Zurück   Trojaner-Board > Malware entfernen > Diskussionsforum

Diskussionsforum: Verschlüsselungs Trojaner - Erfahrungsbericht zu den Tools

Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben.

Antwort
Alt 16.05.2012, 21:48   #1
vüxle
 
Verschlüsselungs Trojaner - Erfahrungsbericht zu den Tools - Standard

Verschlüsselungs Trojaner - Erfahrungsbericht zu den Tools



Hallo Allerseits,

ich habe nun mal an einem Ernstfall zum Thema Verschlüsselungs Trojaner 3 der genannten Tools eingesetzt und damit getestet. Ich hoffe meine Erfahrungen sind für andere auch hilfreich.

Die Ausgangssituation war folgende: Ich habe von einem Virus Opfer eine externe Festplatte mit vom Virus verschlüsselten Files bekommen. Das Opfer hatte aus dem Öffnen eines Mail-Anhangs eine Zahlungsaufforderung bekommen und hat dann vermutlich erst nach geraumer Zeit gemerkt, dass die Files unlesbar wurden. Danach ist das Opfer erst mal in ein Computershop, der sich daran erfolglos versucht hatte. Der hat dann aber Etliches von der internen Festplatte auf eine externe gesichert und die interne dann platt gemacht, damit das Opfer wieder arbeiten konnte.

Ich hab mich belesen, bin u.a. auf dieses Forumthema gestoßen, das auf die Symptome genau gepasst hat. Ich habe mit dem Avira Ransom File Unlocker dem Tool von Dr. Web und dem ScareUncrypt Tool von BitFox zunächst versucht automatisch eine Schlüsselberechnung (das passiert wohl per Default beim Start) machen zu lassen. Das ging bei keinem der Tools. Ich vermute, dass die automatische Schlüsselberechnung auf Systemdateien beruht, deren Originale allgemein verfügbar sind. Auf der externen Festplatte waren aber keine Systemdaten gespeichert.

Ich habe dann Dateien in des Opfers Bekanntschaft zusammengesucht um Original und locked- Paare zur manuellen Schlüsselberechnung zu bilden. Zunächst hab ich dazu das Avira-Tool benutzt. Das Entschlüsseln ging dann auch, allerdings nicht bei allen Dateien. Dann hab ich das ScareUncrypt Tool benutzt, das eine bessere Benutzerführung hat. Es kann mehrere Schlüssel berechnen und separat abspeichern. Das hab ich mit mehreren Paaren gemacht und die hab ich mit nem Unix diff verglichen. Nicht alle erzeugten Schlüssel waren demnach identisch. Es gab aber einige Schlüssel, die alle Test Dateien entschlüsseln konnten andere konnten nur einige Dateien entschlüsseln. Dieser Zusammenhang blieb mir unklar. Das Dr. Web Tool benahm sich sehr merkwürdig nach der Eingabe von Original und locked Version und da ich nicht wusste was das Tool tut, hab ich es sehr schnell abgebrochen. Meldungen an den Benutzer gibt es nur unten am Bildrand, da werden wohl Files angezeigt, die gescannt werden aber ich konnte nicht steuern wo es arbeitet. Da das alles nicht vertrauensvoll aussah, hab ich dieses Tool nicht weiterbenutzt.

Das Avira Tool erlaubt das Entschlüsseln einer einzelnen Datei oder eines Ordners, aber überschreibt einen zuvor erfolglosen Entschlüsselungsversuch nicht. Das ist ein Problem wenn man eine ganze Platte mit vielen Ordnen hat. Dann müsste man durch alle Ordner durch gehen um die zuvor entstanden entstandenen Files wieder zu löschen. Dieses Problem hat das scareuncrypt Tool von Bitfox nicht. Allerdings ist wichtig, dass man zuvor auf allen Dateien den Schreibschutz entfernt, am besten in dem man das im übergeordneten Verzeichnis für alle Unterordner übernimmt. Denn nur vorher entschlüsselte Dateien ohne Schreibschutz werden überschrieben. Auf diese Weise konnte ich die meisten Verzeichnisse mit hohem Wiederbeschaffungswert entschlüsseln. Ich hab aber den Eindruck, dass das Avira Tool deutlich schneller läuft, als das scareuncrypt von Bitfox.

Dann habe ich noch versucht ein großes Acronis Backupfile mit 60Gbyte, das auf der Platte verschlüsselt vorlag, zu entschlüsseln. Das scareuncrypt Tool stürtzte nach 4Gbyte ab, das Avira Tool lief zwar durch, aber Acronis meldete beim entschlüsselten File auch nur ein beschädigtes Archiv. Derartig große Dateien lassen sich unter diesen Bedingungen wohl nicht mehr entschlüsseln.

Danach hab ich dann mit einem kleinen DOS-Skript die locked files in allen entschlüsselten Verzeichnissen wieder entfernt:

@echo off
for /R <pfad zum Verzeichnis> %%f in (*locked-*.*) do (
DEL „%%f“
)

Dieser Forums-Beitrag war also sehr wertvoll für mich und mein Opfer. Vielen Dank an die Community, an Bitfox und Avira.

Grüße vüxle

PS: Ansonsten bin ich Neuling hier

So, nun hab ich auch noch den DecryptHelper 0.5.3 mit der infizierten Festplatte ausgetestet. Der funktioniert sehr gut und hat auch ne brauchbare Oberfläche. Und: die Version 0.5.3. hat auch nen Knopf mit der man erfolglose Entschlüsselergebnisse wieder überschreiben kann. Das ist echt hilfreich. Das Tool läuft auch recht flott im Vergleich. Dann kann man auch verschiedene Schlüsseldateien anlegen wie beim scareuncrypt, auch das ist hilfreich.

Ich konnte so auch alle Dateien wieder entschlüsseln wie mit dem scareuncrypt und avira.

Zum Abschluss hab ich mich noch an dem 60GByte grossen verschlüsselten Backuparchiv versucht. Der Decrypthelper lief auch in etwa 3-4Std. durch. Mit Acronis konnte ich das entschlüsselte Archiv allerdings nicht öffnen danach. Andernseits hab ich einen Unix Diff auf das Entschlüsselungsergebnis mit dem Avira Unlocker und dem DeryptHelper laufen lassen und siehe da, beide Files waren auf das Bit gleich. Damit ist jetzt meine Annahme, entweder es ist kein mit Acronis erzeugtes Backup, oder eine grob andere Version als was ich benutzt habe oder der Virus hat bei so ner grossen Datei Mist gebaut. Eine ca. 100Mbyte große Video Datei ging mit dem Schlüssel und beiden Tools problemlos. Daher muss hier was anderes los sein. Ich glaub nicht dass es an den Tools liegt.

Summa Summarum ist der DecryptHelper0.5.3 sehr zu empfehlen.

Grüße Vüxle

Antwort

Themen zu Verschlüsselungs Trojaner - Erfahrungsbericht zu den Tools
acronis, applaus, automatisch, automatische, avira, crypt, entschlüsseln, externe festplatte, festplatte, folge, forum, ide, locker, merkwürdig, nicht mehr, nicht öffnen, problem, schnell, start, systemdateien, tool, tools, trojaner, unlocker, verschlüsselungs trojaner, version, virus, web, wichtig



Ähnliche Themen: Verschlüsselungs Trojaner - Erfahrungsbericht zu den Tools


  1. BKA Trojaner verschlüsselte Bilder lassen sich nicht wieder herstellen mit Tools
    Plagegeister aller Art und deren Bekämpfung - 06.06.2015 (1)
  2. Was ist tools.trojaner-board.de?
    Alles rund um Windows - 19.05.2014 (3)
  3. http://tools.trojaner-board.de/plugincheck.html fehlerhaft
    Lob, Kritik und Wünsche - 19.11.2012 (1)
  4. GVU Trojaner - Anwendung des Kaspersky-unlock-tools von chip.de erfolglos
    Log-Analyse und Auswertung - 11.10.2012 (15)
  5. Win XP Verschlüsselungs Trojaner
    Plagegeister aller Art und deren Bekämpfung - 12.09.2012 (8)
  6. SUISA-Trojaner (Verschlüsselungs-Trojaner) befall auf HP-Pro-Laptop Win7 64Bit
    Plagegeister aller Art und deren Bekämpfung - 06.09.2012 (19)
  7. windows verschlüsselungs trojaner-sofortiger TRojaner hinweis
    Plagegeister aller Art und deren Bekämpfung - 31.07.2012 (9)
  8. Live Security Platinum-Trojaner, Verschlüsselungs-Trojaner entfernen
    Plagegeister aller Art und deren Bekämpfung - 16.07.2012 (1)
  9. verschlüsselungs Trojaner
    Log-Analyse und Auswertung - 14.07.2012 (1)
  10. GVU-Trojaner wird von Tools nicht gefunden
    Plagegeister aller Art und deren Bekämpfung - 02.07.2012 (20)
  11. Verschlüsselungs-Trojaner
    Plagegeister aller Art und deren Bekämpfung - 10.06.2012 (1)
  12. Verschlüsselungs-Trojaner
    Log-Analyse und Auswertung - 04.05.2012 (7)
  13. Verschlüsselungs-Trojaner > Tools > Übersicht
    Anleitungen, FAQs & Links - 04.05.2012 (0)
  14. Google redirect/Tdss-Trojaner - Malware Tools funktionieren nicht
    Plagegeister aller Art und deren Bekämpfung - 23.08.2011 (3)
  15. Wie kommt man an Tools für Trojaner Entfernung wenn man nicht mehr ins Netz kommt?
    Plagegeister aller Art und deren Bekämpfung - 08.06.2011 (10)
  16. Trojaner gefunden D:\Tools\Nero 6.6.0.16\Keygen.exe
    Plagegeister aller Art und deren Bekämpfung - 11.02.2009 (5)
  17. Trojaner eingefahren? bin hilflos und die tools laufen nicht .. mehr
    Log-Analyse und Auswertung - 15.08.2005 (4)

Zum Thema Verschlüsselungs Trojaner - Erfahrungsbericht zu den Tools - Hallo Allerseits, ich habe nun mal an einem Ernstfall zum Thema Verschlüsselungs Trojaner 3 der genannten Tools eingesetzt und damit getestet. Ich hoffe meine Erfahrungen sind für andere auch hilfreich. - Verschlüsselungs Trojaner - Erfahrungsbericht zu den Tools...
Archiv
Du betrachtest: Verschlüsselungs Trojaner - Erfahrungsbericht zu den Tools auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.