Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)

ComputerMädl · 27.04.2012, 13:48

@benzer

Bei den PCs die ich gerade in den Fingern habe sind außerdem Programmordner direkt unter C:/ betroffen. Außerdem geht der Decrypter nur bis zu einer bestimmten Ordnertiefe, ich hab aber noch nicht nachvollziehen können ab wievielen verschachtelten Ordner er streikt. Bin gerade noch am decrypten, würde aber die Dateien auf jeden Fall nicht so schnell löschen!

Edit: Habe gerade versucht C:/ zu decrypten, der Decrypter bleibt bei verschachtelten Ordnern stehen und macht nicht mehr weiter. Im Taskmanager sieht es aber noch so aus als würde er arbeiten.

Qinjify · 27.04.2012, 13:52

Da ich hier ein verseuchtes NAS vor mir habe, kann ich dir sagen, dass nicht nur der User oder sonstwas fürn Ordner infiziert wird.

Wenn in diesem Thread jetzt die Freigabe kommt und bei irgendwem geht was schief, weil halt noch ein Fehler drin ist (was bei einem Tool, was innerhalb eines Tages gecodet wurde durchaus der Fall sein kann.) - was glaubst du, wer dann hier den meisten Stress kriegt? Derjenige, der ihn am wenigsten verdient hat, weil er uns hier allen den Arsch rettet mit dem Tool, was er gebaut hat.
"Warum hast du nicht gesagt, dass da noch Fehler sein können, jetzt hab ich schon alles gelöscht, Mimimimi", ich seh es schon vor mir.
Deshalb wird hier 10000 Mal gesagt, löscht die infizierten Dateien nicht.

Meine 5GB die ich vor 2 Stunden angefangen habe sind zu ca 65% fertig. Ich würde NICHT komplett C: decrypten lassen.

Nowotny · 27.04.2012, 13:52

Ich bin auch sehr erstaunt darüber, dass dieses Forum schneller ist als die ganzen Sicherheitsfirmen von Norton; Kaspersky; F-Secure und ESET etc.

Schlafen die alle?

Und deswegen auch nochmal ein großes Lob hier an den fixen Support!!

Qinjify · 27.04.2012, 13:53

Zitat:

Zitat von Nowotny

Ich bin auch sehr erstaunt darüber, dass dieses Forum schneller ist als die ganzen Sicherheitsfirmen von Norton; Kaspersky; F-Secure und ESET etc.

Schlafen die alle?

Alle von dir aufgezählten Firmen haben den Virus in ihrer Signaturdatenbank. Es ist nicht deren Aufgabe, ein Tool zu entwickeln, dass die Schäden rückgängig macht, sondern zu verhindern, dass derartige Schäden auftreten.

matkuni · 27.04.2012, 13:53

Ich sitze gerade an einer Methode, die nur die ersten 4 KB einer Datei austauscht und kein neue erzeugt. Das sollte die Performance sehr verbessern.

Deshalb meine Bitte an Leute, die es einsetzen werden:
Jetzt habt ihr noch die Zeit, die verschlüsselten Ordner und Datei zu sichern (externer Datenträger, komplette Verzeichniskopie im Dateisystem)!

Wendet die kommende Funktion nicht an verschlüsselten Dateien an, von denen keine exakte Sicherheitskopie vorhanden ist. ES WIRD SCHIEF GEHEN!

markusg · 27.04.2012, 13:54

hi, nein die av hersteller schlafen nicht, einige testen momentan bereits.

mtx430 · 27.04.2012, 13:59

Ein Teil meiner Bilder sind nach der Entschlüsselung defekt, bzw. zeigen keinen Bild mehr an. Ist nicht ganz so tragisch, aber vielleicht kennt jemand den Grund

?

Qinjify · 27.04.2012, 14:01

Zitat:

Zitat von mtx430

Ein Teil meiner Bilder sind nach der Entschlüsselung defekt, bzw. zeigen keinen Bild mehr an. Ist nicht ganz so tragisch, aber vielleicht kennt jemand den Grund

?

Das muss einfach gequoted werden, damit es ganz ganz viele Leute lesen und eine Sicherheitskopie der infizierten Daten machen.

Benzer1406 · 27.04.2012, 14:02

@Qinjify Alles klar, habe ich verstanden! Kann es vollkommen nachvollziehen und sehe die Entscheidung auch als richtig an, dies noch nicht zu empfehlen!

matkuni · 27.04.2012, 14:48

Zitat:

Zitat von mtx430

Ein Teil meiner Bilder sind nach der Entschlüsselung defekt, bzw. zeigen keinen Bild mehr an. Ist nicht ganz so tragisch, aber vielleicht kennt jemand den Grund

?

Ist die wiederhergestellte Datei exakt gleich groß wie die verschlüsselte Variante?

Erzeugt ein erneuter Entschlüsselungsvorgang exakt den selben Defekt?

Magst du mir die beiden Dateien, die du zur Schlüsselgenerierung verwendet hast sowie ein paar Beispiele für fehlerhaft wiederhergestellte Dateien (in der noch verschlüsselten Form) zur Verfügung stellen?

Nowotny · 27.04.2012, 13:57

Achso wunderbar!!

Dann Dir weiterhin jetzt viel Erfolg @markusg und matkuni

markusg · 27.04.2012, 14:03

ja, man kanns nicht oft genug sagen
das ist das a und o bei solcher malware, egal ob es ein selbst geschriebenes tool ist, mit dem entschlüsselt wird, oder das tool eines antimalware herstellers.

bernds · 27.04.2012, 14:05

Suche doch die Dateien über die Windows-Suche (locked-*) und verschiebe sie dann zur sicherheit auf ein externes Medium, bis Du dir sicher bist, dass alle wiederhergestellten Dateien ok sind

je le · 27.04.2012, 14:07

wahnsinn.... ey ihr kerle seit der wahnsinn...... danke danke danke.....
so nun gehts los mit wiederherstellen.......... ;-)

Qinjify · 27.04.2012, 14:14

Bin bei 85% angelangt.

v3.2 schafft also ca. 2GB/h.
Würde in meinem Fall bedeuten, dass ich 230 Stunden zum encrypten brauche.
Ich zähl auf dich, matkuni!

27.04.2012, 13:54	#6
markusg /// Malware-holic	Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) hi, nein die av hersteller schlafen nicht, einige testen momentan bereits. __________________ --> Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)

Diskussionsforum: Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)