| |
| |||||||
Diskussionsforum: Daten wiederherstellen bei der 12KB-Variante des VerschlüsselungstrojanersWindows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben. |
10.09.2012, 23:11
| #11 |
| /// Helfer-Team  |  Daten wiederherstellen bei der 12KB-Variante des Verschlüsselungstrojaners Infos zum Verschlüsselungstrojaner Die Entschlüsselungsprogramme der Antivirenprogrammhersteller und die anderen aus dem Trojanerboard helfen nur bei den einfachen Varianten des Verschlüsselungstrojaners. Diese einfache Version bennent die Dateien in der Regel nach dem Muster locked-<DATEINAME>.<ENDUNG>.wxyz um. Bei ihr wurden zu schwache, also "knackbare" Verschlüsselungsalgorithmen verwendet oder der Schlüssel zum Entschlüsseln ist noch auf dem verseuchten PC gespeichert. Für den Verschlüsselungstrojaner in der Buchstabensalat-Variante ist weder das eine noch das andere der Fall. Man müsste, wie hier beschrieben, den Schlüssel von den Servern der Kriminellen bekommen. Dass man diesen Schlüssel/die Server je in die Finger bekommt, ist allerdings höchst unwahrscheinlich. Der Trojaner verschlüsselt "nur" die ersten 12 Kilobyte der Dateien. D.h. alle Informationen, die danach kommen, sind noch intakt und können zur Reparatur genutzt werden. Bei Office-Dokumenten reichen die 12KB häufig aus, um den ganzen Inhalt zu vernichten, bei MP3-Dateien hingegen werden in der Regel nur Liedinformationen zerstört und die Audio-Daten bleiben nahezu intakt. Das einzige, was bei den schlimmen Varianten (zumindest im Moment) machbar ist, ist also Datenrekonstruktion unter zu Hilfe nahme von all dem, was der Trojaner nicht angetastet hat. Also z.B. auch die Schattenkopien oder bereits vor dem Befall gelöschte Dateien oder temporär gespeicherte Zwischenversionen. Tools Update Probiert auch unter Windows XP den Shadow Explorer aus. Anscheinend kann es vorkommen, dass ein Vorgänger der Schattenkopie-Tools aus Windows Vista/7 aktiv war. Dieser Vorgänger war allerdings einfach in die Systemwiederherstellung integriert. ODT-Dateien (Open Office, Libre Office) ODT-Dateien sind wie docX/xlsX/pptX-Dateien eigentlich ZIP-Archive. Schaut euch also den entsprechenden Abschnitt besonders gut an. Den Text findet ihr bei ODT-Dateien in der Datei "content.xml" im Archiv, vorausgesetzt, diese Datei konnte wiederhergestellt werden. Für unerfahrene PC-Benutzer Am einfachsten wäre es, wenn ihr jemanden aus eurem Bekanntenkreis fragt, der euch hilft. Sofern er beim Installieren und Bedienen von Programmen ein bisschen Erfahrung hat, dann sollte es ihm nicht allzu schwer fallen, die Anweisungen aus meiner Anleitung so umzusetzen, wie ich es beschrieben habe. Bevor ihr mit der Wiederherstellung beginnt, bereinigt zuerst den PC von den Viren, wie es euch die anderen Helfer in eurem eigenen Thread beschreiben werden. Eine Windows-Neuinstallation solltet ihr (noch) nicht machen, da ihr euch so die Chance nehmt, noch auf evtl. vorhandene, intakte Schattenkopien eurer Dateien zuzugreifen. (Windows XP/Vista/7) Durchsucht das Laufwerk, auf dem die betroffenen Dateien lagen, mit den Datenwiederherstellungstools (z.B. Recuva) aus meiner Anleitung oder meinen Antworten in diesem Thread, genau wie beschrieben. Speichert alle gefundenen Dateien auf ein vom Trojaner nicht betroffenes Laufwerk. (z.B. eine neue externe Festplatte.) Falls die Dateien nicht zu viel Speicherplatz brauchen, dann behaltet sie lieber auf. Der Bekannte könnte so evtl. mit meinem Programm frep noch einen grösseren Teil eurer verschlüsselten Daten retten. Ganz am Schluss probiert ihr aus, welche Dateien sich öffnen lassen und kopiert sie wieder zu euren anderen Dateien. Den Abschnitt zu Dateiheader reparieren, AVI/MPEG/DIVX (Video-Dateien), Hex-Editor für Windows und frep spezifische Dinge solltet ihr überspringen, da sie für euch zu schwierig sein dürften. (Vielleicht kann aber euer Bekannter das Programm so bedienen wie vorgesehen und mehr erreichen.) Das folgende solltet ihr erst dann machen, wenn ihr die Festplatte mindestens mit einem Datenwiederherstellungstool (z.B. Recuva aus der Anleitung) durchsucht habt. Bitte denkt daran, dass ihr evtl. die Dateien wieder mit der richtigen Dateiendung versehen müsst, z.B. mittels Filenamechange (siehe Anleitung). MP3 gemäss Abschnitt zu reparieren sollte eigentlich klar sein. Für Bilder probiert JPEG Recovery aus der Anleitung aus. (JPEG-Snoop ist evtl. auch zu schwierig in der Bedienung und bringt höchstwahrscheinlich nur eine Miniatur-Ansicht der Bilder zurück, falls überhaupt.) Für doc/ppt/xls (Standardformat Office 97 - 2003) benutzt das Programm xt aus dem ZIP-Anhang der Anleitung: Programmdatei aus dem Archiv auf den Desktop extrahieren, alle Office-Dokumente markieren und auf das Programmsymbol ziehen. Gebt anschliessend im Programm eine Zahl zwischen 7 und 15 ein. Für Zip/docX/xlsX/pptX (Standardformate Office 2007, 2010) genau wie im entsprechenden Abschnitt der Anleitung beschrieben. Für beide Office-Versionen könnt ihr bei den verschlüsselten Dateien auch noch Office-Fix ausprobieren, wie weiter oben erwähnt. lg c4enigma Geändert von Shadow (11.09.2012 um 07:34 Uhr) Grund: Virenhersteller in Antivirenprogrammhersteller geändert |
| Themen zu Daten wiederherstellen bei der 12KB-Variante des Verschlüsselungstrojaners |
| automatisch, computer, dateien, dateien retten, daten wiederherstellen, defekt, einstellungen, englisch, falsche, fehler, festplatte, file, forum, header reparieren, internet, jpg, laufwerke, links, mp3, namen, problem, scan, spiele, tipps, verschlüsselungstrojaner, virus, warnung, windows |
Baum-Darstellung