Ich hab heute einen Rechner mit Verschlüsselungs-Trojaner mit Comodo Premium 5.8 gescannt.

Die Dateinamen sind noch vorhanden wie bei den beiden Beispielen zu erkennen ist. Allerdings ist mir nicht klar woher Comodo die Original-Dateinamen hat.

Ich habe eine entsprechende Frage im Comodo-Forum gestellt.

Das sieht mir mehr aus wie die Trojaner-Datei, von der aus der Rechner infiziert wurde!?

Da hast Du schon Recht, das sind die Trojaner-Dateien.
Das sind ja auch die einzigen die Comodo anzeigt.
Allerdings sind diese aktuell auf der System verschlüsselt abgelegt.
In der Log-Datei sind allerdings die Original-Dateinamen zu sehen, welche Comodo ja irgendwoher haben muss. Es geht ja eher darum eine Methode zu entwickeln um die Dateien wieder in Ihren Original-Zustand versetzen zu können.

gibt es wirklich noch nichts um die daten zu entschlüsseln??
lg Ice

Ist der Spuk mit neuen Opfern vorbei ?

Bezüglich des Posts von pcnberlin mit Verweis auf seinen Blogpost
"Analyse des Windows-Verschluesselungstrojaner-neue-Version"
auf Seite 37 dieses Topics, ist mir gerade aufgefallen, dass der benannte Server:
hxxp://ogutors-free.com/
nicht mehr erreichbar ist.

Leider kam der Gedanke die a.php per wget zu sichern zu spät.
Zumindest ist der Siliziumkrüppel aktuell offline;
welches neue verschlüsselte Patienten bis zu einer neuen Variante
temporär ausschließt, wenn ihr mit den Onlinekeys recht behaltet.

Frage ist, ob es eine neue Version gibt, bevor die alte Ihre
Geheimnisse Preis gegeben hat.

PS: An dieser Stelle nocheinmal ein persönlichen Gruß an den Author: :lmaa: :lmaa: :lmaa: :lmaa: :lmaa:

Hallo

Ich bin auch reingefallen!! Habe eine Mail bekommen, die lässt sich aber jetzt leider nicht mehr offnen! Habe dann den Anhang geöffnet. Ich weiß ich hätte eine zweite Kopie meiner Daten machen müssen aber jetzt is es nunmal zu spät!
Meine Bilder, Documente und Musik ist verschlüsselt der Dateiname besteht aus unwillkürlichen Ziffern zb:wsfirhejfiuerhgtokdk :confused:
Doc die MBs sind noch da. Habe schon verswucht den Dateiname einfach zu ändern mit .jpg das lässt sich zwar dann öffnen doch die Datei kann nich gelesen werden! Brauche unbedingt diese Bilder das sind Bilder meiner Töchter der letzten 5 Monate! Und meine Tochter ihre Ausbildungdokumente die sie braucht.
Bitte dringend um hilfe:heulen::heulen:

Achtung , schon wieder neue Email Variante unterwegs !!!

Titel in der mail " Letzte Mahnung 094125058 Inkassobüro " mit ner schicken zip Datei im Anhang.........

auf keinen Fall öffnen !!!

Ich habe dann jetzt mal eine Nachricht an meinen Lieblingssender 1Live (www.einslive.de) verfasst und auf die Delphi-Praxis bzw. das Trojaner-Board verwiesen, sie mögen mal eine Warnung an die Hörerschaft rausbringen.
Mal schauen.

Michael

Huhu Mitchi,

ich kann Dich nur auf
http://www.trojaner-board.de/115551-...version-2.html

verweisen, bezüglich des pst / jpg rettens,
zudem wäre da noch der Tipp mit den Schattenkopien,
siehe Video auf der zweiten Seite.

Da ich leider heute Abend keinen PC mit Verseuchung am Start habe,
stellt sich mir die Frage ob von Euch schon jemand Erfahrung mit Raw Recoverys gemacht hat ?
D.h. Photorec etc. von der Theorie her dürften alle Dateien die zuletzt
auf dem Dateisystem waren ja folglich verschlüsselt sein, solche die aber
vorher gelöscht worden sind / ältere Revisionen / etc.
ja auch diesem Wege durchaus noch dem einen oder anderen von Nutzen sein.

PS: @ Mitchi wie spät hast du denn heute die Mail geöffnet,
bin nur neugierig wegen des nicht erreichbaren Servers.

So far fdy

Das war vorige Woche Diennstag! Un da hab ich nach ner Lösung für die Bilder gesucht aber keine gefunden!

Bei mir sind weder mit DecryptHelper oder den anderen Programmen mittels Dateipaare auch nur eine Datei zu entschlüsseln. Ich hoffe es gibt bald eine Lösung. Es sind hauptsächlich Fotos, auch einige Dokumente.

Photorec wäre ein Versuch wert: je mehr Platz auf der Platte frei ist, desto wahrscheinlicher dass nichts überschrieben wurde.

Wichtig wäre keine Schreibzugriffe auf die befallene Platte durchzuführen!

Also: externe große Platte per USB anschließen, Photorec starten , als Zielverzeichnis sicherstellen dass die USB Platte genannt ist und "rödeln lassen".

Ergebnis: alle intakten "gelöschten" Dateien werden wiederhergestellt sofern sie Dateiformaten entsprechen die Photorec kennt (und das sind viele. MS Dokumente, Jpg, diverse Filmformate ...)

Resultat : einwandfrei wenn kein Schreibzugriff stattfand, wenn Teile der Dateien durch neue überschrieben wurden sind diese verloren.

Nachteil: durch die Methode die ohne File Tables auskommt kann Photorec den Namen nicht wiederherstellen. Man erhält also Dateien mit kryptischen Namen aber der korrekten Endung, muss alle einzeln öffnen und anhand des Inhaltes feststellen welche Datei das war.. danach kann man sie von Hand umbenennen.

Einschätzung: ein Versuch ist es wert, bei SSD Platten die nicht sehr voll waren würde ich erwarten dass viele Dateien wiederhergestellt werden, bei herkömmlichen Magnetplatten befürchte ich dass nur die als letzte verschlüsselten Dateien wiederherstellbar sein werden.

Link: PhotoRec - CGSecurity

Hi Dackel,
das verstehe ich nicht ganz, Photorec ist doch ein Programm zur Wiederherstellung von Dateien und nicht zur Entschlüsselung.
Beim Verschlüsseln wird der zugehörige Record des Dateisystems ja nicht geändert, die Datei ist ja noch da.
Falscher Post zum richtigen Thema oder richtiger Post zum falschen Thema, oder peil ich was nicht ?

Grüße
Arris

Hallo Arris,

zum Gedankengang:

Dass Schreibprogramm speichert während des Arbeitens mit einem Dokument eine gesperrte Kopie für den Falle eine Absturzes, dass Original ist selbstverständlich verschlüsselt, die Kopie aus dem Tempfiles ist gelöscht und daher nicht involviert.

Beispiel 2:
Mustermännchen bestellt sich ein Fotobuch oder brennt eine selektierte Zusammelstellung
seiner Urlaubsbilder, erstellt dafür einen neuen Ordner, kopiert die Wunschbilder dort
rein, löscht nach getaner Ausführung den Kopieordner.
Schwupps haben wir wieder gelöschte Bilder auf Platte.

Beispiel 3:
Persönchen 3 überträgt die Bilder von seiner Digitalkamera auf Platte,
verschiebt die Daten auf seine externe Festplatte, da die Orginale beim
verschieben gelöscht werden, sind auch hier wieder Optionen vorhanden.

Beispiel 4:
Anhänge kommen per E-Mail rein, Anhänge werden auf Platte gespeichert - später verschlüsselt, sind aber irgendwo noch in der Mailboxdatei noch gespeichert.
Da nur der Header verschlüsselt wird, müssten auch hier weiter hinten
aus der Datei Rohdaten extrahiert werden können.

Ich hoffe, es ist so etwas besser verständlich.

*wink* fdy

Und zu guter letzt wurden ja die Originaldateien zuerst verändert, dann unter neuem Namen gespeichert und dann erst gelöscht :D
Aber jede neu gespeicherte Datei kann schon wieder die gelöschte vorherige Originaldatei überschrieben haben :(
Gruß DevilTH