Zitat:

Zitat von bayerischer

Jetzt meine Frage: Wie finde ich ein Dateipäärchen mit dem ein Schlüssel erzeugt werden kann?
Darf ich hier ein Dateipäärchen hochladen mit je 16kB, damit jemand die Datei anschaut?

Hallo nochmal,
ich hab da noch eine Frage an euch.
Bei meinen Dateipäärchen stammt die verschlüsselte Datei vom Win7 Rechner und die Originaldatei aus der XP-Zeit.
Hat das einen Einfluß beim Schlüssel Erzeugen? Ich hab nämlich nur solche Päärchen .

moin moin,

wieviel Pärchen hast Du denn insgesamt und sind die unterschiedlichen Jahres-Datums?
Eventuell hast Du auch eine der wenigen Varianten der 6k-Verschlüsselung.
Hast Du einen Hexeditor?
Wenn ja, dann vergleiche mal ein Pärchen von dem Du sicher bist, dass es die gleiche Datei ist und schau nach wieviele Hexwerte vom Anfang der Datei unterschiedlich sind.

Vom XP oder Win7 ist das unabhängig, da Win7 die unter XP erstellte Datei nicht umschreibt.
Etwas Anderes wäre es , wenn Du eine Datei, beispielsweise unter Offoce2003 erstellst und mit Win7 auf Office2012 umsteigst, diese Datei dann öffnest und neu absoeicherst.

Falls Du keinen Hexeditor hast, hänge doch mal ein Pärchen als Anhang an.
Es muß aber die gleiche Datei sein, verschlüsselt und als Original.

Volker

Hallo,
ja ich hab sehr viele Dateipäärchen in recht unterschiedlicher Dateigröße und auch mit unterschiedlichem Datum. Davon hab ich sicher schon ein Dutzend durchprobiert.
Wo krieg ich so einen Hexeditor her?
Wäre in dem Fall nicht ein Scanprogramm praktisch der mir aus 2 Verzeichnissen die passenden Päärchen raussucht. Gibt es sowas?

Ich versuche mal hier 2 Dateien anzuhängen.

moin moin,
so kann ich leider die beiden Dateien nicht vergleichen.
Du hättest schon das Original mit in die ZIP packen sollen.
Die Miniansicht hat nicht die gleiche Größe wie die locked-.

Volker

Ich probiers nochmal die Dateien anzuhängen.
Beide sind jetzt im ZipOrdner.
Kannst Du bitte nochmal schauen?

Ralf

moin moin,
Deine beiden Dateien (igel und locked-igel) unterscheiden sich von 001h bis 27ffh.
Die acht Tools sind lediglich für die 3k-Verschlüsselung gedacht.
Das heißt, dabei erfolgt die Verschlüsselung nur von 001h bis fffh.

Unabhängig davon habe ich mit ScareUncrypt einen Schlüssel erzeugen können.
Das Ergebnis taugt aber nicht viel, weil die Hexwerte von 1000h bis 27ffh durch das Tool nicht beeinflusst werden.
Wenn also alle Dateien bis 27ffh verschlüsselt wurden, dann hast Du nur die Möglichkeit, die Tools zu nutzen, die auch bei der 12k-Verschlüsselung vorgeschlagen werden.

Noch etwas wundert mich.
Was sind das für Originale?
Ein 16k großes JPEG ist eher ein Thumbnail als ein Foto.

Volker

Vielen Dank für die Infos!
Das hilft mir auf jeden Fall weiter, ich werd mir also einen Hexeditor/viewer besorgen und mich ins Thema 12k Verschlüsselung einlesen.
Ralf

Hallo,
wir haben uns folgenden Trojaner eingefangen:

Sehr geehrter Kunde,

Ihr Anmeldekonto wurde aktiviert.
654,92 Euro Jahresbeitrag ist ab sofort zu bezahlen.

Die Zahlung wird innerhalb 2 Tagen abgeschrieben
Sie werden in kürze angerufen und ein Termin wird ausgemacht.
Rechnungsauflistung und Widerspruch Hinweise finden Sie im zugefügten Zip C

Auto-Löpper GrnbH
Blostwiete 23
26225 Hamburg

Telefon..................
Gesellschaftssitz ist Keiserlauter
Umsatzsteuer-ID: DE887004631
Geschäftsfuehrer: Lisa Schmitz

Der Trojaner ist entfernt.
Die Dateinen haben folgendes Format: locked-<DATEINAME>.<ENDUNG>.wxyz
Nun meine Frage. Verschlüsselt dieser Trojaner einmal die ersten 4Kb und andere Dateien die ersten 8KB ???

Ich habe nämlich Dateien wo die ersten 4KB verschlüsselt sind und welche wo die ersten 8KB verschlüsselt sind. Keine der hier aufgeführten Decrypter helfen.

Kann es sein das die Datei mehrmals geöffnet wurde oder verschlüsselt er in einem Durchlauf mit 4 KB bzw. 8 KB.

Danke für die Hilfe !

@matkuni
Habe heute dein Tool ausprobiert - versuche grade das Notebook von einem Kumpel zu entschlüsseln. Funktioniert jedoch leider nicht - habe es mit den Windows XP Sample Bildern / Sample Musik probiert, jedoch lässt sich kein Schlüssel daraus generieren. Weitere Tools von Avira / Kaspersky brachten auch nicht den gewünschten Erfolg.

Die folgenden beiden Tierchen wahren auf dem Notebook zu finden:
TR/Trojan.UN , TR/Yakes.AM
Wer die Organe des Tierchen sezieren möchte, PN an mich.

Im Anhang habe ich mal die verschlüsselten Sample Dateien angehängt, vielleicht weis jemand Rat.

Grüße
Opfer1

hi
lies doch bitte mal nach, unter welchen voraussetzungen die hier genannten tools funktionieren

@chanjeala
Das ist doch keine neue Version..
Die ist bekannt und die bekommst du nicht entschlüsselt. Zumindest gibt es bis jetzt noch nix dazu.
Was dein Iphone betrifft kann ich nichts zu sagen.

Hallo,kann Nach einem Trojaner keine Bilder und Dokumente öffnen!
Was kann ich jetzt noch tun???

Naja..
Lesen wäre ein Anfang..

Die Sachen die oben unter Punkt 3 stehen schon befolgt ?

ja hab ich,geht nicht wirklich!!!!!!!!!!

Kein Backup, keine Dateien mehr. So ist das leider. Den Fehler hast du selbst begangen durch den Verzicht auf Datensicherung.

Und das hat überhaupt nichts mit Trojanern zu tun, auch Festplatten gehen mal so kaputt.

Ich hatte einen BKA-Trojaner drauf,der ist jetzt gelöscht aber kann keine Bilder und Dokumente mehr öffnen da diese überschrieben sind.
Daher wollte ich gerne wissen ob ich diese noch retten kann bzw wie öffnen.