|
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) Es handelt sich hierbei um die neue(?) Ransomware, die Dateien verschlüsselt und im Format "locked-<ursprünglicher Dateiname>.wxyz" ablegt. Ich habe selber einen betroffenen Rechner (Mein Beitrag im "Log-Analyse und Auswertung"-Bereich: http://www.trojaner-board.de/114110-...ked-wxyz.html]) und wollte eigentlich hier antworten: http://www.trojaner-board.de/114113-...-trojaner.html Da ich dazu jedoch keine Rechte habe und auch hoffe, dass mir ein ebenfalls Betroffener meinen Fund bestätigt, schreibe ich einfach hier ;) --- los geht's... --- Habe die Dateien mal genauer analysiert und mehr oder weniger die "Verschlüsselung" gebrochen.. Meine Erkenntnisse: * Ein von der Position identisches Byte an einer beliebigen Stelle ist über unterschiedliche Dateien in der verschlüsselten Version weiterhin identisch * Wenn man zwei unterschiedliche Bytes an der selben Stelle mit dem verschlüsselten Byte XOR'd kommt das selbe Ergebnis raus => Alle Dateien sind mit dem selben Schlüssel verschlüsselt (meine Befürchtung war zunächst, dass die zufällige Dateiendung einen Einfluss hat - ist aber nicht so!) => Die Dateien sind lediglich bitweise per XOR-Operator mit dem Schlüssel verknüpft Als Quelle dienen ein paar verschlüsselte Dateien, von denen ich noch die ursprüngliche Version hatte: http://matthi.org/hex-klein.png Originale Größe: hxxp://matthi.org/hex.png Schlüssel für die ersten 16 Bytes in hexadezimaler Schreibweise: 5E 9D 42 54 C4 D1 C4 C0 FF 9B CB F6 24 FD B3 E3 Kann jemand bestätigen, ob der Schlüssel bei ihm identisch ist? -> XOR-Operator auf ver- und entschlüsselte Datei -> oder mit dem Schlüssel einen gültigen Dateikopf wiederherstellen Die größte Datei, die mir ver- und entschlüsselt vorliegt, ist 12.9 MB groß.. wenn alles klappt, sollte ich zumindest Dateien die kleiner sind wiederherstellen können.. werde mir mal ein kleines Hilfsprogramm schreiben! --- UPDATE --- Beim Auslesen ist mir aufgefallen, dass nur die ersten 4 KBytes verschlüsselt werden - der Rest bleibt unberührt! Hier ist der 4 KB große Schlüssel, der jedenfalls für _meine_ Dateien funktioniert: hxxp://matthi.org/decrypt.key (ob auch eure Dateien mit dem selben Schlüssel bearbeitet wurden muss sich noch herausstellen...) Habe damit erfolgreich eine MP3 und ein PDF wiederhergestellt. Werde wahrscheinlich morgen etwas zum Automatisieren basteln.. Gute Nacht ;) Kann nicht mehr editieren... hier ein schneller Proof-of-concept als Java Applikation, mit der ihr testen könnt, ob der Schlüssel überhaupt für eure Dateien passt: Download: http://matthi.org/Decrypt.jar Quelltext: [Java] Decrypt.jar - Pastebin.com Auf eigene Gefahr und so.. keine Fehlerüberprüfung drin! Decrypt.jar öffnen, eine verschlüsselte Datei auswählen (z. B. locked-IMG_0324.JPG.wnys) und warten bis sich das Programm beendet. Es sollte jetzt IMG_0324.JPG im selben Verzeichnis existieren und hoffentlich korrekt entschlüsselt sein! |
Hi, umbennen funktioniert, jedoch kommt bei Photoshop eine Fehlermeldung "Vorgang konnte nicht ausgeführt werden, weil ein unbekannter oder ungültiger JPEG-Marker gefunden wurde." Schade, aber der Versuch war es allemal wert" |
Hallo matkuni, habe dein Script an einer gelockten Excel und einer Textdatei getestet, leider ohne Erfolg! Der Dateiname und die Extension werden zwar auf den Ursprung geändert, aber der Dateiinhalt bleibt unlesbar. Hast du bei dir alle Files schon entschlüsselt (Erfolgreich?) Hast du neue Infos oder Lösungen parat? |
Hi, ich habe jetzt einige Dateien probiert - wie gesagt umbennen ist eines, wiederherstellen ein anderes. weder *.tif, *.jpg, *.html noch *.txt Dateien lassen sich korrekt öffnen. Also weitermachen :-) |
Okay schade, das wäre auch zu einfach gewesen.. Also ist der verwendete Schlüssel vom System abhängig. Hat jemand von euch beiden eventuell eine Datei im verschlüsselten Zustand sowie das passende Original? (EDIT: Die Datei muss mindestens 4 KB = 4096 Byte groß sein!) (EDIT2: Meine E-Mail Adresse gibt's per PN - oder die Dateien irgendwo hochladen und mir den Link mitteilen, die ersten 4 KB würden reichen..) Dann könnte man probieren daraus den Schlüssel für euer System abzuleiten! Sehr genial wäre natürlich, wenn die Schadsoftware auch Dateien befällt, die bei der Installation von Windows mitgeliefert werden. Dann hätte man nämlich ohne Probleme die ursprüngliche Version. Ich denke da an Beispielbilder oder Ähnliches! |
Ich check das gleich mal... Soll ich dir die als PN senden? |
Zitat:
|
Hallo Matkuni, es werden tatsächlich auch die Windows-Beispielbilder befallen. Ich versuche mal eine Email zu schicken |
die verschlüsselung ist, laut eines av herstellers, rc4 der key ist für jeden pc unterschiedlich, er wird anhand einiger hardware basierter infos generiert, aber das ist alles noch nicht raus, da das teil hier relativ neu ist. |
Zitat:
Da der Schlüssel anscheinend für alle auf dem selben System vorhandenen Datei identisch ist, kann man ihn zurückrechnen, falls man das Original der verschlüsselten Datei noch hat. Praktisch ist hier, dass er auch Beispielbilder etc. befällt. Den Schlüssel direkt aus den Systeminformationen zu generieren kann ich nicht.. da müssen dann die Profis ran ;) Aber es sieht stark danach aus, dass eine Möglichkeit gefunden wird, alle Dateien zu retten. |
was außerdem wichtig ist, mails mit schädlingen, bitte an mich weiter leiten: http://markusg.trojaner-board.de außerdem brauche ich komplette mails mit mail headern. diese sollen evtl. bei polizeilichen ermittlungen helfen. die können dann ebenfalls an die selbe adresse gehen |
Zitat:
Ich bin fleißig am Beten.... |
ja, da wird sicher was gefunden werden, einige antimalware hersteller sind bereits drann. wenns updates gibt die wir veröffendlichen können, werdet ihrs erfahren. |
Hi Markus, ich habe die komplette Mail noch. Jedoch beim weiterleiten streikt Thunderbird. Ich brauche einen Tip wie ich diese Mail verschicken kann. Jedenfalls toll, wie ihr euch einsetzt. |
kannst du die mail markieren, datei speichern unter wählen, die mail speichern und dann an eine neue mail anhängen? wenn nicht, sag mir mal ob du winrar instaliert hast. |
Kurzes Update: Zwei Benutzer haben mir bereits passende Beispiele zugeschickt. Sieht ganz gut aus, warte aber noch auf die Bestätigung. Setze mich demnächst an ein Programm, das den verwendeten Schlüssel direkt lokal erzeugt, wenn man ihm ein passendes Päärchen liefert. |
Wird es auch ohne passendes Paar gehen? Bei uns ist ein ganzes NAS befallen. Gut, werd zur Not noch ein Paar finden... Ach man, irgendwie versaut dieses Drecksding meinen Donnerstag. |
Hi, also AVIRA sagt mir jetzt, dass ich eine böse Mail verschicke, soll ich das ignorieren? |
Zitat:
Ich werde es jedoch erst gar nicht probieren - ich habe meinen Schlüssel gefunden ;) Wie gesagt, es reicht ein Pärchen. Irgendwo treibt man das Original schon auf. Wir sichern ja eh alle unsere wichtigen Daten ;) Sei es ein Windows-Beispielbild oder eine Datei, die über E-Mail verschickt oder ins Internet gestellt wurde.. |
Päärchen hab ich genug, ja ... Hast du ein Lab im Kopf, das man mit Päärchen unterstützen könnte? Haben hier echt ein Riesenproblem. |
ja, einfach mail senden. nicht jeder, ich glaub eher die wenigsten, haben sicherheitskopieen :d denke da wäre nen tool schon ganz hilfreich. womit ich aber keines wegs deine arbeit schmähen wollte |
Zitat:
Wie gesagt, ich habe eine zugeschnittene Version meiner Decrypt.jar bereits an drei Nutzer verteilt. Warte bisher noch auf Feedback, sieht aber gut aus. Danach habe ich vor eine Java Anwendung zu schreiben, die den verwendeten Schlüssel aus einem Pärchen erzeugt und danach rekursiv ein ausgewähltes Verzeichnis wiederherstellt. UPDATE: Die erste Rückmeldung ist da. Die angepasste Decrypt.jar kann einzelne Dateien erfolgreich wiederherstellen. Werde voraussichtlich heute Abend mit der Java Anwendung beginnen. Optimistisch sage ich, dass sie noch in der Nacht fertig wird. Falls jemand extrem dingend an eine Datei muss, kann er mir noch ein Pärchen schicken. Ansonsten bitte auf die Veröffentlichung warten! |
Deine Decrypt.jar hat leider nicht viel geholfen. Habe es mit einer *.csv getestet, das Öffnen mit Excel war möglich, es stand auch etwas der Ursprungsdatei drin, aber die Hälfte war voller kryptischer Zeichen. EDIT: Verstehe, sie muss erst angepasst werden. Werde mich dann wohl gedulden müssen. Wenn nicht gerade der halbe Laden davon abhängen würde, wär ich jetzt echt locker. |
Zitat:
Habe die Decrypt.jar zur Vermeidung von Missverständnissen von meinem Webspace gelöscht. Danke an die Tester! |
Hallo Zusammen, Pärchen habe ich auch tausende. Ich hatte nähmlich sehr viele Cliparts.eps dateien von einer CD auf die Festplatte kopiert. Dank dieser riesigen Mengen wurden andere Dateien nicht mal berührt. :-) |
Ich kann mich auch in die Reihe von betroffenen einreihen. |
Noch ein wichtiger Hinweise für die Leute, die zur Zeit mit der Decrypt.jar experimentieren: Noch nicht die verschlüsselten Dateien löschen, auch wenn die Datei auf den ersten Blick wieder korrekt wiederhergestellt wurde! Nur weil die Entschlüsselung bei einer oder zwei Dateien funktioniert, heißt es noch nicht, dass es auch für alle anderen der Fall ist. Es könnten z. B. auf den ersten Blick nicht sichtbare, fehlerhafte Bytes in die wiederhergestellte Datei aufgenommen werden, da doch mehr als die ersten 4 KB verändert wurden oder der Autor der Schadsoftware noch weitere - bisher unbekannte - Abhängigkeiten eingebaut hat. Deshalb: Verschlüsselte Datei aufheben, damit die Entschlüsselung bei Kenntnis erneut durchgeführt werden kann! |
Hallo bitte mach was damit ich auch als Anfänger den Rechner wiederherstellen kann. Danke Danke J |
Hi. Auch uns hats erwischt. 35.000 Dateien auf einem wichtigen PC. Habt Ihr schon eine Lösung? Ist zwar unwahrscheinlich, aber wenn ich ein Pärchen hinschick - Könnt Ihr dann den individuellen Schlüssel ermitteln? Es wäre bei uns sehr dringend. Viele Grüße Andy |
Zitat:
|
bitte das auch machen https://vms.drweb.com/sendvirus/?lng=en request for curing und einen locked Datei senden hxxp://news.drweb.com/show/?i=2356&lng=en&c=14 J |
bitte direkt alles über mich machen, drweb ist im moment noch nicht bekannt wie sie es genau anstellen müssen, da es sich hierbei um neue malware handelt. deswegen habe ich ja geschrieben, dass ich sämmtliche mails mit headern haben möchte, die werden dann unteranderem gleich an die richtige stelle bei drweb weiter geleitet. |
ok hab die exe gefunden willst du die ?? J |
|
Bei uns hat ebenso der Verschlüsselungstrojaner zugeschlagen. Hier mal das Protokoll vom Vierenscanner: Code: Status: Gefunden (Ereignisse: 7) Willst du die Zip Dateien haben? Gruß & Danke |
Leider kann ich die Mail nicht finden da ich nicht am Rechner war versuche das aber rauszufinden lade es hoch .rar password virus |
Wollte nur kurz mitteilen, dass ich zur Zeit leider keine Anfragen mehr beantworten kann. Bin bis spät abends anderweitig beschäftigt und kann mich erst dann wieder um eine Lösung kümmern. Viele Grüße Matthias |
@ischDD danke, ebenfalls in den upload channel. wenn möglich, auch noch die mail. wenn du ein mail programm nutzt, dann einfach mail markieren, speichern unter und entweder an http://markusg.trojaner-board.de oder ebenfalls in den upload channel |
so habe die exe aus der mail gefunden TOP_OffertenUndRechnungen_2006_10_0_0301.exe wurde aber nach speichern auf dem Desktop und starten mit verschlüsselt Die zugehörige Mail habe ich nicht finden können ist weck |
@Realjogi danke |
naja - Leute, wir haben hier wohl alle in den Kuhflatschen getreten! Jetzt verhalten wir uns mal alle ganz ruhig und überlassen den Experten die Arbeit - unnötiges drängeln führt zu nichts. Und sagen den Leutchen, die da im Hintergrund für unsere Dummheit arbeiten erstmal ein ganz dickes :dankeschoen: |
ist was sehr groß seltsam |
was ist groß und wie groß ists? |
24mb für ein email anhang sehr groß |
lad ihn mal bei File-Upload.net - Ihr kostenloser File Hoster! hoch und sende mir den link als private nachicht, ich guck dann. den löschlink behalten. |
Dateien wurden von mir in den Upload Channel hochgeladen. Code: Datei: Abrechnung[1].zip empfangenVergleichsdateien sind vorhanden. |
Habt ihr die E-Mail mit dem Trojaner auch von einem *@optoline.net Absender bekommen? Beste Grüße |
sind einige absender, deswegen wollen wir ja möglichst viele infos zusammen tragen. |
Von: crey@welho.com Gesendet: 25 April 2012 05:27 Betreff: Buchung vom Ihrem Konto 3492442 Anlagen: Rechnung.zip Sehr geehrte Damen und Herren, wir freuen und Ihnen mitteilen zu können, dass Sie sich für Permium Mail angemeldet haben. Sie dürfen jetzt bis zu 300 Mitteilungen pro Monat kostenfrei versenden und Ihr Speicherplatz erhöht sich um 8Gb. 12,39 Euro werden Ihnen pro Monat von Ihrem Konto abgebucht. Entnehmen Sie die Rechnungsdaten bitte dem Anhang, dort finden Sie auch das Schreiben für Ihre 2 Wochen Kündigungsfrist. Mit Freundlichen Grüssen Ihr Kundenservice --------------------------------------------------------------------------------------------------- Von: srosser1@optusnet.com.au Gesendet: 24. April 2012 23:07 Betreff: Zahlungsaufforderung 87564283 Anlage: Rechnung.zip Sehr geehrte Damen und Herren, wie sind höchst erfreut Ihnen mitteilen zu können, dass Sie sich für Premium Mail angemeldet haben. Sie können jetzt bis zu 650 Mitteilungen pro Monat kostenfrei verschicken und Ihr Speicherplatz erweitert sich um 8 Gigabyte. 86,69 Euro werden Ihnen ein Mal im Monat von Ihrem Konto abgeschrieben. Entnehmen Sie die Vertragseinzelheiten bitte dem Anhang, dort findet Sie auch den Formular für Ihre 2 Wochen Kündigungsfrist. Mit Freundlichen Grüssen Ihr Kundenservice |
Zitat:
|
hallo meine frau hat gestern den gleichen fehler gemacht und die e-mail geöffnet könnte ich noch mal die decrypter.jar haben zum probieren danke |
hab mal vorher nacher einer bilddatei hochgeladen vieleicht hilft das hxxp://forum.sysprofile.de/schnelle-frage/171034-problem-mit-verschluesselten-datein-nach-scareware.html Ach noch eine idee zur key ermittlung die beispielmusik bei windows 7 ist bei mir auch locked die sollte aber doch bei allen windows 7 gleich sein oder ?? oder die Beispiel Bilder |
Zitat:
Zitat:
|
Nett, gibt jetzt auch schon mails wo personen namendlich angesprochen werden. |
Was haltet Ihr davon? hxxp://www.f-secure.com/weblog/archives/00002349.html :killpc: |
nein, das ist nicht die selbe ransom ware wird also nicht funktioniren, ebenso das drweb tool nicht. |
Hallo in meiner Firma war eine Kollegin auch so frei den Anhang zu öffnen :) (Natürlich hat sie es erst zugegeben als ich sie direkt darauf hin gefragt hab .. vorher war ja nur zu hören .. "Ich hab nix gemacht .. auf einmal ging nix mehr " ^^) Ihr Rechner hatte auch Zugriff auf eine Ordner auf ein NAS Laufwerk .. ja toll .. Habe auch Orginal Dateien und "Locked-Dateien.exe.xyz" .. aber ich denke ihr habt sicher schon genug .. Aber mal eine Frage die ich mir noch stelle ..nach welcher Reihenfolge.. oder Prinzip ging er vor sich die Dateien zu schnappen ? Einige Ordner wurden gar nicht angefasst andere nur teilweise .. hab da noch keine logischen Vorgang gefunden .. achso .. es sind aber auch ganz kleine Dateien betroffen .. unter 1 K ? weil es mal hier um die 4 K ging !? mfg Gerd |
markusg ich hätte die e-mail auch noch da und würde versuchen sie dir mal zu schicken falls es dir was nutzt bräuchte nur eine adresse von dir |
hi, da es momentan noch keine mir bekannte ausführliche analyse gibt, kann ich dir nichts sagen welche dateien befallen wurden, bilder und doc sind auf jeden fall häufig betroffen. hast du die mail in einem mail programm wie thunderbird. dann einmal markieren, speichern unter, und irgendwo hin speichern wo du sie findest. dann an http://markusg.trojaner-board.de senden, wenn das nicht geht, dann mail weiter leiten aber ich benötige auf jeden fall den mail header. entweder du weist wie man den aufruft oder du musst mir malsagen was für nen mail programm bzw webmailer du nutzt |
Mein Arbeitskolege hat dasselbe Problem mit seinem Laptop(Vista) Sogut wie alle wichtigen Datein sind verschlüsselt. Habe eine Kopie auf USB-HD gemacht und nach Systemzurückführung ist der Rechner wieder gelaufen. Habe Backup gemacht(bei Vista im Zip-Vormat), um alles zu sichern. Alles Formatiert und neues System aufgespielt. Es wäre gut, die verschlüsselten Dateien zurückzuholen. |
Hey, wie versprochen ein Update von mir: Die grafische Oberfläche ist soweit zum Testen bereit und enthält auch direkt eine Funktion zum Auslesen des Schlüssels: http://matthi.org/Decrypt.png Die Anwendung sollte selbsterklärend sein (wenn man den Beitrag hier bisher verfolgt hat) und ich hoffe auf (positives) Feedback! ;) Habe bisher nur unter OS X eine mir zugeschickte Beispieldatei erfolgreich wiederhergestellt. Die Funktion zum Wiederherstellen eines kompletten Verzeichnisses samt Unterordnern wird nachgeliefert! Die neue Version 0.3 merkt sich das letzte Verzeichnis und kann jetzt auch erstmalig alle verschlüsselten Dateien in einem Ordner wiederherstellen! Dazu darf keine Datei im Ordner existieren, die so wie die entschlüsselte Version heißen würde. Weiterhin werden bisher keine Unterordner bearbeitet. Eine Fortschrittsanzeige fehlt auch noch... einfach das Verzeichnis im Explorer beobachten ;) Wie bereits hier mehrfach erwähnt: Zum "Schlüssel erzeugen" muss eine von der Schadsoftware verschlüsselte Datei sowie das Original vorhanden sein! Wichtiger Hinweis: Es ist bereits eine neue Variante im Umlauf, die sich nicht mehr einfach entschlüsseln lässt. Daher folgende Hinweise:
http://matthi.org/DecryptHelper-0.5.3.exe weiteres: http://www.trojaner-board.de/114115-...tml#post823142 Auf eigene Gefahr! Vorher (auch die verschlüsselten) Dateien sichern! Die verschlüsselten Dateien nicht löschen, auch wenn die Entschlüsselung auf den ersten Blick erfolgreich war! |
@Matthias :daumenhoc Danke für Deine Arbeit! Woher Original-Dateien bekommen? Falls jemand keine Orginale und Verschlüsselte Datei zum erzeugen des Schlüssels hat, kann er dies anhand der Windows-Beispiel-Bildern (falls man sie nicht gelöscht hat und diese verschlüsselt wurden) versuchen. Windows 7: http://files.trojaner-board.de/Beispielbilder_Win7.zip Windows Vista: http://files.trojaner-board.de/Beispielbilder_Vista.zip Windows XP: http://files.trojaner-board.de/Beispielbilder_XP.zip Andere Beispielbider können gerne gezippt und Angehängt werden. Wichtig ist Zippen, da Bilder beim Hochladen optimiert/verändert werden. Alternativ: WINDOWS-CD nach Beispiel-Bildern oder Beispiel Musik durchsuchen! ---- Bitte um Feedback! (mit Angabe der Versionsnummer) |
Die neue Version 0.3 merkt sich das letzte Verzeichnis und kann jetzt auch erstmalig alle verschlüsselten Dateien in einem Ordner wiederherstellen! Dazu darf keine Datei im Ordner existieren, die so wie die entschlüsselte Version heißen würde. Weiterhin werden bisher keine Unterordner bearbeitet. Eine Fortschrittsanzeige fehlt auch noch... einfach das Verzeichnis im Explorer beobachten ;) Viel Erfolg und gute Nacht! Download: Decrypt.jar 0.3 Auf eigene Gefahr! Vorher (auch die verschlüsselten) Dateien sichern! Die verschlüsselten Dateien nicht löschen, auch wenn die Entschlüsselung auf den ersten Blick erfolgreich war! |
Ich werde es in ca einer Stunde probieren und Feedback einreichen. Vorweg schon ein riesengroßes DANKE!!! |
Uns hat es gestern auch erwischt, aber Dank "DECRYPT" scheint es so, dass wir die Daten wieder "bekommen". Erst mal vielen Dank an den "Macher" !!!! :daumenhoc |
Herr Matthias Kunig.... DANKE! :dankeschoen: Bisher mit txt und xls Dateien ausprobiert. Es scheint einwandfrei zu klappen. Du hast unser Dame in der Buchhaltung, die der Meinung war Rechnung.exe's anklicken zu müssen ziemlich den Hintern gerettet. :) |
Guten Morgen Vielen vielen Dank geht bei exe doc xls jpg bis jetzt J |
bei meinem rechner windows 7 startet der decrypter nicht auf einem anderen schon woran kann das liegen ? |
Ich würde bei der Reichhaltigkeit an Informationen mal auf eine fehlerhafte Javainstallation tippen.... :pfeiff: |
|
habe ich neu installiert es geht nur ein kleines fenster auf und dann geht es weider zu kann aber nicht lesen was darin steht |
Sagt die Ereignisanzeige etwas diesbezüglich? |
Super! Bei mir funktioniert es! Vielen vielen vielen Dank! |
Hallo, der Rechner meiner Mutter ist auch betroffen (Windows Vista). Leider gestaltet sich es gerade etwas schwierig, eine unverschlüsselte Version einer ihrer Dateien zu finden. Gibt es in diesem Fall bis jetzt noch andere Möglichkeiten wie man dann vorgehen sollte? Es wurde bei ihr z.B. auch die Beispielmusik verschlüsselt, hat dort vielleicht jemand ein Original, dass ich zur Key-Erzeugung verwenden könnte? |
Danke Matthias Kunig!!! Bei uns funktioniert das script auch perfekt!! Danke! |
Hi Jezzz, es würde reichen wenn du zum Bespiel ein Bild der Beispielbilder wiederhestellen würdest, das original könntest du die von einem Rechner mit dem selben Betriebsystem auf nem USB Stick ziehen und dann eben Schlüssel erzeugen und dir ist geholfen :) |
Hallo Veqeta, dummerwiese hatte sie den Ordner Beispielbilder wohl in der Vergangenheit gelöscht -.-! Den Ordner Beispielmusik hatte sie aber anscheinend noch, denn der Inhalt wurde verschlüsselt! |
Hallo, erst mal vielen vielen Dank für dieses Programm. Es hilft und wir kommen an die Daten wieder ran. Die frage ist aber ob es möglich ist das Programm so zu ändern das er eine ganze Partition inkl. allen darin enthaltenen Ordnern durch gehn kann und die Dateien wieder entschlüsselt. Die Anzahl der Ordner ist doch recht groß die man einzeln auswählen muß. Gruß und nochmals :dankeschoen: |
schau doch mal auf der cd von Vista vielleicht findest du die Musik dort |
Danke, Danke, Danke. Es hat bei mir problemlos geklappt. Vielen Dank an Mathias König. :singsing: |
Dann probiere es doch mal damit, einfach eine Originaldatei von einem anderen Rechner (vom Kumpel oder so) das würde schon reichen. |
Zitat:
Nochmals vielen Dank an den Entwickler des Decrypt.jar |
ich konnte mit dem Decypter und den Windows XP Beispielbilder einen Key für das Betroffene System erstellen. Danke Matthias!! und danke an alle anderen Beteiligten. Wahnsinn was hier in kurze Zeit geschaffen wurde. |
wie bekomme ich decrypt auf - beim installieren zeigt es "wrong key" an danke |
@iwsmueller Hast du schon einen Key nach Anleitung erstellt? Erstmal Brauchst du die Verschlüsselte Datei als orginal (unverschlüsselt). Die Software leitet dich eigentlich durch die Schritte. |
nein - bin erst seit heute nacht da- und habe das lockedproblem mit dem trojaner- die software ist drauf und nach der exedatei kommt dieser wrongkey |
@iwsmueller Man nehme Folgende Zutaten: 1 - Decrypter.jar (Javadatei) 1 - Korumpierte Datei 1 - Original Datei und erzeuge daraus einen köstlichen Schlüssel Anschließend klicke man auf den Button "Schlüssel laden" und nehme den gerade erzeugten Schlüssel und lade ihn in das Programm. Daraufhin dann auf den letzten Button "Ordner wiederherstellen" und wähle den zu wiederherstellenden Ordner aus. Rappelzappel dauerts ne Weile und du hast deine Daten wieder. |
Nach einigen Testläufen glaube ich, dass die Dateien mit decrypt wieder hergestellt werden können und möchte mich bei allen beteiligten ganz herzlich bedanken. Ich will jetzt nur hoffen, dass man den Verursacher nicht mit einer Bewährungsstrafe davonkommen läßt. Ich würde dem Verursacher ..................... - Kann ich hier nicht reinschreiben. |
Kurzer Zwischenstand: Klappt bisher bei .jpg, die .doc, .xls und etc sind bei mir korrupt. Ich weiss noch nicht, was da bei mir schiefläuft :) Batch- Datei, um Dateien aus einer Ordnerstruktur in einen gesammelten Ordner zu kopieren Code: for /r x:\Quellordner\ %%i in (*.*) do call :process "%%i" |
Zitat:
|
Bin momentan am Suchen nach einer Lösung für folgendes Problem: Bei uns sind es 27221 Dateien auf einem NAS. Diese Dateien befinden sich in ca 500 Ordnern. Alle locked Dateien rauskopieren in einen Ordner ist ja nicht die große Herausforderung. Gibt es aber eine Möglichkeit, die Dateien dann wieder in Ihre Ursprungsordner zurückzukopieren? Oder kann ich es irgendwie anders vermeiden, mit der Software nacheinander 500 Ordner anzuwählen? |
Zitat:
Ich wollte dafür ne batch schreiben, hab aber noch nicht herausgefunden wie ich der jar Parameter übergebe :) |
Sag doch sowas nicht! :kloppen: |
bei mir entschlüsselt er bis jetzt alle dateien die ich ihm angebe. das programm hat sich allerdings auch schon 2 mal aufgehangen, wo ich es mit dem taskmanager schließen musste. aber trotzdem :dankeschoen: hab mir durch das programm locker 2 wochen arbeit retten können. |
wie komme ich im abgesucherten modus an Decrypter.jar (Javadatei) oder in einfachen ausdrücken und schritten wie bekomme ich den decrypter drauf der vegeta hats mir netterweise versucht zu erklären aber ich bin da etwas hintendran-mit bitte um verständnis- oder wie bekomme ich diesen trojaner weg der locked etc mit dem 50,.euro zaheln produziert hat? ich habe otlpe installiert und eine otl.txt erzeugt aber jetzt hänge ich |
Läuft super nochmal vielein Danke Wenn es jetzt nur noch über den ganzen Rechner laufen könnte und auch versteckte Verz. anzeigen könnte Aber es hat mir schon sehr geholfen zip exe jpg doc xls usw geht alles :dankeschoen: J |
Oh, hier steht ja doch mehr. Hatte vorhin nur die Seite 7 durchgelesen und nicht gesehen, dass es ja noch weiter geht ;) Zitat:
Danach startet Windows wieder ohne Probleme und du kannst dich an die Wiederherstellung machen. Zitat:
Ich gehe eher davon aus, dass das Programm noch nicht durchgelaufen ist. Performance ist noch verbesserungswürdig und eine Fortschrittsbalken fehlt. Zitat:
Nach kleinen Aufräumarbeiten wird es aber die nächste Funktion sein, die ich ergänze. Zitat:
Bitte die vollständige Meldung posten oder besser noch einen Screenshot anfügen. Sieht aber eher nach einem Programm der Java-Installation aus. |
Schadensbeseitigung klappt auch wunderbar mit KRD 10. Wenn schon der Schöpfer hier ist, sag doch mal Bescheid, wann es v0.4 gibt in der ich sagen kann "Netzlaufwerk Y: bereinigen" ? :bussi: |
jotage53@terra.com.br Sehr geehrte (namentlich genannt) Sie haben sich für unseren Mail Upgrade angemeldet und wir sind stolz drauf Sie als unseren frischen Member zu begutachten Sie dürfen jetzt bis zu 300 Mitteilungen pro Monat gebührenfrei versenden und Ihr Speichervolumen wird grösser um 6 Gb. 149,99 Euro für Registrationsbeitrag werden Ihnen jede 12 Monate im Vorraus von Ihrem Bankkonto abgebucht. Entnehmen Sie die Vertragsdaten bitte dem Anhang, dort finden Sie auch die Erklärung für Ihre 2 Wochen Kündigungsfrist. Mit freudlichen Grüssen Ihr Kundenservice Das war meine email. Also ich habe alles Schritt für Schritt gemacht, Java runtergeladen etc. Einmal hatte ich Java 6 einmal Java 7 gut okay konnte die Dateien von dem decrypthelper kurz öffnen. Dann stand da irgenwo ich finde es leider nicht mehr "nur aktuelle Versionen" gut ich hab also Java 6 gelöscht, neugestartet und jetzt krieg ich das nicht mehr geöffnet. Ehrlich gesagt ist mir das alles ein wenig zu hoch. Alle Virenprogramme (Ccleaner, Avira DE-Cleaner, Malwarebytes) hab ich laufen lassen. Jetzt bin ich allerdings völlig aufgelaufen. Hab Windows 7. |
Zitat:
Wer das löschen nicht haben will kann die Zeile ja kurz entfernen. Vielen Dank an Derben Code: for /r c:\test\ %%i in (locked*.*) do call :process "%%i" Mit freudlichen Grüßen Stefan |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:14 Uhr. |
Copyright ©2000-2025, Trojaner-Board