Nein, darfst Du nicht, ich wette das gibt Ärger.

Volker

Hallo,

das JPG Recovery Pro 5 kann keine meiner verschlüsselten Dateien wiederherstellen.

pDDTaTeepppDDDTTe 104kb
IMG_1497.jpg 104kb (Original, aus Outlook pst extrahiert)

Der Unterschied der Dateien ist nur am Dateianfang festzustellen.
Exakt die ersten 12kb sind verschlüsselt.

Es existieren aber auch komplett verschlüsselte Dateien! Das konnte ich feststellen als ich diese mit dem "notepad.exe" öffnete. Drinnen kann man nach Stringmuster suchen und die verschlüsselte mit der unverschlüsselten Datei vergleich. Exakter ist das selbstverständlich mit einem HEX-Editor, für nicht IT-Pro's aber einfacher mit notepad.

LG
mm350

Versuch mal am Ende des Dateien namens .jpg dranzuhängen und nochmal mit JPEG Recovery dan solte es eigentlich gehen ! Zumindest bei mir mit der 4er version klappt es so !

PS:Wenn du aber keine Vollversion von dem Program hast haut er dir in das Bild ein Wasserzeichen !

Zitat:

Zitat von mm350

Hallo,

das JPG Recovery Pro 5 kann keine meiner verschlüsselten Dateien wiederherstellen.

pDDTaTeepppDDDTTe 104kb
IMG_1497.jpg 104kb (Original, aus Outlook pst extrahiert)

Hast Du's mal mit pDDTaTeepppDDDTTe.jpg versucht?

Volker

nein, das .jpg anhängen an die verschlüsselte Datei hilft nicht.
Habe es nun auch mit Jpeg Repair 4 versucht. Geht leider nicht.

Anmerkung: Ich versuche die Reparatur auf einem andren PC, nicht dem verseuchten. Eventuell geht es aber auf der "original"-HDD?

Könnte das jemand verifizieren?

LG
mm350

Zitat:

Zitat von mm350

nein, das .jpg anhängen an die verschlüsselte Datei hilft nicht.
Habe es nun auch mit Jpeg Repair 4 versucht. Geht leider nicht.

Anmerkung: Ich versuche die Reparatur auf einem andren PC, nicht dem verseuchten. Eventuell geht es aber auf der "original"-HDD?

Könnte das jemand verifizieren?

LG
mm350

Hmm , ich will nicht sagen das es daran ligen könte da ich absolut kein Fachman bin in der sache , aber ich mach es auf der Original HDD wo die veränderten JPG´s sind und wie gesagt bei mir klappt es nen versuch ist es wert es mal auf der originalen zu versuchen zu verliren haste ja nix ! Ich werd trotzdem mal die bilder auf ne andere schiben mal sehen obs dan immernoch geht !

PS: Klappt trotzdem auch wen ich die dateien auf eine andere HDD copiere !

Moin Moin =)

Bin auch infiziert, hab alles ausprobiert, meine verschlüsselten Daten, Emails und und und zu entschlüsseln, aber es klappt nicht.... Hab auch alle Schritte hier befolgt und so...

Auch Schlüssel erstellen klappt bei mir nicht, da die Dateien wohl nie zusammenpassen.... habs mit Windows-Original-Beispielbildern und Bildern von mir versucht.... jeweils verschlüsselt und Orig.

Also noch abwarten bis es überholtere Versionen der Reparatur-Softwares gibt -.-

Mir tun auch schon die Augen vom ganzen lesen hier weh^^ Bei so viel kommt man ja ganz durcheinander =D Hab auch allerdings noch nix bzgl betroffener Emails gelesen....

@mm350,
sind Deine Bilder alle so klein (104k)?
Vielleicht liegt es daran, dass bei so kleinen Dateien 10% verschlüsselt sind und das selbst für ein tollerantes Tool zuviel ist.
Hast Du größere Bilddateien und kannst damit JPEG Recovery testen?

Falls es für den einen oder anderen von Interesse ist, meine Musik konnte ich wieder herstellen, indem ich einfach an den "Kuddel-Muddel-Namen" der datei das .mp3 angehängt hab. Klappt aber leider bei Bildern, Docs;Videos usw nicht, aber immerhin...


EDIT: Sehr nice! Alle Dateien wieder da, dank ShadowExplorer. Also jedenfalls alle, die ich bis jetzt kontrolliert habe!

Hier zum Tool jpeg recovery pro 5, welches von DukeD als Alternative genannt wird.

Bei meinen verschlüsselten Bildern ( Dateinamen ala: rLdrlsnarAsJTVAevof ) funzt es leider nicht. Alle Dateien habe ich mithilfe der freeware "1-4a rename" mit ".jpg" erweitert.
Mit viel Glück bringt recovery ein (1) thumbnail mit 6 KB.

Für mich gilt, wie für viele andere auch --> abwarten, bis die Lösung kommt.

Grüße
Helmut

Hallo Helmut,
wie groß sind denn die Bilder im Urzustand, also verschlüsselt.

Ich habe das Tool mit einem 3MB Bild getestet und es hat mir ein brauchbares Bild mit 1500 x 1200 Pixel recovert.

Gruß Volker

In Anbetracht des grossen Schadens und der Geldforderung, welche diese Malware stellt werde ich das den Beamten des BKA übergeben.
Ich bin IT-Pro und kein Spurensucher. Schliesslich bekommen die dafür bezahlt.
LG
mm350

Ich finde auch, dass das behördlich verfolgt werden sollte und die Verursacher dafür zur Rechenschaft gezogen werden sollten, sofern man sie aufspüren kann.

Der Schaden ist doch schon beträchtlich, der da angerichtet wird.

Hallo an Alle,also ich verfolge schon seit mehreren Tagen dieses Forum und habe mich heute registriet.
Bei mir war es auch so,wie hier schon 1000mal beschrieben. Trojaner eingefangen,mit ESET davongejagd,Dateien verschlüsselt.
Meine Frage ist,ob es eine Möglichkeit gibt, von Dateien das Erstellungsdatum zu ändern,da bei den verschlüsselten Dateien folgendes Datum auftaucht:
13.Februar 1601 9:28:18. Es ist zwar schon 2mal erwähnt worden,aber niemand
ist weiter darauf eingegangen.Desweiteren ist mir aufgefallen,das bei diesen Dateien folgende oder ähnliche Eintragungen vorhanden sind:
Unter Eigenschaften-Sicherheit sieht man unter Gruppen-oder Benutzernamen
sowas wie S-1-5-21-1614895754-1958367476-839522115-1004.Vielleicht könnt
ihr ja was damit anfangen.Ich benutze Win 7 Ultimate 32bit. Das oben erwähnte
betrifft übrigens nur Dateien, deren Namen original geblieben sind.
Gruss Rainer

Hallo,

Zitat:

Zitat von thalon05

Hallo an Alle,also ich verfolge schon seit mehreren Tagen dieses Forum und habe mich heute registriet.
Bei mir war es auch so,wie hier schon 1000mal beschrieben. Trojaner eingefangen,mit ESET davongejagd,Dateien verschlüsselt.
Meine Frage ist,ob es eine Möglichkeit gibt, von Dateien das Erstellungsdatum zu ändern,da bei den verschlüsselten Dateien folgendes Datum auftaucht:
13.Februar 1601 9:28:18. Es ist zwar schon 2mal erwähnt worden,aber niemand
ist weiter darauf eingegangen.Desweiteren ist mir aufgefallen,das bei diesen Dateien folgende oder ähnliche Eintragungen vorhanden sind:
Unter Eigenschaften-Sicherheit sieht man unter Gruppen-oder Benutzernamen
sowas wie S-1-5-21-1614895754-1958367476-839522115-1004.Vielleicht könnt
ihr ja was damit anfangen.Ich benutze Win 7 Ultimate 32bit. Das oben erwähnte
betrifft übrigens nur Dateien, deren Namen original geblieben sind.
Gruss Rainer

Das Dateidatum und die Uhrzeit bekommst Du auf der Kommandozeile mit folgendem Befehl geändert:

copy *.* +

Hierzu mußt Du in der Kommandozeile in das Verzeichnis wechseln, in dem sich die entsprechenden Dateien befinden. Mit dem Befehl werden "ALLE" Dateien in dem Verzeichnis mit dem aktuellen Datum und der aktuellen Uhrzeit versehen.

S-1-5-21 ist der eindeutige windowsinterne Schlüssel/Bezeichner... für deinen Benutzer.
Genaueres dazu siehe hier: hxxp://de.wikipedia.org/wiki/Security_Identifier

Stephan