Reparaturanleitungen für Dateien vom Verschlüsselungstrojaner "12 kB / neue Version"
 

Hallo.

Ich möchte mal einen Thread eröffnen, in dem alle (funktionierenden) Reparaturanleitungen für Dateien veröffentlicht werden, die von dem Trojaner, der die ersten 12 kB verschlüsselt, beschädigt wurden.

Da die Tipps, die in diesem Thread http://www.trojaner-board.de/115183-...te-umlauf.html mittlerweile nur gefunden werden, wenn man alle Postings liest, wäre es schön, wenn in diesem Thread keine Meldungen von Verseuchungen gepostet werden, dafür gibts glaube ich passendere Stellen.



Microsoft Outlook
Diese Lösung sollte mindestens für Outlook-Datendateien ab Version 2003 evtl. früher gelten. Einfach ausprobieren.

Es gibt ein Tool von Microsoft, welches die Outlook-Datendatei scannt und reparieren kann. Da ja "nur" die ersten 12 kB verschlüsselt wurden, kann evtl. der Header wieder hergestellt werden. Das Tool heisst "scanpst.exe" und ist zu finden unterhalb "C:\Program Files\Common Files\System\MSMAPI\1031".

Eine Datendatei von 1,3 GB Größe, wurde wiederhergestellt. Ein weiter Post in oben abgegeben Thread beschreibt den gleichen Erfolg.

Die Outlook-Datei liegt (bei WinXP) in der Regel unter "C:\Dokumente und Einstellungen\Benutzer\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook", bei Win7 "C:\Users\Benutzer\AppData\Local\Microsoft\Outlook", dort einfach die vorhandene(n) Datei(en) kopieren(!) und nach "Outlook.pst" umbenennen oder einfach ".pst" zum Dateinamen hinzufügen.
Dann das Tool starten und die eben umbenannte Datei auswählen.
Es kann sehr lange dauern und das Tool sieht dann so aus, als würde es hängen, einfach Ruhe bewahren und abwarten. Wenn "scanpst" die Datei nicht reparieren kann, meldet es das.
Nach der Reparatur kann Outlook gestartet werden.
Die Einstellungen zu Mail usw. hat Outlook je nach Version in der Registry abgelegt bzw. müssen von Hand neu eingegeben werden.



Mozilla Thunderbird
Man suche sein Profileverzeichnis in Win7 bei "C:\Users\Benutzer\AppData\Roaming\Thunderbird" und dort die "Local Folders". Da sind in der Regel die Maildateien. Es gibt immer zwei zusammengehörige Dateien, z. B. Inbox und Inbox.msf. Das gilt für Sent, Trash, usw.

Auch hier sollte man die Dateien für den Fall der Fälle kopieren und dann mit der Kopie arbeiten.

Nun öffne man mit einem Editor (z.B. Notepad++ o.ä.) diese Dateien.
Wenn man jetzt besagte 12288 Bytes runtergeht, muss man Inhalt in dieser Form finden:

Diese Datei ist dann eine Maildatei.

Da neue ankommende Mails immer unten angehängt werden, kann alles was über den angegebenen Zeilen steht, gelöscht werden. So kann man die Datei wiederherstellen.
Wenn ihr die Dateien dann in der Form "Maildatei1", "Maildatei2", usw. umbenennt und dann Thunderbird startet, findet ihr Ordner dieses Namens in der Oberfläche.
Dann die Mails in diesen Ordnern markieren und in die entsprechenden Ordner (Posteingang, gelöscht,... -diese wurden automatisch wieder angelegt) verschieben.

Die restlichen Einstellungen wie Mailadresse, Server, usw. müssen von Hand neu angelegt werden, das sie vermutlich zerstört wurden.



Ich wünsche viel Erfolg.

Michael

Hallo Michael,

gute Idee :daumenhoc

Verweise mal noch auf folgende Möglichkeit: http://www.trojaner-board.de/115496-...erstellen.html

Hi,

ein Bekannter hatte sich einen Verschlüsselungstrojaner eingefangen, der die ersten 3kB der Dateien verschlüsselt. Keines der Entschlüsselungstools hat bisher funktioniert.

Ich habe es dann mit dem Tool JPEGsnoop geschafft, so verschlüsselte JPG-Bilder wiederherzustellen, da sie an dieser Stelle scheinbar keine Bildinformationen enthielten. Dies ging allerdings nur einzeln.

Ich habe das Tool daher angepasst, so dass es einen ganzen Ordner mit verschlüsselten JPG-Bildern auf einmal abarbeitet. Meine angepasste Version [1] inkl. Quellcode [2] findet ihr unten. Vielleicht kann sie ja jemand gebrauchen. Sie funktioniert natürlich nur, wenn die Bilder im verschlüsselten Bereich keine Bilddaten enthalten. Außerdem stellt sie u.U. pro Datei mehrere Bilder unterschiedlicher Auflösungen wieder her, die alle enthalten sind. Wie immer gilt: nur mit Backups arbeiten und die Originaldateien aufheben, falls es jemand noch schaffen sollte, den verschlüsselten Bereich zu entschlüsseln. Die neue Funktionalität findet man unter File - Batch Recover.

[1] team.winfuture.de/to_webmaster/files/JPEGsnoop-bin.zip
[2] team.winfuture.de/to_webmaster/files/jpegsnoop-src.zip

weitere Hinweise: http://www.trojaner-board.de/115551-...tml#post847928

Hinweis: Das kann nur korrekt funktionieren, wenn die Bilder hinreichend groß sind.

1. Programm runterladen: team.winfuture.de/to_webmaster/files/JPEGsnoop-bin.zip
2. Ein paar verschlüsselte Bilder zum Test in einen leeren Ordner kopieren.
3. Programm entpacken und starten.
4. File - Batch recover...
5. Den in 2. erstellten Ordner auswählen und ok drücken.
6. Beten und warten.

Bei Erfolg den Vorgang mit den restlichen Bildern wiederholen.

hallo,

habe Dein Tool gerade getestet, und mich gewundert, wieso es so viele Dateien findet in einem Verzeichnis auf USB-Stick, wo ich zum Testen 5-6 Dateien abgelegt hatte. Das Tool stoppte erst mit Meldung "Speicher voll".

Ein Blick ins Verzeichnis zeigte dann den Grund: Die vorhandenen Dateien wurden repariert und umbenannt, dann wurden die bereits reparierten wieder repariert und umbenannt usw.

http://img685.imageshack.us/img685/6...0523205407.jpg

Vielleicht sollte hier noch eine Routine rein, die den Batchlauf nach einem Durchlauf stoppt :stirn:, ansonsten Top das Tool !! :dankeschoen:

Oh, das ist ärgerlich, da das in meinen Tests gerade nicht passiert ist (kann an der Reihenfolge der Dateien oder den Dateinamen liegen).

Egal, ich habe es nun nochmal so modifiziert, dass die wiederhergestellten Dateien in einem Unterordner "JPEGsnoop-recovered" abgelegt werden, das sollte das Problem aus der Welt schaffen.

Sorry für die Unannehmlichkeiten.

MfG TO_Webmaster

Hi TO_Webmaster,

super Job das mit deinem Tool JPEGsnoop!!!!
Ich könnte immerhin schon mal Thumbnails sehen von den JPG's.

Leider stimmt etwas mit dem Hinterlegten Pfad für das Batchrecovery nicht oder ich bin zu schusselig ;-)

Bei mir (Win7 64bit Pro) wird der zu verwendende Pfad für den Export zweimal in einer Zeile geschrieben:

*** Exporting JPEG ***
Exporting from: [G:\Arbeit\PICTURE\Photos\yjqoLjnjVGVxtE]
Exporting to: [G:\Arbeit\PICTURE\Photos\JPEGsnoop-recovered\g:\arbeit\picture\photos\yjqoljnjvgvxte-repaired-2.jpg]
ERROR: Couldn't open file for write [G:\Arbeit\PICTURE\Photos\JPEGsnoop-recovered\g:\arbeit\picture\photos\yjqoljnjvgvxte-repaired-2.jpg]: [G:\Arbeit\PICTURE\Photos\JPEGsnoop-recovered\g:\arbeit\picture\photos\yjqoljnjvgvxte-repaired-2.jpg contains an incorrect path.]

Da kann er natürlich nicht hinschreiben ;-)

Jemand ne Idee warum das so ist???

DANKE!!!!!!!

Hi,

zunächst einmal möchte ich darauf hinweisen, dass ich das Tool nicht geschrieben, sondern nur (leicht) modifiziert habe.

Nun zu deinem Problem: Das tritt auf, wenn die verschlüsselten Dateien gar keine Endung haben und war mir bisher nicht bewusst. Ich kann das demnächst irgendwann mal umbauen. Um das Problem zu umgehen, könntest du erstmal mit einem Rename-Tool den Dateien eine beliebige Endung zuweisen.

MfG TO_Webmaster

Hilfe !
 

Hallo zusammen,

Ich bin neu hier und habe mir ebenfalls den Troyaner eingefangen. Nach dem ich win 7 wieder neu installiert habe läuft der Rechner wieder. Ich habe nur probleme meine Daten wieder herzustellen, bis jetzt haben alle Versuche fehlgeschlagen sie zu entschlüsseln.
Ich kenne mich nicht besoders gut aus aber hier wird immer gepostet das die Dateiendungen verschlüsselt sind, das schein bei mir nicht der fall zu sein, die Endungen sind ganz normal (.jpg, .xls,....). Der Troyaner ist auf alle Fälle der, der oben beschreiben wurde (selber Text, ...). Kann das Problem wo anders liegen ? Bin für jede Hilfe dankbar !!!!

Hallo,

ich habe das Tool an Bilddateien ausprobiert.
Meine Dateien sind nach dem Schema "fnsqLuedoGdTxApvl" u.ä.
verschlüsselt.

Ich habe auch noch Backups einiger Originaldateien.

Ich kann keine Schlüssel erzeugen, da die verschlüsselten Dateien eine geringfügig andere Größe als die Originaldateien haben. Ca. 1 - 3 kB Unterschied.

Lässt sich daran etwas machen ?

Also meine Dateien sind auch nach dem Muster

psuTxvptQaGJptQaGJ verschlüsselt.
Mann kann derzeit auch keine eure Programme die ihr da vorschlagt nutzen,weil alles immer einen schlüssel haben will.


Wenn einer ein Lösung hat ...ich würd mich so sehr freuen

@TO_Webmaster

hiho die Idee JPEG´s mit dem Tool JPEGsnoop zu retten finde ich genial :)
Ich hab das mal mit meinen verschlüsselten Jpegs ausprobiert . Und bin auf ein paar Probleme gestoßen. Vielleicht kannst Du mir und Allen Anderen die die gleichen Probs haben weiterhelfen.

1. Der Versuch einer Batchrecover-Aktion scheitert bei mir daran, dass meine verschlüsselten Dateien zwar jpg´s sind aber die entsprechende Datei-Endung wurde vom Trojaner entfernt... (meine Dateien haben als Namen nur wilde Anreihungen von BUchstaben Wie z.b. "DeelUVVNgOLooapXxstu". Der Test mit einem Verzeichnis von 80 Dateien führte zu 80 Fehlermeldungen "Error: Couldnt open file for write" und "contains incorrect path" . Da man die Fehlermeldungen immer mit "ok" wegklicken muss war das umständlich und nützte nichts ... Der Gegentest mit korrekt umbenannten JPG-Dateien funktionierte jedoch. (mit ein paar anscheinend nicht rettbaren Bildern )

2. Leider klappt es in deinem modifizierten Tool eine Bilddatei einzeln zu öffnen nicht. es wird mit der Antwort "****.jpg was not found" beantwortet. Ein test mit dem nicht modifzierten Tool klappte jedoch . Dieses Verhalten trat bei mir auf 2 verschiedenen Rechnern auf . Ich vermute es ist ein kleiner Bug der sich eingeschlichen hat. Dies ist zwar nicht relevant für unsere Mission hier aber vielleicht ganz leicht zu beheben...

Hier ist jetzt der geeignete Ort um meine beiden (deutschsprachigen!) Video-Anleitungen zu Schattenkopien reinzustellen:


Anleitung ShadowExplorer deutsch:


Wem's geholfen hat: ich freue mich immer über Backlinks auf hxxp://blog.pc-ab-50.de/hoffnung-fuer-opfer-des-verschluesselungs-trojaners-schattenkopien.html

1. Ist bekannt und kann umgangen werden, indem man den Dateien irgendeine Endung gibt, z.B. mit einem Massen-Umbenennungstool.

2. Hmm, ich habe neben meinem Ergänzungen nur einige (meines Erachtens unbedeutende) Dinge geändert, damit es in Visual Studio 2010 kompiliert. Habe allerdings keinen Wert auf die anderen Funktionen gelegt, da für diese ja das Originaltool verwendet werden kann.

Ich werde mir beide Dinge ansehen, sobald ich Zeit habe (diese Woche wohl nicht mehr). Falls jemand anders mehr Zeit haben sollte, einfach die Änderungen durchführen. Die Sourcen der angepassten Version habe ich ja zur Verfügung gestellt.

MfG TO

hy

weiss jemand wie ich die .avi dateien, pdf formate und word dokumente wieder heile machen kann?

Die Bilder sind wieder ganz....obwohl das mit dem JPEGsnoop ja ne gute idee ist,aber jedes einzelne bild frein laden und wieder umwandel und dann extra speichern ja ne richtige arbeit ist!vielleich kann man ja auch alle bilder(in einem ordner) iregendwie rein laden, ich weiss nur nicht wie!?!?

Mfg

Hallo,
bekomme es mit dem Tool nicht gebacken, bin wahrscheinlich einfach zu blöd dazu :D

Wie genau muss ich vorgehen, um meine Bilder im Original wieder zu bekommen?
Habe es bei zwei Fotos geschafft, jedoch in absolut unbrauchbarer Größe (160x120)
Muss ich bei den Dateien ein ".jpg" dahinterhängen?

Bitte um Ratschläge...

Mfg Holdi ;)