Vollständige Version anzeigen : Verschlüsselte Dateien (Vermutlich Trojaner)


Malakai
04.08.2012, 15:35

Moin zusammen,
habe da ein Problem.
Ein Bekannter hat mir vor ein paar Tagen 3 Usb-sticks a 8GB (alle fast randvoll) mit Bildern gegeben. Seine Auskunft war das er einen Trojaner gehabt hatte und die Bilder abgeändert wurden, das er sie nich mehr öffnen kann. Nu versuch ich die Dateien wiederherzustellen. Habe dabei mehrere Probleme.

1. Das System von dem die Dateien stammen wurde bereits neu Installiert. Heisst ich habe nur die Bilddateien selbst. Daran kann man leider nichts mehr ändern. Jetzt ist es nur so das ich nich weiss, welcher Trojaner das gewesen sein soll. Und wie ich die Dateien nun widerherstellen kann.
Die Frage ist also welcher Trojaner bennent die Dateien wie folgt um (Und verschluesselt diese?) ?(
5 Beispielnamen:
1;AevtANTnslNUnuD
2;aJsJEVgeGEpOqGQpdqlu
3;aNDrUnulqUXuGyOpoGsOf
4;xupEGsgfoJsAfa
5;XoGQXUylQnUrltLarAsJT

Falls hier schon gleich jemand einen Rat weiss - immer her damit :cool:
Achja, die Dateien haben wirklich keine Dateiendungen mehr. Die Standardtricks wie Dateiendungen hinzuzufügen habe ich auch bereits versucht.

2. Hat jemand erfahrungen mit dem Programm JPEG Recovery - Recover corrupted JPEG Picture after Data Recovery Processing (;;;hketech~com/JPEG-recovery/)
Konnte damit zumindest nen halben Gigabyte wiederherstellen. Wovon aber über die hälfte müll ist weil es nur Thumbnails waren. Aber immerhin wurden einige Bilder zumindest halbwegs brauchbar wiederhergestellt. Das Wasserzeichen wird ja angeblich bei der Vollversion bzw Pro-Version entfernt. Meine Frage ist da nur ob die Pro-Version auch genauer arbeitet. Einige der bearbeiteten Bilder haben nun Graue Balken. Leider habe ich keine Ahnung von den Originalbildern. Aber ich glaube nicht das der Balken normal ist.

3. Allgemeine Frage: Gibt es Programme die im Allgemeinen für sowas erstellt wurden und ich bin einfach nur zu dämlich um sie zu finden?

Ich glaub ich brauchs nich erwähnen, würd mich über jeden Rat freuen ;)
Aber das wichtigste is wohl erstmal herauszubekommen um was genau es sich handelt. Es ist halt nur leider der Fall das der Bekannte sich den namen nicht gemerkt hat und was mich am meisten stoert das er die Festplatte bereits gereinigt und neu aufgesetzt hat. Also das BS. Heisst ja auch ich könnte nichmal etwas mittels Shadowcopy oder ähnlichen veruschen. *Grumsel*

In jedemfall schonmal Danke im Voraus.

Hardware Preisvergleich | Amazon Blitzangebote!

Videos zum Thema
Video Loading...
mySQL
04.08.2012, 15:45

Hallo!
Das dürfte einer dieser BKA-GEMA-GEZ viren (Ransomware - Erpressersoftware) gewesen sein, die momentan stark im Umlauf sind.
Die sperren den Bildschirm des Pc's mit einem Screen und fordern dazu auf, eine Überweisung
von 100EUR via Ukash zu machen.

Ich habe bis jetzt 3 Varianten von dem Teil kennengelernt.

Variante 1: Sperrt nur den Screen
Variante 2:
Sperrt den Screen, verschlüsselt die 1. 4kbyte jeder datei und benennt die daten nach "locked-originaldateiname;originalendung;cyz" um.
Lässt sich mit diversen tools von Avira und Co wiederherstellen, WENN eine originale Datei vorhanden ist.
Geht z;B. gut mit den Windows beispielbildern, die hat man ja auf anderen Pc's im "original". Aus original und verschlüsseltem lässt sich dann ein Key errechnen, mit dem mal alles entschlüsseln kann.

Variante 3:
Quasi die "extremere" Variante 2. Mein letzter Standpunkt war, dass es dafür noch keine Lösung gibt. Ist allerdings schon einige Wochen her und falls es da was geben sollte, wäre es gut, wenn sich dazu jemand hier äußert. Im Trojaner-Board gibts dazu auch irgendwo nen Thread.

//EDIT:
BKA Trojaner - Verschlüsselte Dateien wiederherstellen - computer;daten;netze :: feenders~de - berlin-kreuzberg (;;;feenders~de/ratgeber/experten/595-bka-trojaner-verschluesselte-dateien-wiederherstellen;html)
Auch dort nachzulesen, vor allem die blaue Box mit dem Update vom 1. Juni...
Sieht schlecht aus.


Malakai
04.08.2012, 17:28

Hm, klingt ungut.
Trotzallem danke.
Ich geister noch ein bisken durchs Netz. Vllt hat sich ja was getan.
In jedem fall wird das spaeter kein erfreulicher anruf.
Falls ich noch was anderes finde schreib ichs hier mit nieder.


Dragon12
04.08.2012, 22:00

kleine info nebenbei.. habe dieses Problem jetzt bei mehreren PCs gesehen... Ist tatsächlich ein "Erpresser-Trojaner" weitere Infos findet man auf Trojaner-Board - Viren und Trojaner entfernen - kostenlos (;;;trojaner-board~de) (;Mods: soll keine Werbung, sondern ein Hinweiß sein. Danke ;) )

Gruß Dragon12


Michi
06.08.2012, 19:44

wenn es der gema / bka trojaner ist, dann dürfte das interessant sein:

Wiederherstellung der verschlüsselten Dateien (Rechnung;exe, Realtecdriver;exe Schadsoftware) - Seite 7 - Trojaner-Board (;;;trojaner-board~de/114115-wiederherstellung-verschluesselten-dateien-rechnung-exe-realtecdriver-exe-schadsoftware-7;html)

du brauchst das tool,

1x unverschlüsselte original datei (backup von irgendwoher)
1x verschlüsselte datei.

mit dem prog kannste dir einen schlüssel machen mit dem du die anderen dateien alle entschlüsseln kannst.


mySQL
06.08.2012, 22:48

wenn es der gema / bka trojaner ist, dann dürfte das interessant sein:

Wiederherstellung der verschlüsselten Dateien (Rechnung;exe, Realtecdriver;exe Schadsoftware) - Seite 7 - Trojaner-Board (;;;trojaner-board~de/114115-wiederherstellung-verschluesselten-dateien-rechnung-exe-realtecdriver-exe-schadsoftware-7;html)

du brauchst das tool,

1x unverschlüsselte original datei (backup von irgendwoher)
1x verschlüsselte datei.

mit dem prog kannste dir einen schlüssel machen mit dem du die anderen dateien alle entschlüsseln kannst;


Das Tool funktioniert nur mit Variante 2, die ich oben beschrieben habe. Er hat aber Variante 3...
Variante 3 nutzt einen anderen Verschlüsselungsalgorithmus bzw produziert nur Datenmüll.


Nosferatu
07.08.2012, 12:51

Ist zwar OT aber dennoch würde ich gerne dafür 'ne Antwort haben, auch gerne per PN.

Die Datei kann man nur mit Hilfe einer orginal Datei entschlüsseln?! Ist das nicht sinnlos? Wenn man die original Datei hat ist die verschlüsselte Datei doch total egal. Kann man ja einfach neu kopieren. Klingt für mich total absurd. ^^


Michi
07.08.2012, 13:01

Die Datei kann man nur mit Hilfe einer orginal Datei entschlüsseln?! Ist das nicht sinnlos? Wenn man die original Datei hat ist die verschlüsselte Datei doch total egal. Kann man ja einfach neu kopieren. Klingt für mich total absurd. ^^

wenn dein pc befallen ist und du kein backup davor gemacht hast, aber zb ein bild, lied oder dokument auf nem anderen stick hast und du damit deine nicht gesicherten daten retten kannst is doch gut. oder sicherst du jede neue erstelle, runtergeladene datei?


mySQL
07.08.2012, 13:46

So wie michi es beschrieben hat ;)

Es reichen ja auch schon die Windows-beispiel-Bilder. Die hat normalerweise jeder PC drauf, es seidenn man löscht sie (war bei mir der Fall :D).

Die gibts nämlich überall zu downloaden und zack kannste den Schlüssel berechnen und alles entschlüsseln. Das geht alles ruckzuck, weil immer nur die 1. 4kb jeder Datei verschlüsselt werden. Aber das reicht halt, weil man mit den Daten dann nix mehr anfangen kann.


Ähnliche Themen zu Verschlüsselte Dateien (Vermutlich Trojaner)
  • Trojaner kidnappt Dateien, verschlüsselt sie und erpresst User
    aber kann man dann nicht nachvollziehen wer das geld bekommt? ?( die sache ist genial ausgearbeitet aber wenn mir sowas passieren wuerde, waere ich ein "bisschen" wuetend [...]

  • [Windows 7] Verschlüsselte XP-Dateien benutzbar machen?
    Guten Tag Leute, ich bin bei einem Freund und er hat ein großes Problem. Er hatte früher Xp und hat dort alle Benutzer mit einem Passwort versehen. Jetzt da Windows Xp dort nicht mehr startet habe ich ihm einen neuen Computer mit Windows 7 aufgesetzt und die alte Xp-Festplatte mit eingebaut. Je [...]

  • Wurmkur: Verschlüsselte Dateien retten
    Der spanische Informatikstudent Daniel Pérez Álvarez hat ein kleines Programm entwickelt, das die durch den Wurm PGPcoder (;;;heise~de/security/news/meldung/59819) verschlüsselten Dateien wiederherstellen kann. Trotz des hochtrabenden Namens verwendet der Wurm nämlich keineswegs PGP zum Verschl [...]

  • Equation Group: Trojaner-Entwicklung nur Werktags - vermutlich Geheimdienste
    Forscher haben weitere Teile des Schadcodes der Equation Group analysiert und Hinweise gefunden, die wieder Richtung NSA und ihrer Verbündeten deuten. Die Analyse zeigt aber viel deutlicher, warum es so schwer ist einen Schuldigen ausfindig zu machen. Trojaner-Entwicklung nur werktags Die Vir [...]



raid-rush.ws | Imprint & Contact pr