Hi,

ein Bekannter hatte sich einen Verschlüsselungstrojaner eingefangen, der die ersten 3kB der Dateien verschlüsselt. Keines der Entschlüsselungstools hat bisher funktioniert.

Ich habe es dann mit dem Tool JPEGsnoop geschafft, so verschlüsselte JPG-Bilder wiederherzustellen, da sie an dieser Stelle scheinbar keine Bildinformationen enthielten. Dies ging allerdings nur einzeln.

Ich habe das Tool daher angepasst, so dass es einen ganzen Ordner mit verschlüsselten JPG-Bildern auf einmal abarbeitet. Meine angepasste Version [1] inkl. Quellcode [2] findet ihr unten. Vielleicht kann sie ja jemand gebrauchen. Sie funktioniert natürlich nur, wenn die Bilder im verschlüsselten Bereich keine Bilddaten enthalten. Außerdem stellt sie u.U. pro Datei mehrere Bilder unterschiedlicher Auflösungen wieder her, die alle enthalten sind. Wie immer gilt: nur mit Backups arbeiten und die Originaldateien aufheben, falls es jemand noch schaffen sollte, den verschlüsselten Bereich zu entschlüsseln. Die neue Funktionalität findet man unter File - Batch Recover.

[1] team.winfuture.de/to_webmaster/files/JPEGsnoop-bin.zip
[2] team.winfuture.de/to_webmaster/files/jpegsnoop-src.zip

weitere Hinweise: http://www.trojaner-board.de/115551-...tml#post847928

Hinweis: Das kann nur korrekt funktionieren, wenn die Bilder hinreichend groß sind.

1. Programm runterladen: team.winfuture.de/to_webmaster/files/JPEGsnoop-bin.zip
2. Ein paar verschlüsselte Bilder zum Test in einen leeren Ordner kopieren.
3. Programm entpacken und starten.
4. File - Batch recover...
5. Den in 2. erstellten Ordner auswählen und ok drücken.
6. Beten und warten.

Bei Erfolg den Vorgang mit den restlichen Bildern wiederholen.

Zitat:

Zitat von TO_Webmaster

Hi,

Ich habe das Tool daher angepasst, so dass es einen ganzen Ordner mit verschlüsselten JPG-Bildern auf einmal abarbeitet. Meine angepasste Version [1] inkl. Quellcode [2] findet ihr unten. Vielleicht kann sie ja jemand gebrauchen. Sie funktioniert natürlich nur, wenn die Bilder im verschlüsselten Bereich keine Bilddaten enthalten. Außerdem stellt sie u.U. pro Datei mehrere Bilder unterschiedlicher Auflösungen wieder her, die alle enthalten sind. Wie immer gilt: nur mit Backups arbeiten und die Originaldateien aufheben, falls es jemand noch schaffen sollte, den verschlüsselten Bereich zu entschlüsseln. Die neue Funktionalität findet man unter File - Batch Recover.

[1] team.winfuture.de/to_webmaster/files/JPEGsnoop-bin.zip
[2] team.winfuture.de/to_webmaster/files/jpegsnoop-src.zip

hallo,

habe Dein Tool gerade getestet, und mich gewundert, wieso es so viele Dateien findet in einem Verzeichnis auf USB-Stick, wo ich zum Testen 5-6 Dateien abgelegt hatte. Das Tool stoppte erst mit Meldung "Speicher voll".

Ein Blick ins Verzeichnis zeigte dann den Grund: Die vorhandenen Dateien wurden repariert und umbenannt, dann wurden die bereits reparierten wieder repariert und umbenannt usw.



Vielleicht sollte hier noch eine Routine rein, die den Batchlauf nach einem Durchlauf stoppt , ansonsten Top das Tool !!

Zitat:

Zitat von ts2000

Vielleicht sollte hier noch eine Routine rein, die den Batchlauf nach einem Durchlauf stoppt , ansonsten Top das Tool !!

Oh, das ist ärgerlich, da das in meinen Tests gerade nicht passiert ist (kann an der Reihenfolge der Dateien oder den Dateinamen liegen).

Egal, ich habe es nun nochmal so modifiziert, dass die wiederhergestellten Dateien in einem Unterordner "JPEGsnoop-recovered" abgelegt werden, das sollte das Problem aus der Welt schaffen.

Sorry für die Unannehmlichkeiten.

MfG TO_Webmaster

Hi TO_Webmaster,

super Job das mit deinem Tool JPEGsnoop!!!!
Ich könnte immerhin schon mal Thumbnails sehen von den JPG's.

Leider stimmt etwas mit dem Hinterlegten Pfad für das Batchrecovery nicht oder ich bin zu schusselig ;-)

Bei mir (Win7 64bit Pro) wird der zu verwendende Pfad für den Export zweimal in einer Zeile geschrieben:

*** Exporting JPEG ***
Exporting from: [G:\Arbeit\PICTURE\Photos\yjqoLjnjVGVxtE]
Exporting to: [G:\Arbeit\PICTURE\Photos\JPEGsnoop-recovered\g:\arbeit\picture\photos\yjqoljnjvgvxte-repaired-2.jpg]
ERROR: Couldn't open file for write [G:\Arbeit\PICTURE\Photos\JPEGsnoop-recovered\g:\arbeit\picture\photos\yjqoljnjvgvxte-repaired-2.jpg]: [G:\Arbeit\PICTURE\Photos\JPEGsnoop-recovered\g:\arbeit\picture\photos\yjqoljnjvgvxte-repaired-2.jpg contains an incorrect path.]

Da kann er natürlich nicht hinschreiben ;-)

Jemand ne Idee warum das so ist???

DANKE!!!!!!!

Hi,

zunächst einmal möchte ich darauf hinweisen, dass ich das Tool nicht geschrieben, sondern nur (leicht) modifiziert habe.

Nun zu deinem Problem: Das tritt auf, wenn die verschlüsselten Dateien gar keine Endung haben und war mir bisher nicht bewusst. Ich kann das demnächst irgendwann mal umbauen. Um das Problem zu umgehen, könntest du erstmal mit einem Rename-Tool den Dateien eine beliebige Endung zuweisen.

MfG TO_Webmaster

Hallo!
Ich habe mir auch einen Verschlüsselungstrojaner eingefangen, Daten gesichert, Festplatten formatiert und XP neu aufgespielt. Bin jetzt dabei meine Bilder zu entschlüsseln. Habe mir JEPGsnoop 1.6.0 von der Herstellerseite heruntergeladen. Da funktioniert das Entschlüsseln einwandfrei, jedoch nur einzeln. Jetzt habe ich hier gelesen, dass das Tool entsprechend modifiziert wurde. Ich habe es jedoch noch nicht geschafft, mir das Tool auf dem angegebenem Pfad herunter zu laden bzw. konnte den link nicht finden. Wie genau komme ich an die modifizierte Variante von JEPGsnoop? Ich bin auf diesem Gebiet nicht so sehr bewandert, bin mehr ein Programmnutzer
Bitte helft mir, Habe aus Bequemlichkeit ca. 2500 nicht gesicherte und nun verschlüsselte Bilder.

Zitat:

Zitat von TO_Webmaster

Hi,

Ich habe das Tool daher angepasst, so dass es einen ganzen Ordner mit verschlüsselten JPG-Bildern auf einmal abarbeitet. Meine angepasste Version [1] inkl. Quellcode [2] findet ihr unten. Vielleicht kann sie ja jemand gebrauchen. Sie funktioniert natürlich nur, wenn die Bilder im verschlüsselten Bereich keine Bilddaten enthalten. Außerdem stellt sie u.U. pro Datei mehrere Bilder unterschiedlicher Auflösungen wieder her, die alle enthalten sind. Wie immer gilt: nur mit Backups arbeiten und die Originaldateien aufheben, falls es jemand noch schaffen sollte, den verschlüsselten Bereich zu entschlüsseln. Die neue Funktionalität findet man unter File - Batch Recover.

[1] team.winfuture.de/to_webmaster/files/JPEGsnoop-bin.zip
[2] team.winfuture.de/to_webmaster/files/jpegsnoop-src.zip

@TO_Webmaster

hiho die Idee JPEG´s mit dem Tool JPEGsnoop zu retten finde ich genial
Ich hab das mal mit meinen verschlüsselten Jpegs ausprobiert . Und bin auf ein paar Probleme gestoßen. Vielleicht kannst Du mir und Allen Anderen die die gleichen Probs haben weiterhelfen.

1. Der Versuch einer Batchrecover-Aktion scheitert bei mir daran, dass meine verschlüsselten Dateien zwar jpg´s sind aber die entsprechende Datei-Endung wurde vom Trojaner entfernt... (meine Dateien haben als Namen nur wilde Anreihungen von BUchstaben Wie z.b. "DeelUVVNgOLooapXxstu". Der Test mit einem Verzeichnis von 80 Dateien führte zu 80 Fehlermeldungen "Error: Couldnt open file for write" und "contains incorrect path" . Da man die Fehlermeldungen immer mit "ok" wegklicken muss war das umständlich und nützte nichts ... Der Gegentest mit korrekt umbenannten JPG-Dateien funktionierte jedoch. (mit ein paar anscheinend nicht rettbaren Bildern )

2. Leider klappt es in deinem modifizierten Tool eine Bilddatei einzeln zu öffnen nicht. es wird mit der Antwort "****.jpg was not found" beantwortet. Ein test mit dem nicht modifzierten Tool klappte jedoch . Dieses Verhalten trat bei mir auf 2 verschiedenen Rechnern auf . Ich vermute es ist ein kleiner Bug der sich eingeschlichen hat. Dies ist zwar nicht relevant für unsere Mission hier aber vielleicht ganz leicht zu beheben...

Hier ist jetzt der geeignete Ort um meine beiden (deutschsprachigen!) Video-Anleitungen zu Schattenkopien reinzustellen:


Anleitung ShadowExplorer deutsch:


Wem's geholfen hat: ich freue mich immer über Backlinks auf hxxp://blog.pc-ab-50.de/hoffnung-fuer-opfer-des-verschluesselungs-trojaners-schattenkopien.html

Zitat:

Zitat von Rufius

1. Der Versuch einer Batchrecover-Aktion scheitert bei mir daran, dass meine verschlüsselten Dateien zwar jpg´s sind aber die entsprechende Datei-Endung wurde vom Trojaner entfernt... (meine Dateien haben als Namen nur wilde Anreihungen von BUchstaben Wie z.b. "DeelUVVNgOLooapXxstu". Der Test mit einem Verzeichnis von 80 Dateien führte zu 80 Fehlermeldungen "Error: Couldnt open file for write" und "contains incorrect path" . Da man die Fehlermeldungen immer mit "ok" wegklicken muss war das umständlich und nützte nichts ... Der Gegentest mit korrekt umbenannten JPG-Dateien funktionierte jedoch. (mit ein paar anscheinend nicht rettbaren Bildern )

2. Leider klappt es in deinem modifizierten Tool eine Bilddatei einzeln zu öffnen nicht. es wird mit der Antwort "****.jpg was not found" beantwortet. Ein test mit dem nicht modifzierten Tool klappte jedoch . Dieses Verhalten trat bei mir auf 2 verschiedenen Rechnern auf . Ich vermute es ist ein kleiner Bug der sich eingeschlichen hat. Dies ist zwar nicht relevant für unsere Mission hier aber vielleicht ganz leicht zu beheben...

1. Ist bekannt und kann umgangen werden, indem man den Dateien irgendeine Endung gibt, z.B. mit einem Massen-Umbenennungstool.

2. Hmm, ich habe neben meinem Ergänzungen nur einige (meines Erachtens unbedeutende) Dinge geändert, damit es in Visual Studio 2010 kompiliert. Habe allerdings keinen Wert auf die anderen Funktionen gelegt, da für diese ja das Originaltool verwendet werden kann.

Ich werde mir beide Dinge ansehen, sobald ich Zeit habe (diese Woche wohl nicht mehr). Falls jemand anders mehr Zeit haben sollte, einfach die Änderungen durchführen. Die Sourcen der angepassten Version habe ich ja zur Verfügung gestellt.

MfG TO

Servus,

die Daten eines unserer Kunden ebenfallst nach dem Muster
"psuTxvptQaGJptQaGJ" verschlüsselt.

Gibt es eine Möglichkeit die Dateinamen wiederherzustellen oder kann ich damit rechnen das es irgendwann eine gibt?

Gruß
Marcel Sommer

Hi TO_Webmaster,
ich würde deinen Tool gerne ausprobieren, wie kann ich ihn anwenden?
Danke für deine Hilfe

Hab ich gemacht. Allerdings bekomme ich 5K große bilder. Damit kann ich nichts anfangen. Ich sehe zwar die bilder aber nur in sehr klein.

Zitat:

Zitat von TO_Webmaster

Hi,


[1] team.winfuture.de/to_webmaster/files/JPEGsnoop-bin.zip
[2] team.winfuture.de/to_webmaster/files/jpegsnoop-src.zip

irgendwie will das bei mir nicht klappen... wie und was habe ich mit dem tool zu machen... wie wende ich es an... die daten sind bei mir, wie oft von anderen beschrieben "wirr umbenannt", ohne entsprechende dateiendung...

bitte helft mir... der betroffene ordner enthält die erste zwei jahre meiner tochter...!

danke im voraus, gruß daniel

Bei mir hat es geklappt. Leider fehlen mir so ein Tool für Doc-Dateien.

Hallo

Ich habe ein Problem. Ich vermute das ich mit Deinem Tool:
] team.winfuture.de/to_webmaster/files/JPEGsnoop-bin.zip
mein Problem mit meinen Files lösen könnte. Nur ich schaffe es nicht das File downzuloaden. Ich kann weder einen Link finden noch finde ich es sonst wo.
Könntest Du mir weiterhelfen oder mir das File senden?

Vielen Dank für eine Antwort und viele Grüsse

Jay-Dee