es sich bei der Rekonstruktion um Dateien handelt, die vor dem Befall gelöscht wurden
Solange es keiner verifiziert und bestätigt, bin ich skeptisch.

Volker

@seeadler,
warum sorry, Du mußt Dich doch nicht entschuldigen.
Zum Thema:
Du setzt voraus, dass man mit dem infizierten Rechner ins Netz muß.
Nein, kann ja auch mit einem Zweitrechner sein.
Wenn ich dann mein Thema starte und schildere, dass mit dem befallenen Rechner nix geht, wird man schon über eine BootCD zum Ziel geführt.
Da Erzangle hier im Forum war, konnte er sein Thema starten, unabhängig ob sein infizierter Rechner startet oder nicht.

Volker

Zitat:

Zitat von Undertaker

Ich habe aber die Vermutung, dass es sich bei der Rekonstruktion um Dateien handelt, die vor dem Befall gelöscht wurden
...
Volker

Datensicherung durch Löschen? Nun ja, wenn man hellsehen könnte, wäre das eine Option ...

Zitat:

Zitat von Peter I.

Datensicherung durch Löschen? Nun ja, wenn man hellsehen könnte, wäre das eine Option ...

Ja Peter, so blöd wie das klingt, aber wer kurz vor dem Öffnen des Anhangs seine Daten gelöscht hat, hat die allerbesten Chancen.
Es sei denn, er fuchtelt vor dem Restore unnütz auf der HDD rum.

Volker

Recuva kann doch "nur" gelöschte Dateien wiederherstellen ! Wenn trotzdem das Wiederherstellen fast aller Dateien geklappt hat, kann es sein, daß der user vor Kurzem alle Dateien von einer Partition/Festplatte z.B. c: auf eine andere Partition/Festplatte d: verschoben hat. Beim Verschieben werden nämlich die Daten zuerst kopiert und dann die Quelldaten gelöscht. Diese gelöschten Quelldaten konnte recuva dann wiederherstellen.
Klappt aber nur, wenn die Daten auf andere Partitionen bzw. Festplatten verschoben wurden. Beim Verschieben innerhalb einer Partition wird leider nur das Inhaltsverzeichnis (MFT) verändert.

Zitat:

Zitat von pcab50

Super! Hat noch jemand ähnliche Erfahrungen, dann können wir ja Recuva in die Liste der Tools zur Datenrettung aufnehmen?!
Ich hab selber keine betroffenen Rechner da, sonst würde ich auch testen.

Also Recuva stellt die verschlüsselten Dateien nicht wieder her. Dateien die vorher gelöscht worden sind,zeigt es mir an und stellt es auch wieder her. Die verschlüsselten Datei leider nicht. Habe auch ähnliche Progs laufen lassen überall das gleiche.
Die nette Datei im Tmp Ordner hat er mir aber leider nicht angezeigt.
Also hinsetzen ein und abwarten, und hoffen das alle danach endlich mal eine Datensicherung machen und nicht nachher so dastehem

Zitat:

Zitat von Duene

Also hinsetzen ein und abwarten, und hoffen das alle danach endlich mal eine Datensicherung machen und nicht nachher so dastehem

Und den Rechner vollkommen in Ruhe lassen, solange die Datensicherung läuft und die Sicherungsplatte angedockt ist ... (sprich bspw. mit dem e-mail-Briefkasten und anderen Programmen erst wieder rummachen, nachdem man die Datensicherungsplatte vom Rechner getrennt hat)

Hey ,

hätte da mal ne frage und zwar :

Da jpg , pdf , doc , mp3 ... etc.
im Hex jedesmal den selben Anfang haben
( Beispiel :
Jpg Anfang bei jedem Bild : 001
Pdf Anfang bei jedem Dokument : 002
Doc Anfang bei jedem Dokument : 003
mp3 Anfang bei jedem Dokument : 004
)

würde es doch reichen wenn man ein Programmm schreibt, in dessen man auswählen kann um welchen Datentyp es sich handelt, dann sucht das Programm in der Datei den jeweiligen Anfang ( bsp: 001 ) und löscht alles was VOR dem Code stand aus der Datei raus.

Da ja nur die ersten (12 ? ) kb verschlüsselt sind und der Rest erhalten bleibt müssten die Datein doch wieder lesbar sein.

Vorraussetzung ist dann hallt nur dass man weis um Welchen Datentyp es sich handelt, aber bei ein bisschen Ordnung sollte das ja das geringste Problem darstellen

Falls ich falsch liege verbessert mich bitte (:

Zitat:

Zitat von Pascal Avbk

Vorraussetzung ist dann hallt nur dass man weis um Welchen Datentyp es sich handelt, aber bei ein bisschen Ordnung sollte das ja das geringste Problem darstellen

Falls ich falsch liege verbessert mich bitte (:

Es hat nichts mit Unordnung zu tun, verschiedene Dateitypen (RAW und jpeg bspw.) in einem Verzeichnis liegen zu haben.

Zitat:

Zitat von Peter I.

Es hat nichts mit Unordnung zu tun, verschiedene Dateitypen (RAW und jpeg bspw.) in einem Verzeichnis liegen zu haben.

So ernst hatt ich das gar nicht gemeint
Ich kenns hallt nur von mir selbst sämtl. Datein einfach in einem Ordner zu schmeißen, und mich anschließend darüber aufzuregen welch eine Unordnung auf meinem PC herrscht

Aber nun zum Thema zurück :

würde der Vorschlag funktionieren ?

oder werden statt nur dem Anfang auch das innere der Dateien Verschlüsselt

Hallo Leute.
Mein PC (Windows XP) ist auch mit dem Windows Verschlüsselungs-Trojaner infiziert. Ich kann aber über einen 2. Benutzername auf meine Dateien zugreifen, die natürlich verschlüsselt sind. Ich muss unbedingt einige Dateien retten. Habe hier schon ne Menge gelesen, bin mir aber nicht sicher wie ich vorgehen soll.
Wie kann ich die wichtigsten Dateien retten ?
LG.

Zitat:

Zitat von Pascal Avbk

Aber nun zum Thema zurück :

würde der Vorschlag funktionieren ?

Nein!
Du pauschalierst und haust alle Dateiformate in einen Topf.
Dem ist aber nicht so, da der strukturelle Aufbau der Dateien unterschiedlich ist.
Bei allen Formaten, bei denen das jeweilige Programm zum verarbeiten des Formates den Restdatenbestand interpretieren kann, wird eine Rekonstruktion gelingen, siehe MP3s und JPGs.
Überall dort, wo der Interpreter die Informationen der ersten 12kB zwingend braucht um den Rest sinnvoll zu verarbeiten, geht das nicht.
Die von Dir vorgeschlagene Routine müsste eine "Eierlegende Wollmilchsau" sein und die gibt es nicht.

Man kann versuchen, bei Kenntnis des jeweiligen Formates, die ersten 12k durch die aus einer ähnlichen, intakten Datei gleichen Formates zu ersetzen.
Wobei gilt, je ähnlicher, desto besser-
Logischerweise und mit Glück ist dann eventuell eine sinnvolle Interpretation möglich.

Ich empfehle Dir dazu mal den Beitrag von c4enigma zu lesen.

Volker