Hallo.

Ich möchte mal einen Thread eröffnen, in dem alle (funktionierenden) Reparaturanleitungen für Dateien veröffentlicht werden, die von dem Trojaner, der die ersten 12 kB verschlüsselt, beschädigt wurden.

Da die Tipps, die in diesem Thread http://www.trojaner-board.de/115183-...te-umlauf.html mittlerweile nur gefunden werden, wenn man alle Postings liest, wäre es schön, wenn in diesem Thread keine Meldungen von Verseuchungen gepostet werden, dafür gibts glaube ich passendere Stellen.



Microsoft Outlook
Diese Lösung sollte mindestens für Outlook-Datendateien ab Version 2003 evtl. früher gelten. Einfach ausprobieren.

Es gibt ein Tool von Microsoft, welches die Outlook-Datendatei scannt und reparieren kann. Da ja "nur" die ersten 12 kB verschlüsselt wurden, kann evtl. der Header wieder hergestellt werden. Das Tool heisst "scanpst.exe" und ist zu finden unterhalb "C:\Program Files\Common Files\System\MSMAPI\1031".

Eine Datendatei von 1,3 GB Größe, wurde wiederhergestellt. Ein weiter Post in oben abgegeben Thread beschreibt den gleichen Erfolg.

Die Outlook-Datei liegt (bei WinXP) in der Regel unter "C:\Dokumente und Einstellungen\Benutzer\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook", bei Win7 "C:\Users\Benutzer\AppData\Local\Microsoft\Outlook", dort einfach die vorhandene(n) Datei(en) kopieren(!) und nach "Outlook.pst" umbenennen oder einfach ".pst" zum Dateinamen hinzufügen.
Dann das Tool starten und die eben umbenannte Datei auswählen.
Es kann sehr lange dauern und das Tool sieht dann so aus, als würde es hängen, einfach Ruhe bewahren und abwarten. Wenn "scanpst" die Datei nicht reparieren kann, meldet es das.
Nach der Reparatur kann Outlook gestartet werden.
Die Einstellungen zu Mail usw. hat Outlook je nach Version in der Registry abgelegt bzw. müssen von Hand neu eingegeben werden.



Mozilla Thunderbird
Man suche sein Profileverzeichnis in Win7 bei "C:\Users\Benutzer\AppData\Roaming\Thunderbird" und dort die "Local Folders". Da sind in der Regel die Maildateien. Es gibt immer zwei zusammengehörige Dateien, z. B. Inbox und Inbox.msf. Das gilt für Sent, Trash, usw.

Auch hier sollte man die Dateien für den Fall der Fälle kopieren und dann mit der Kopie arbeiten.

Nun öffne man mit einem Editor (z.B. Notepad++ o.ä.) diese Dateien.
Wenn man jetzt besagte 12288 Bytes runtergeht, muss man Inhalt in dieser Form finden:

Code: Alles auswählenAufklappen

ATTFilter

From - Sun May 11 15:55:53 2008
X-Account-Key: account2
X-UIDL: 0MKqlY-1JvBvt2Qhw-0002qN
X-Mozilla-Status: 0000
X-Mozilla-Status2: 10000000
X-Mozilla-Keys:                                                                                 
Return-Path: <info@asdfg.de>
Delivery-Date: Sun, 11 May 2008 15:49:49 +0200
Received: from m2.goneo.de (m2.goneo.de [82.100.220.83])
	by mx.kundenserver.de (node=mxeu4) with ESMTP (Nemesis)
	id 0MKqlY-1JvBvt2Qhw-0002qN for asdfg@hjkl.de; Sun, 11 May 2008 15:49:49 +0200
Received: from localhost (localhost.goneo.de [127.0.0.1])
	by scan.goneo.de (Postfix) with ESMTP id 675DA130C7B
	for <asdfg@hjkl.de>; Sun, 11 May 2008 15:49:45 +0200 (CEST)
[..]
         

Diese Datei ist dann eine Maildatei.

Da neue ankommende Mails immer unten angehängt werden, kann alles was über den angegebenen Zeilen steht, gelöscht werden. So kann man die Datei wiederherstellen.
Wenn ihr die Dateien dann in der Form "Maildatei1", "Maildatei2", usw. umbenennt und dann Thunderbird startet, findet ihr Ordner dieses Namens in der Oberfläche.
Dann die Mails in diesen Ordnern markieren und in die entsprechenden Ordner (Posteingang, gelöscht,... -diese wurden automatisch wieder angelegt) verschieben.

Die restlichen Einstellungen wie Mailadresse, Server, usw. müssen von Hand neu angelegt werden, das sie vermutlich zerstört wurden.



Ich wünsche viel Erfolg.

Michael

Hallo Michael,

gute Idee

Verweise mal noch auf folgende Möglichkeit: http://www.trojaner-board.de/115496-...erstellen.html

Hi,

ein Bekannter hatte sich einen Verschlüsselungstrojaner eingefangen, der die ersten 3kB der Dateien verschlüsselt. Keines der Entschlüsselungstools hat bisher funktioniert.

Ich habe es dann mit dem Tool JPEGsnoop geschafft, so verschlüsselte JPG-Bilder wiederherzustellen, da sie an dieser Stelle scheinbar keine Bildinformationen enthielten. Dies ging allerdings nur einzeln.

Ich habe das Tool daher angepasst, so dass es einen ganzen Ordner mit verschlüsselten JPG-Bildern auf einmal abarbeitet. Meine angepasste Version [1] inkl. Quellcode [2] findet ihr unten. Vielleicht kann sie ja jemand gebrauchen. Sie funktioniert natürlich nur, wenn die Bilder im verschlüsselten Bereich keine Bilddaten enthalten. Außerdem stellt sie u.U. pro Datei mehrere Bilder unterschiedlicher Auflösungen wieder her, die alle enthalten sind. Wie immer gilt: nur mit Backups arbeiten und die Originaldateien aufheben, falls es jemand noch schaffen sollte, den verschlüsselten Bereich zu entschlüsseln. Die neue Funktionalität findet man unter File - Batch Recover.

[1] team.winfuture.de/to_webmaster/files/JPEGsnoop-bin.zip
[2] team.winfuture.de/to_webmaster/files/jpegsnoop-src.zip

weitere Hinweise: http://www.trojaner-board.de/115551-...tml#post847928

Hinweis: Das kann nur korrekt funktionieren, wenn die Bilder hinreichend groß sind.

1. Programm runterladen: team.winfuture.de/to_webmaster/files/JPEGsnoop-bin.zip
2. Ein paar verschlüsselte Bilder zum Test in einen leeren Ordner kopieren.
3. Programm entpacken und starten.
4. File - Batch recover...
5. Den in 2. erstellten Ordner auswählen und ok drücken.
6. Beten und warten.

Bei Erfolg den Vorgang mit den restlichen Bildern wiederholen.

Zitat:

Zitat von TO_Webmaster

Hi,

Ich habe das Tool daher angepasst, so dass es einen ganzen Ordner mit verschlüsselten JPG-Bildern auf einmal abarbeitet. Meine angepasste Version [1] inkl. Quellcode [2] findet ihr unten. Vielleicht kann sie ja jemand gebrauchen. Sie funktioniert natürlich nur, wenn die Bilder im verschlüsselten Bereich keine Bilddaten enthalten. Außerdem stellt sie u.U. pro Datei mehrere Bilder unterschiedlicher Auflösungen wieder her, die alle enthalten sind. Wie immer gilt: nur mit Backups arbeiten und die Originaldateien aufheben, falls es jemand noch schaffen sollte, den verschlüsselten Bereich zu entschlüsseln. Die neue Funktionalität findet man unter File - Batch Recover.

[1] team.winfuture.de/to_webmaster/files/JPEGsnoop-bin.zip
[2] team.winfuture.de/to_webmaster/files/jpegsnoop-src.zip

hallo,

habe Dein Tool gerade getestet, und mich gewundert, wieso es so viele Dateien findet in einem Verzeichnis auf USB-Stick, wo ich zum Testen 5-6 Dateien abgelegt hatte. Das Tool stoppte erst mit Meldung "Speicher voll".

Ein Blick ins Verzeichnis zeigte dann den Grund: Die vorhandenen Dateien wurden repariert und umbenannt, dann wurden die bereits reparierten wieder repariert und umbenannt usw.



Vielleicht sollte hier noch eine Routine rein, die den Batchlauf nach einem Durchlauf stoppt , ansonsten Top das Tool !!

Zitat:

Zitat von ts2000

Vielleicht sollte hier noch eine Routine rein, die den Batchlauf nach einem Durchlauf stoppt , ansonsten Top das Tool !!

Oh, das ist ärgerlich, da das in meinen Tests gerade nicht passiert ist (kann an der Reihenfolge der Dateien oder den Dateinamen liegen).

Egal, ich habe es nun nochmal so modifiziert, dass die wiederhergestellten Dateien in einem Unterordner "JPEGsnoop-recovered" abgelegt werden, das sollte das Problem aus der Welt schaffen.

Sorry für die Unannehmlichkeiten.

MfG TO_Webmaster

Hi TO_Webmaster,

super Job das mit deinem Tool JPEGsnoop!!!!
Ich könnte immerhin schon mal Thumbnails sehen von den JPG's.

Leider stimmt etwas mit dem Hinterlegten Pfad für das Batchrecovery nicht oder ich bin zu schusselig ;-)

Bei mir (Win7 64bit Pro) wird der zu verwendende Pfad für den Export zweimal in einer Zeile geschrieben:

*** Exporting JPEG ***
Exporting from: [G:\Arbeit\PICTURE\Photos\yjqoLjnjVGVxtE]
Exporting to: [G:\Arbeit\PICTURE\Photos\JPEGsnoop-recovered\g:\arbeit\picture\photos\yjqoljnjvgvxte-repaired-2.jpg]
ERROR: Couldn't open file for write [G:\Arbeit\PICTURE\Photos\JPEGsnoop-recovered\g:\arbeit\picture\photos\yjqoljnjvgvxte-repaired-2.jpg]: [G:\Arbeit\PICTURE\Photos\JPEGsnoop-recovered\g:\arbeit\picture\photos\yjqoljnjvgvxte-repaired-2.jpg contains an incorrect path.]

Da kann er natürlich nicht hinschreiben ;-)

Jemand ne Idee warum das so ist???

DANKE!!!!!!!

Hallo!
Ich habe mir auch einen Verschlüsselungstrojaner eingefangen, Daten gesichert, Festplatten formatiert und XP neu aufgespielt. Bin jetzt dabei meine Bilder zu entschlüsseln. Habe mir JEPGsnoop 1.6.0 von der Herstellerseite heruntergeladen. Da funktioniert das Entschlüsseln einwandfrei, jedoch nur einzeln. Jetzt habe ich hier gelesen, dass das Tool entsprechend modifiziert wurde. Ich habe es jedoch noch nicht geschafft, mir das Tool auf dem angegebenem Pfad herunter zu laden bzw. konnte den link nicht finden. Wie genau komme ich an die modifizierte Variante von JEPGsnoop? Ich bin auf diesem Gebiet nicht so sehr bewandert, bin mehr ein Programmnutzer
Bitte helft mir, Habe aus Bequemlichkeit ca. 2500 nicht gesicherte und nun verschlüsselte Bilder.

Zitat:

Zitat von TO_Webmaster

Hi,

Ich habe das Tool daher angepasst, so dass es einen ganzen Ordner mit verschlüsselten JPG-Bildern auf einmal abarbeitet. Meine angepasste Version [1] inkl. Quellcode [2] findet ihr unten. Vielleicht kann sie ja jemand gebrauchen. Sie funktioniert natürlich nur, wenn die Bilder im verschlüsselten Bereich keine Bilddaten enthalten. Außerdem stellt sie u.U. pro Datei mehrere Bilder unterschiedlicher Auflösungen wieder her, die alle enthalten sind. Wie immer gilt: nur mit Backups arbeiten und die Originaldateien aufheben, falls es jemand noch schaffen sollte, den verschlüsselten Bereich zu entschlüsseln. Die neue Funktionalität findet man unter File - Batch Recover.

[1] team.winfuture.de/to_webmaster/files/JPEGsnoop-bin.zip
[2] team.winfuture.de/to_webmaster/files/jpegsnoop-src.zip

@TO_Webmaster

hiho die Idee JPEG´s mit dem Tool JPEGsnoop zu retten finde ich genial
Ich hab das mal mit meinen verschlüsselten Jpegs ausprobiert . Und bin auf ein paar Probleme gestoßen. Vielleicht kannst Du mir und Allen Anderen die die gleichen Probs haben weiterhelfen.

1. Der Versuch einer Batchrecover-Aktion scheitert bei mir daran, dass meine verschlüsselten Dateien zwar jpg´s sind aber die entsprechende Datei-Endung wurde vom Trojaner entfernt... (meine Dateien haben als Namen nur wilde Anreihungen von BUchstaben Wie z.b. "DeelUVVNgOLooapXxstu". Der Test mit einem Verzeichnis von 80 Dateien führte zu 80 Fehlermeldungen "Error: Couldnt open file for write" und "contains incorrect path" . Da man die Fehlermeldungen immer mit "ok" wegklicken muss war das umständlich und nützte nichts ... Der Gegentest mit korrekt umbenannten JPG-Dateien funktionierte jedoch. (mit ein paar anscheinend nicht rettbaren Bildern )

2. Leider klappt es in deinem modifizierten Tool eine Bilddatei einzeln zu öffnen nicht. es wird mit der Antwort "****.jpg was not found" beantwortet. Ein test mit dem nicht modifzierten Tool klappte jedoch . Dieses Verhalten trat bei mir auf 2 verschiedenen Rechnern auf . Ich vermute es ist ein kleiner Bug der sich eingeschlichen hat. Dies ist zwar nicht relevant für unsere Mission hier aber vielleicht ganz leicht zu beheben...

Hier ist jetzt der geeignete Ort um meine beiden (deutschsprachigen!) Video-Anleitungen zu Schattenkopien reinzustellen:


Anleitung ShadowExplorer deutsch:


Wem's geholfen hat: ich freue mich immer über Backlinks auf hxxp://blog.pc-ab-50.de/hoffnung-fuer-opfer-des-verschluesselungs-trojaners-schattenkopien.html

Zitat:

Zitat von Rufius

1. Der Versuch einer Batchrecover-Aktion scheitert bei mir daran, dass meine verschlüsselten Dateien zwar jpg´s sind aber die entsprechende Datei-Endung wurde vom Trojaner entfernt... (meine Dateien haben als Namen nur wilde Anreihungen von BUchstaben Wie z.b. "DeelUVVNgOLooapXxstu". Der Test mit einem Verzeichnis von 80 Dateien führte zu 80 Fehlermeldungen "Error: Couldnt open file for write" und "contains incorrect path" . Da man die Fehlermeldungen immer mit "ok" wegklicken muss war das umständlich und nützte nichts ... Der Gegentest mit korrekt umbenannten JPG-Dateien funktionierte jedoch. (mit ein paar anscheinend nicht rettbaren Bildern )

2. Leider klappt es in deinem modifizierten Tool eine Bilddatei einzeln zu öffnen nicht. es wird mit der Antwort "****.jpg was not found" beantwortet. Ein test mit dem nicht modifzierten Tool klappte jedoch . Dieses Verhalten trat bei mir auf 2 verschiedenen Rechnern auf . Ich vermute es ist ein kleiner Bug der sich eingeschlichen hat. Dies ist zwar nicht relevant für unsere Mission hier aber vielleicht ganz leicht zu beheben...

1. Ist bekannt und kann umgangen werden, indem man den Dateien irgendeine Endung gibt, z.B. mit einem Massen-Umbenennungstool.

2. Hmm, ich habe neben meinem Ergänzungen nur einige (meines Erachtens unbedeutende) Dinge geändert, damit es in Visual Studio 2010 kompiliert. Habe allerdings keinen Wert auf die anderen Funktionen gelegt, da für diese ja das Originaltool verwendet werden kann.

Ich werde mir beide Dinge ansehen, sobald ich Zeit habe (diese Woche wohl nicht mehr). Falls jemand anders mehr Zeit haben sollte, einfach die Änderungen durchführen. Die Sourcen der angepassten Version habe ich ja zur Verfügung gestellt.

MfG TO

Servus,

die Daten eines unserer Kunden ebenfallst nach dem Muster
"psuTxvptQaGJptQaGJ" verschlüsselt.

Gibt es eine Möglichkeit die Dateinamen wiederherzustellen oder kann ich damit rechnen das es irgendwann eine gibt?

Gruß
Marcel Sommer

Hi TO_Webmaster,
ich würde deinen Tool gerne ausprobieren, wie kann ich ihn anwenden?
Danke für deine Hilfe

Hab ich gemacht. Allerdings bekomme ich 5K große bilder. Damit kann ich nichts anfangen. Ich sehe zwar die bilder aber nur in sehr klein.

Zitat:

Zitat von TO_Webmaster

Hi,


[1] team.winfuture.de/to_webmaster/files/JPEGsnoop-bin.zip
[2] team.winfuture.de/to_webmaster/files/jpegsnoop-src.zip

irgendwie will das bei mir nicht klappen... wie und was habe ich mit dem tool zu machen... wie wende ich es an... die daten sind bei mir, wie oft von anderen beschrieben "wirr umbenannt", ohne entsprechende dateiendung...

bitte helft mir... der betroffene ordner enthält die erste zwei jahre meiner tochter...!

danke im voraus, gruß daniel

Bei mir hat es geklappt. Leider fehlen mir so ein Tool für Doc-Dateien.