Daten wiederherstellen bei der 12KB-Variante des Verschlüsselungstrojaners


http://www.trojaner-board.de/116851-...tml#post851585


Bitte Hinweise, Fragen, Vorschläge und Lob hier posten

Danke.

Link zur Anleitung

ich konnte mit xt einige Bilder wieder herstellen, aber der große "Rest" wird in Textdateien umgewandelt, die unleserlich sind. Schade ... lg herbi79

Das Programm xt ist nicht dazu gedacht, beschädigte Bilddateien zu reparieren, sondern Bilddateien (png, jpg und gif um genau zu sein) aus Office Dokumenten (doc, xls, ppt), also dem Format das bis 2006 üblich war, zu extrahieren.

In seltenen Fällen werden auch Bilder aus neueren Office-Dokumenten (docX, xlsX, pptX), also dem Standardformat ab 2007, erkannt. Dies allerdings nur, falls die Bilddateien unkomprimiert im Office-Dokument-ZIP-Archiv liegen. Bei diesen Dateiformaten ist es aber definitiv besser (und für das Extrahieren von Text auch nötig!), die ZIP-Reparatur-Tools aus meiner Anleitung zu benutzen.


Häufig sind die Office-Dateien allerdings so klein, dass der meiste oder sogar der ganze Text in den ersten 12 KB (12288 Bytes) liegt und somit vom Virus zerstört wurde. Es kann aber nicht schaden, es trotzdem zu probieren.


Lies dir also die Anleitung (siehe Link in meinem ersten Beitrag) nochmals sehr genau durch. Dort findest du nämlich unter anderem auch die Informationen zur Wiederherstellung von Bildern, beiden Office-Formaten und einigen weiteren Dateitypen.

lg c4enigma

Moin Moin,habe alles gelesen und konnte auch einige Daten retten.
Nur wie sieht es mit RAR-Archiven aus? Da steht leider keine eventuelle Lösung.
Gibt es da eine Möglichkeit?
Gruss Rainer

RAR-Dateien kannst du mit der Reparatur-Funktion von WinRAR selbst reparieren. Wie bei ZIP-Archiven können allerdings nur Dateien gerettet werden, die komplett ausserhalb der ersten 12 KB der jeweiligen Archivdatei liegen.

Für die Reparatur reicht bereits die WinRAR-Testversion: WinRAR - Download - Filepony
Homepage http://www.rarsoft.com

Die Archive, oder auch allgemein alle Dateitypen, kannst du ohne Schattenkopien nur komplett retten, indem du die Datenwiederherstellungstools und mein Programm frep, wie in der Anleitung beschrieben, einsetzt (und natürlich die entsprechenden Dateibruchstücke noch auf der Festplatte auffindbar sind).

lg c4enigma

YO, vielen Dank für die schnelle Antwort.
Dann werd ich mich mal dransetzen.
Gruss Rainer

Hi,
auf meiner externen Festplatte sind alle Dateinen verschwunden wenn ich den Ordner öffne, aber in den Eigenschaften steht das noch xxx GB in dem Ordner vorhanden sind.
Sind meine Filme und meine Musik noch zu retten ? Immerhin handelt es sich alleine bei meiner Musik um 150GB und das sind Sammlungen mehrerer Jahre. Nur brauche ich einen Anfangspunkt dafür. Um Hilfe wäre ich Dankbar.......

Gruß,
Mc

Es ist ja nicht nur der CloneDVD-Keygen, auch die Core10k.exe ist nicht koscher.
Darum hier nur ein Zitat.

Zitat:

Zitat von markusg

hi
die regeln dazu sind klar.
und diesen satz den ich hier lese, lese ich weis gott nicht zum ersten mal, deswegen gibts da keine ausnamen.

Volker

Für beschädigte Office-Dokumente gibt es noch eine weitere (kostenpflichtige) Möglichkeit, sie zu reparieren:
OfficeFix http://www.cimaware.de/main/products/products.php

Probiert zuerst die Demo-Version aus, denn Office-Dateien sind meistens kaum grösser als die 12 KB, die der Verschlüsselungstrojaner überschreibt. In solchen Fällen ist der grösste Teil des Inhalts (z.B. Text) zerstört und kann von diesen Programmen ohnehin nicht gerettet werden.


Ein weiteres gratis Tool zur Wiederherstellung von gelöschten Dateien ist PhotoRec. (lasst euch vom Namen nicht täuschen!) Da die Dateien ohne Namen wiederhergestellt werden, eignet sich dieses Tool eher um intakte Vorversionen von Dateien zu finden, als die Dateibruchstücke der jetzt verschlüsselten Dateien für frep. (siehe Anleitung)
PhotoRec http://www.cgsecurity.org/wiki/TestDisk_herunterladen

Daneben gibt es auch noch File Recovery von PC Inspector.
File Recovery http://www.pcinspector.de/

Bei all diesen Tools heisst es einfach ausprobieren. Je nach benutzter Strategie findet ein Programm vielleicht mehr Dateien als die anderen. Wichtig bei allen Datenwiederherstellungstools ist, dass die wiederhergestellten Dateien auf ein nicht betroffenes Laufwerk gespeichert werden, da sonst noch lesbare, aber gelöschte Dateien im "freien Festplattenspeicher" überschrieben werden könnten.

Diese Tools funktionieren in der Regel sogar noch nach einer Windows-Neuinstallation oder Monaten im Betrieb, allerdings stehen die Chancen entsprechend (leicht) schlechter. Auch hier gilt, probieren schadet nicht.

lg c4enigma

Wer viel Platz hat und eine Linux Live CD: Image sichern, z. B. mit "dd if=/dev/sda1 of=xyz.img".

Und dann kann man alle Rettungstools mal auf dieses Image loslassen statt auf die echte Partition.

Infos zum Verschlüsselungstrojaner
Die Entschlüsselungsprogramme der Antivirenprogrammhersteller und die anderen aus dem Trojanerboard helfen nur bei den einfachen Varianten des Verschlüsselungstrojaners. Diese einfache Version bennent die Dateien in der Regel nach dem Muster locked-<DATEINAME>.<ENDUNG>.wxyz um. Bei ihr wurden zu schwache, also "knackbare" Verschlüsselungsalgorithmen verwendet oder der Schlüssel zum Entschlüsseln ist noch auf dem verseuchten PC gespeichert.

Für den Verschlüsselungstrojaner in der Buchstabensalat-Variante ist weder das eine noch das andere der Fall. Man müsste, wie hier beschrieben, den Schlüssel von den Servern der Kriminellen bekommen. Dass man diesen Schlüssel/die Server je in die Finger bekommt, ist allerdings höchst unwahrscheinlich.


Der Trojaner verschlüsselt "nur" die ersten 12 Kilobyte der Dateien. D.h. alle Informationen, die danach kommen, sind noch intakt und können zur Reparatur genutzt werden. Bei Office-Dokumenten reichen die 12KB häufig aus, um den ganzen Inhalt zu vernichten, bei MP3-Dateien hingegen werden in der Regel nur Liedinformationen zerstört und die Audio-Daten bleiben nahezu intakt.

Das einzige, was bei den schlimmen Varianten (zumindest im Moment) machbar ist, ist also Datenrekonstruktion unter zu Hilfe nahme von all dem, was der Trojaner nicht angetastet hat. Also z.B. auch die Schattenkopien oder bereits vor dem Befall gelöschte Dateien oder temporär gespeicherte Zwischenversionen.



Tools Update
Probiert auch unter Windows XP den Shadow Explorer aus. Anscheinend kann es vorkommen, dass ein Vorgänger der Schattenkopie-Tools aus Windows Vista/7 aktiv war. Dieser Vorgänger war allerdings einfach in die Systemwiederherstellung integriert.

ODT-Dateien (Open Office, Libre Office)
ODT-Dateien sind wie docX/xlsX/pptX-Dateien eigentlich ZIP-Archive. Schaut euch also den entsprechenden Abschnitt besonders gut an. Den Text findet ihr bei ODT-Dateien in der Datei "content.xml" im Archiv,
vorausgesetzt, diese Datei konnte wiederhergestellt werden.



Für unerfahrene PC-Benutzer
Am einfachsten wäre es, wenn ihr jemanden aus eurem Bekanntenkreis fragt, der euch hilft. Sofern er beim Installieren und Bedienen von Programmen ein bisschen Erfahrung hat, dann sollte es ihm nicht allzu schwer fallen, die Anweisungen aus meiner Anleitung so umzusetzen, wie ich es beschrieben habe.

Bevor ihr mit der Wiederherstellung beginnt, bereinigt zuerst den PC von den Viren, wie es euch die anderen Helfer in eurem eigenen Thread beschreiben werden. Eine Windows-Neuinstallation solltet ihr (noch) nicht machen, da ihr euch so die Chance nehmt, noch auf evtl. vorhandene, intakte Schattenkopien eurer Dateien zuzugreifen. (Windows XP/Vista/7)


Durchsucht das Laufwerk, auf dem die betroffenen Dateien lagen, mit den Datenwiederherstellungstools (z.B. Recuva) aus meiner Anleitung oder meinen Antworten in diesem Thread, genau wie beschrieben. Speichert alle gefundenen Dateien auf ein vom Trojaner nicht betroffenes Laufwerk. (z.B. eine neue externe Festplatte.)

Falls die Dateien nicht zu viel Speicherplatz brauchen, dann behaltet sie lieber auf. Der Bekannte könnte so evtl. mit meinem Programm frep noch einen grösseren Teil eurer verschlüsselten Daten retten.

Ganz am Schluss probiert ihr aus, welche Dateien sich öffnen lassen und kopiert sie wieder zu euren anderen Dateien.


Den Abschnitt zu Dateiheader reparieren, AVI/MPEG/DIVX (Video-Dateien), Hex-Editor für Windows und frep spezifische Dinge solltet ihr überspringen, da sie für euch zu schwierig sein dürften. (Vielleicht kann aber euer Bekannter das Programm so bedienen wie vorgesehen und mehr erreichen.)

Das folgende solltet ihr erst dann machen, wenn ihr die Festplatte mindestens mit einem Datenwiederherstellungstool (z.B. Recuva aus der Anleitung) durchsucht habt.


Bitte denkt daran, dass ihr evtl. die Dateien wieder mit der richtigen Dateiendung versehen müsst, z.B. mittels Filenamechange (siehe Anleitung).

MP3 gemäss Abschnitt zu reparieren sollte eigentlich klar sein.

Für Bilder probiert JPEG Recovery aus der Anleitung aus. (JPEG-Snoop ist evtl. auch zu schwierig in der Bedienung und bringt höchstwahrscheinlich nur eine Miniatur-Ansicht der Bilder zurück, falls überhaupt.)


Für doc/ppt/xls (Standardformat Office 97 - 2003) benutzt das Programm xt aus dem ZIP-Anhang der Anleitung:
Programmdatei aus dem Archiv auf den Desktop extrahieren, alle Office-Dokumente markieren und auf das Programmsymbol ziehen.
Gebt anschliessend im Programm eine Zahl zwischen 7 und 15 ein.

Für Zip/docX/xlsX/pptX (Standardformate Office 2007, 2010) genau wie im entsprechenden Abschnitt der Anleitung beschrieben.

Für beide Office-Versionen könnt ihr bei den verschlüsselten Dateien auch noch Office-Fix ausprobieren, wie weiter oben erwähnt.


lg c4enigma

Zitat:

Zitat von c4enigma

Die Entschlüsselungsprogramme der Virenhersteller und

ich habe mal die Virenhersteller in Antivirenprogrammhersteller.
Den Unterschied zu kennen und zu beachten finde ich jetzt nicht so ganz unnütz. Ich nehme jedenfalls an, du meinst die Antivirenprogrammhersteller, ein Entschlüsselungsprogramm der Virenhersteller ist m. E. noch eher unbekannt, außer du setzt beide gleich.

Jetzt hast du mich vor allen blamiert.
Der Grossteil der Benutzer hätte über meinen Fehler grosszügig hinweggelesen.

Zitat:

Zitat von c4enigma

Jetzt hast du mich vor allen blamiert.

Tut mir leid, aber wenn ich in Beiträgen anderer rumkorrigiere, dann mache ich dies nicht heimlich.

Zitat:

Zitat von c4enigma

Der Grossteil der Benutzer hätte über meinen Fehler grosszügig hinweggelesen.

hinweggelesen ja, aber nicht großzügig, wie du wohl richtig anmerkst.

Der alte pingelige Schatten mal wieder