Wiederherstellung von durch neuen Tojaner verschlüsselten Dateien
 

Hallo,

eine Freundin hat sich letzte Woche einen Trojaner eingefangen, der ihre persönlichen Daten verschlüsselt hat. Irgendwer hat sich vor mir drum gekümmert und den Trojaner beseitigt, hatte mit der Entschlüsselung aber auch kein Glück. Ich kann also keine Auskunft darüber geben, wie der Trojaner heißt. Jedenfalls sind auch die Dateinamen komplett verschlüsselt, damit funktionieren auch nicht mehr die Standardprogramme zum entschlüsseln. Von einigen Daten gibts noch Kopien, viel andere dagegen sind durch die Verschlüsselung erstmal verloren. Diese Daten sind für sie wichtige Erinnerungen, die sie gerne wieder hätte. Deswegen hoffe ich hier Hilfe zu finden und habe mich soweit auch mal informiert.

Das hier scheint der Trojaner zu sein, der bei ihr sein Unwesen getrieben hat:

http://www.trojaner-board.de/115183-...te-umlauf.html

Der Thread ist allerdings so lang, dass ich nicht weiß was nun aktueller Stand ist.

Im Anhang habe ich zwei Dateien in ein zip Archiv gepackt. Einmal das Original, welches zum Glück noch vorhanden war, und die verschlüsselte Version.

Im Moment lasse ich noch Recuva drüberlaufen (Deep Scan), das wurde hier irgendwo ja auch mal empfohlen. Meiner Erfahrung nach, wird das aber wahrscheinlich nichts werden.

Auch habe ich mir die Dateien mal mit einem Hexeditor angeschaut. Scheinbar ist nur der Anfang bis Offset 2FFF verschlüsselt, danach sind es die gleichen Daten wie im Original. Ersetze ich den verschlüsselten Teil durch den aus der Original Datei ist die Datei wieder hergestellt. Allerdings kann ich das nicht auf andere verschlüsselte Dateien anwenden. Dafür ist der Teil wohl zu groß.

Für Tipps und Vorschläge bin ich offen.

Hallo und :hallo:

Zum Thema Verschlüsselungstrojaner haben wir oben extra einen Hinweis angepinnt!

Eine Entschlüsselung ist unwahrscheinlich bis unmöglich!

Wenn das keine einfache Verschlüsselung mit "locked-" im Dateinamen ist, sollte man sich um Datenrettung und nicht um Entschlüsselung kümmern!
Wenn Vista oder Win7 im Einsatz sind, den ShadowExplorer testen! Aber keine unnötige Zeit mit Entschlüsselungsversuchen verschwenden

Und in Zukunft willst du sicher mal an ein besseres Backupkonzept denken. Hier ein Denkanstoß => http://www.trojaner-board.de/115678-...r-backups.html

Shadow Copy hat seltsamerweise nichts gesichert, obwohl aktiviert und der Laptop nur eine Festplatte hat. Ist übrigens ein Win7.

Das 12KB Tool habe ich probiert, aber es funktioniert eher selten. Von 20 Bildern vlt zwei. Muss mal noch die Referenz Daten weiter erhöhen, aber das war jetzt bei 23 Bildern schon ziemlich groß geworden. Und da es sich um 40GB an verschlüsselten Daten handelt wird das noch was werden.

Ansonsten konnte ich zumindest noch mit JPEGsnoop Thumbnails rausziehen und seltsamerweise sogar mit 640x480, was ja eigentlich zu groß für Thumbnails ist. Bilder mit 160x120 sind auch dabei. Im Original sind sie jedenfalls größer als 640x480.

Ich weise mal hier drauf hin => http://www.trojaner-board.de/115551-...tml#post998398

Sorry, hab ich ganz vergessen zu sagen. Das Programm hab ich schon probiert. Da kommt überhaupt nichts bei raus. Null. Bei über 2000 Bildern.

Wenn kein bei uns aufgeführtes Tool und auch die Schattenkopien nichts bringen, wirst du deine Daten wohl nicht mehr wiederbekommen. Außer du hättest ein intaktes Backup :pfeiff:

Ich hab haufen intakte Backups, sogar externe (falls die Hütte mal abbrennen sollte ;)), aber sie halt nicht ;) Über 40GB an Daten in paar Sekunden verheizt. Ich hab aus dem Anlass gleich mal paar Freunde gefragt wie sie das Handhaben. Scheinbar macht kaum wer Backups. Oh man.

Auch hätte ich scheinbar die Daten über Recuva wiederherstellen können. Aber scheinbar wurden die durch frühere Wiederherstellungsversuche überschrieben. Der Trojaner selbst hat sie jedenfalls nicht richtig gelöscht, da ich zumindest ein paar wieder herstellen konnte. Also wenn sowas passiert, gleich Rechner aus und Platte an anderen Rechner anschließen. Dann könnte es durchaus sein, dass man einen Großteil wieder bekommt. Vor allem auch mit richtigen Namen.

Ich habe heute nochmal mit frep rumgespielt und bekomme damit schon recht gute Ergebnisse. Glaub so 60%. Sie hatte nämlich unterschiedliche Kameras, was ich jetzt auf eine reduziert habe, dadurch steigt schon mal die Wiederherstellungsrate. Aber bei der Menge werd ich noch viel Spaß haben :S

Muss bei Gelegenheit mal schauen wie man dieses VolumenSchattenKopie richtig aktiviert. Hab selbst kein Win7, bzw. benutzte es nicht, deswegen keine Ahnung.

Vielen Dank euch jedenfalls für die Hilfe ;)

Das Thema wird von der buntblinkenden Softwareindustrie ja auch nicht aufgegriffen, den normalen Anwender kann wohl besser irgendwelche sinnlos SecuritySuites andrehen :pfeiff: aber naja, wobei manche ja auch eine Art Backupfunktion haben.


Wenn du eine Festplatte von WesternDigital oder Seagate hast, bekommst du ein AcronisTrueImage für lau :) (das aber ohne SecureZone soweit ich weiß, ich empfehle aber eh Images auf externe Platten, diese sollten nur angesteckt sein wenn man das Backup braucht bzw. ein Backup erstellen muss!)

WesternDigtal => Acronis True Image WD Edition - Download - Filepony
Seagate => Seagate DiscWizard - Download - Filepony

Mit Windows7 hat man auch ein Bordmitteln für die Imageerstellung zB hier => [Anleitung] Komplettes Image-Backup (Systemabbild) von Windows 7 erstellen - Anleitungen / Tutorials / FAQ (Windows 7)

Gibt auch andere Programme, wie zB Drive Snapshot - Disk Image Backup leicht gemacht

Ich find Backups als Image übertrieben und für mich auch eher unpraktisch.

Ich synchronisiere meine Daten mit Backup Platten über rsync. Für Klicker empfehle ich DirSync. Klein aber fein, ohne sinnlosen Schnickschnack. Und man kann es auch als Batch laufen lassen :) Ansonsten hab ich bisher keine Backuplösung gesehen, die mir gefallen hätte. Vor allem, da die wenigsten überhaupt Backups im eigentlichen Sinn brauchen, also Versionen. Die meisten wollen nur den aktuellen Zustand gesichert haben und nicht alles aufheben, was sie eigentlich schon längst gelöscht haben. Zumindest mir geht es so und auch auf Nachfrage sehen das die meisten so.

Ansonsten mach ich Images von Betriebssystempartitionen mit dem auf der Live CD von PartedMagic befindlichen Clonezilla. Auf der CD sind noch viele andere hilfreiche Tools, die alle OpenSource und kostenlos sind ;)

Das mag für dich gelten, aber für viele ist es sehr praktikabel. Man sichert einfach "alles" und man ist dann sicher, dass man nichts übersehen (vergessen) hat beim Backup. Das kann ein entscheidender Vorteil garde für Laien sein. Und Programme wie Acronis bieten auch inkrementelle oder differenzielle Backupmethoden an.

Ich selbst mach meine Backups auch anders, da mein Haupt-OS ein Linuxsystem ist, sichere ich fast eigentlich nur mein /home und hin und wieder auch mal das /etc und /var (/var gaaanz selten :D)

Werden die Images zur Laufzeit erstellt? Kann ich mir nicht vorstellen, dass das funktioniert.

Ansonsten ist es halt größer und wird deswegen seltener gemacht. Vermute ich. Man kann ja auch immer das ganze Windows Home sichern, das dürfte für die meisten ausreichen. Betriebssystem ist ja heute dank recovery recht schnell wieder da.

Aber welche Backupstrategie man auch verfolgt, sie ist sicher besser als gar keine ;) Das muss ich meinen Lieben nur noch irgendwie verständlich machen :aufsmaul:

Dann ist dein Vorstellungsvermögen sehr begrenzt :D
Natürlich kann man im laufenden Betrieb das Image der Systempartition erstellen, ist ja fast schon einer alter Hut. Acronis und Drivesnapshot können das ohne Probleme, selbst das Bordmttel von Windows7/8 kann das :pfeiff:

Nun, ich dachte dass sich Teile des Systems ständig ändern, womit das Image ja inkonsistente Daten hätte und auch dass Teile vor direkten Zugriffen geschützt sind. Dass das Win selbst kann erscheint mir da wahrscheinlicher, da es sich ja darauf einstellen kann.

Keine Sorge, moderne Backup-Image-Software bekommt dieses Problem in den Griff, vgl. http://drivesnapshot.de/de/backup.htm

Nett :)