|
Win32/Trustezeb.C - Verschlüsselungs Trojaner 2.0 Win32/Trustezeb.C - Die nächste Generation des Verschlüsselungstrojaners Die neue Variannte des verschlüsselungstrojaners trägt die Versionsnummer 2.000.11 Es gibt einige Änderungen. Neuer host: 84.72.41.161 lickes-shops.com Zudem wird versucht, zu im moment nicht funktionierenden Seiten zu verbinden: wmeu-list.com dnaey-shop.com bigedpn-adult.com wiutumh.com tsavwu.com knishka-mir.ru klubni-mir.ru Die verwendete Mail-Adresse hat sich in der "bitte lesen.txt" geändert: Zitat:
Current User\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Startup Es gibt weitere Änderungen im Code, wir informieren euch über Neuerungen. Bitte sendet uns bitte verdächtige Mails möglichst zeitnahe zu. http://markusg.trojaner-board.de |
Zumindest sollte man schon mal in der "Host's" - Datei präventiv diese Adressen auf die 127.0.0.1 lenken... lickes-shops.com wmeu-list.com dnaey-shop.com bigedpn-adult.com wiutumh.com tsavwu.com knishka-mir.ru klubni-mir.ru :kloppen: ...weitere 18.700 Schrott-Seiten für die "Host's" gibt's bei (z.B.) spybot.de :daumenhoc |
Hallo Gestern hat meine Frau den Trojaner eingefangen.Sofort wurden 2 Fenster angezeigt mit der Forderung jeweils 100€ per Ukash.Dann hat die LAN Kabel gezogen und den PC per Knopf ausgeschaltet. Auf dem Rechner ist NOD32 Antivirus und er hat den Trojaner nicht direkt gekillt ,sondern beim Neustart, beim Versuch einen Eintrag in Registry zu schreiben. Alle Dateien wurden in unlesbares Format umbenannt und heißen einfach "Datei". Das ist der Name einer JPEG Datei "AAjOggOUUdTaaTEE". Ich möchte gerne erfahren, wie man die Dateien wiederherstellt.Danke für eure Arbeit hier |
Zitat:
Dort sind 3 Punkte beschrieben. Vielleicht wäre zweckmäßig, mal den Link unter Punkt 3 anzuklicken? Volker |
Habe schon alles ausprobiert.JPEG tool braucht Originaldateien die ich nicht habe...Wenn ich diese hätte,dann brauche ich die verschlüsselten Dateien nicht zu entschlüsseln.Oder verstehe ich was falsch? Der Entcryptor von Dr.Web funzt auch nicht-habe schon alle Keys ausprobiert,die dort stehen. Außerdem handelt es sich um einen neuen Trojaner mit anderer Methode für die Verschlüsselung.Gibt es überhaupt ein Tool für die Wiederherstellung der Daten bei dieser Variante? |
Zitat:
Der Link führt hier hin, nicht zu den Tools für den "alte" Version. Übrigens, welches JPG-Tool braucht Originale? Volker |
So,Shadow Explorer funzt nicht-> der Wiederherstellungspunkt war heute und hilft nicht mehr. JPG Snop braucht Original Datei..Echt ich verstehe nicht wozu. Ah ja,als erstes habe ich die Endung geändert auf jpeg bei einer Datei...Und es gab die Meldung wegen des beschädigten Headers... Die Daten sind bestimmt weg jetzt.....endgültig |
Schon mal JPEG Recovery probiert? Vielleicht hilft das weiter. Wiese soll die Datei weg sein, Du arbeitest doch mit Kopien, oder? Wenn nicht, würde ich dazu raten. Volker |
Das ist ein Schwachsinn Daten zu entschlüsseln,wenn Kopien in Ordnung sind oder? Tja,so ein Tool braucht ja Datei mit der Endung JPEG..aber meine Bilder sind nicht mehr JPEG sondern einfach Dateien ohne Endung.. Habe ein Programm gefunden R Studio...aber das ist für wiederherstellung der gelöschten Dateien.Was meint ihr? |
Zitat:
Zitat:
Zitat:
|
Was meinst du mit "Kopien"? Ich verstehe darunter "Backup",sprich heile Dateien ,die geöffnet und gelesen werden können. Es gibt ein Paar Dokumente und Bilder ,die nicht gesichert wurden und die ich gerne wieder haben möchte. Für andere habe ich Backup auf externer Platte.Außerdem ist mir interessant,wie sowas beseitigt wird bzw.wie die Dateien wiederhergestellt werden. |
@ technik Um mal Undertaker hierbei unter die Arme zu greifen... Kopien in der Art & Weise, das man erst mal nicht mit den Original verschlüsselten Daten seine Versuche macht. Grund: Weil man bei misslingen sich danach jede Chance auf Rettung verbogen hat. Nächstes Problem: Keine VSS (Vorgängerversion/Schattenkopie) mehr da, gleich fast jede einfache Chance auf Datenrettung hinüber. Nächstes Ding: Warum eine Originaldatei haben für eine Recovery? Na weil z.B. die alten Tools erst mit einer Originalen und einer verschlüsselten Datei einen "Key" erzeugen konnten der die Daten aller Dateien retten konnte. Zugegeben, ich kann aktuell auch nur vermuten, das es sich hierbei bei diesem Tool um ähnliches Prinzip handelt. (Ansonsten mich bitte verbessern...). Und zum Schluß: Nach (mir bekanntem) aktuellem Stand gibt es außer dem erwähnten Tools und Schattenkopien und einem ordentlichen Backup aktuell (und wohl auch in nächster Zeit) KEINE andere Chance auf eine Datenrettung! Siehe die dazu hier im Forum oft genug erwähnten Links... Wie gesagt, ich weiß bestimmt nicht alles und habe evtl. auch hier schon was überlesen. Daher - bitte mich korrigieren wenn ich irgendwo was falsch beschrieben/erklärt/erläutert/verstanden haben sollte.^^ Grüße, Wavetable |
Zitat:
Aber das hat @technik ja selbst raus gefunden. Ansonsten, alles korrekt! Oder rede ich wieder Schwachsinn :confused:, weiß es selbst nimmer. :blabla: Volker |
Zitat:
|
Es ist doch ganz einfach: Von dem verschlüsselten Ordner erstellt man eine Kopie. Mit dieser Kopie kann man herumexperimentieren bis das Mainboard schmilzt. Macht man hingegen die Experimente mit dem original verschlüsselten Ordner, so muss man sich nicht wundern, wenn jegliche Chance auf eine Datenrettung verbaut ist. Das ist sogar für einen Laien wie mich einfach zu verstehen. Aber vielleicht bin ich ja nur 'ne Ausnahme... |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 07:01 Uhr. |
Copyright ©2000-2025, Trojaner-Board