Welche Programme hast Du versucht, zähle die mal auf.
Wenn ich lese was Du schreibst, dann wette ich mal, Deine Aufzählung beinhaltet genau acht Tools.

Du solltest besser lesen.
Wenn Ihr kein XP mehr habt, dann doch sicher Vista oder Win7, bei denen es möglicherweise Schattenkopien gibt.
Warum versuchst Du nicht die Tools, die für die 12k-Verschlüsselungsvariante genannt sind?
Das ist zuerst mal der Shadow Explorer.
Warum hast Du noch nicht mal versucht, wenigstens die Geschäftsfotos zu rekonstruieren?
JPEG-Recovery oder JPGSnoop sind wohl nichts für Dich?

Es ist schon fast nicht mehr nachvollziehbar, mit welcher Leichtigkeit die vielen hilfreichen Tips der User überlesen werden.

Volker

also auf diese Art der Anmache kann ich verzichten!:nono:
Wenn ich schreibe, daß ich alle 8 vorgeschlagenen Programme benutzt habe dann muß ich nicht wie in der Schule aufzählen! Was ist denn das für ein Umgangston! Mein Rat an Dich: Du(!) solltest besser lesen und Deine Rechthaberei und Besserwisserei zügeln: ich habe eindeutig geschrieben, daß auf dem Rechner XP installiert ist!
Danke noch für die Hilfe! Es ist hier anscheinend wie anderswo auch, nur Besserwisser und wenige die echt helfen können! Schade!

Ich hatte mir das tolle Ding ja auch eingefangen und meine Bilder waren in Dateien mit Buchstabensuppe verwandelt. Nachdem alle vorgeschlagenen Tools (teilweise aufgrund mangelnder Originale zum Schluessel generieren) nicht geholfen haben, hab ich die Trailversion von Jpeg-Recovery ausprobiert. Erst die Datei mit nem .jpg versehen und dann mit dem Programm wandeln. Und was soll ich sagen, die Bilder sind 1a wieder da. Ok in der Trailversion mit Wasserzeichen, aber ich werde mir dann die Vollversion holen. Das ist es mir wert, wenn ich da genau weiss das meine Bilder gerettet sind. Jetzt such ich nur noch nach einem Programm, was .mov wieder herstellen kann. Vllt. hat da noch jemand einen Rat?

danke Xythia, das werd ich der Laptop-Besitzerin auch vorschlagen. Ist zwar viel Arbeit, aber die meisten Dateien, die in unlesbare Dateien umgewandelt wurden, waren tatsächlich jpg's. Also mit etwas Zeiteinsatz... :) Was die .mov's betrifft, da kann ich Dir leider nicht weiterhelfen, sorry! lg herbi79 :dankeschoen:

P.S.: @all: ich suche immer noch Original-Desktop-Bilder von XP um andere Programme ausprobieren zu können, die eine Originaldatei zum Vergleich verlangen. Gerne an meine email-Adresse gherm@web.de

Wie dem auch sei, auch die Original XP-Bilder sind hier verlinkt, aber dazu muß man etwas lesen.

Genau darauf habe ich ja gewettet.
Ich frage mich, wer Dir, bei der von Dir beschriebenen Verschlüsselungsvariante, diese acht Tool vorgeschlagen hat.
Vielleicht wäre die Recherche nach den Verschlüsselungsvarianten hilfreich gewesen, aber dazu müsste man eben etwas lesen.

Du weisst es offensichtlich besser, selbst ohne zu lesen.
Mache also was Du für richtig hältst, suche Dateipaare und übe weiter.

Volker

Hab ich gemacht. Allerdings bekomme ich 5K große bilder. Damit kann ich nichts anfangen. Ich sehe zwar die bilder aber nur in sehr klein.

moin moin Lupo,
was hast Du gemacht?
Welches Tool hast Du verwendet?
In den Bilddateien ist das Bild in verschiedenen Größen gespeichert.
Neben der Originalauflösung gibt es da beispielsweise ein Thumbnail.
Deine 5k-Datei wird so eine Vorschau sein.
Wie groß sind denn die JPG-Dateien normal?
Falls in den ersten 12k bereits wichtige Bildinformationen abgespeichert waren
kann es sein, dass eben nur noch dieses Minibild restauriert werden kann.
Je kleiner die Origuinaldatei desto eher die Gefahr des Verlustes.

Volker

Wie kann ich den jetzt .Doc datein entschlüsseln ???
habs echt nich gecheckt trotz lesens. dieses JPEG Recovery habe ich ausprobiert , das funzt zwar aber nich mit jedem bild und wenn es funzt dann werden die bilder nur sehr klein. wer kann mir in beiden sachen weiter helfen. und vorallem hatte ich über firefox meine lesezeichen immer abgespeichert die ja nun auch verschlüsselt ist die datei. jemand ne idee wie man das wieder hin bekommt ???

Ich habe das Programm JPEGsnoop probiert. Die bilder sind alle ca. 2,5MB groß. Nach dem widerherstellen sind sie nur noch 5KB groß. Das sind wie du schon geschrieben hast vorschaubilder. Mit einer größe von 160*120 punkten. Habe auch ein Original Bild und das selbe noch einmal verschlüsselt voliegen. Kann damit aber leider noch nix anfangen weil es keinen entschlüsseler gibt.

@Lupo.ich schicke Dir mal eine PN.

@SpongebobX,
bei *.doc sieht's mau aus.
Hast Du schonmal gelesen was c4enigma geschrieben hat?
Vielleicht hilft Dir das doch etwas weiter.

http://www.trojaner-board.de/117921-...tml#post851418

Volker

wer lesen kann, kann lesen, daß hier, auf dieser Seite, ganz oben 8 Tools vorgeschlagen werden. Und wer noch mehr lesen kann, der kann das noch ein zweites Mal lesen, etwas weiter unten... Und wer mir das vorgeschlagen, naja, da darfst Du mehrmals raten... Aber Deine Antwort beweist, daß es Dir nicht ums helfen geht, nur ums... s.o. Aber da ich ja lesen kann, finde ich meine Antworten schon noch!:lach:

3. locked-Varianten: Dateien enschlüsseln: Übersicht der 8 Entschlüsselungs-Tools

locked-Varianten

Sehen Deine verschlüsselten Dateien etwa so aus: locked-xxxxxxxx.yyy.zzzz

Weiter unter Punkt 3:

ansonsten Daten retten / Daten widerherstellen: Daten retten nach Verschlüsselungstrojaner

Lesen, Denken und Verarbeiten

Hmmm also bei mir siehts so aus als wenn nix mehr zu retten wäre danke Undertaker trotzdem für deine Hilfe scheint so als muss ich das so hin nehmen das der Trojaner sie zerstört hat drecks ding
aber danke für eure hilfe hier drin
Sputtnik

ja hab ich gelesen... komme mit dem Programm aber nicht klar. Da ist keine verständliche anleitung mit bei. der Jpeg recovery pro bekommt große Bilddaten wieder zum laufen. Allerdings koster der ja auch noch was. Werde erst mal alle herstellen die möglich sind und werde es abklären ob es den Preis wert ist. Eigentlich nen unding das es programme gibt die was kosten. Wo auch Norton oder so das ohne weiters wieder herstellen müsste. Immerhin ist es ja ein Virus.

Hallo!
Ich habe mir auch einen Verschlüsselungstrojaner eingefangen, Daten gesichert, Festplatten formatiert und XP neu aufgespielt. Bin jetzt dabei meine Bilder zu entschlüsseln. Habe mir JEPGsnoop 1.6.0 von der Herstellerseite heruntergeladen. Da funktioniert das Entschlüsseln einwandfrei, jedoch nur einzeln. Jetzt habe ich hier gelesen, dass das Tool entsprechend modifiziert wurde. Ich habe es jedoch noch nicht geschafft, mir das Tool auf dem angegebenem Pfad herunter zu laden bzw. konnte den link nicht finden. Wie genau komme ich an die modifizierte Variante von JEPGsnoop? Ich bin auf diesem Gebiet nicht so sehr bewandert, bin mehr ein Programmnutzer
Bitte helft mir, Habe aus Bequemlichkeit ca. 2500 nicht gesicherte und nun verschlüsselte Bilder.

moin moin,
also bei klappt der Link.

JPEGsnoop

Volker

Danke,
jetzt habe ich es auch hinbekommen. Habe gerade einen Ordner mit 100 Bildern entschlüsselt, funktioniert einwandfrei.
Super und nochmal Danke!!!

Hi Zusammen!

Erstmal vielen dank für den Jpeg Snoop! Funktioniert sehr gut bei vielen Bildern - auch gute Qualität.

Nur leider gibt er mir bei 20% meiner Bilder nur Vorschaupics - sprich sehr klein.

Jpeg recovery hatte ich schon vor ein paar Wochen am Rechner und vergessen. Deshalb geht das Trial nun leider nicht mehr und ich kann nicht testen ob die Vollversion evtl. hilft.

Kennt jemand ne Lösung wie ich das Trial reaktivieren kann? Oder kann mir jemand ein paar Bilder testen welcher die Vollversion hat?

Besten Dank!

Ich schicke Dir eine PN.

Volker

Hallo zusammen,
hocke hier seit Stunden bei dem Rechner meines Vaters. Er ist (also der Rechner und nicht der Vater) ebenfalls mit einem dieser Verschlüsselungstrojaner infiziert. Leider bin ich jetzt nicht so der Crack und ich hangel mich halt hier durch die Foren. Die Bilder meines Vater kann ich mittlereile mit diesem JPG-Snoop rekonstruieren. Leider sind die Bilder allesamt 120x160, also sehr klein. Kann ich etwas besser machen ? Kann ich ausserdem jemanden vom Support hier vielleicht bitte mal eine verschlüsselte und original Datei schicken ? Zum meinem Leidwesen funktionieren die Entschlüsselungsprogramme allesamt nicht bei mir. Ich würde aber gerne ausschliessen, dass es meine Unfähigkeit ist, die hier zum tragen kommt.
Über Hilfe würde ich mich sehr freuen.
der Sohn vom Vater

moin moin Sohn vom Vater,
zuerst die Frage ob der Rechner nun noch infiziert ist oder war?
Nächste Frage, welches Betriebssystem?
Dann wäre noch interessant zu wissen, wie die verschlüsselten Dateien aussehen.

Deine bisherigen Infos sind mehr als mager.

Volker

Hallo,

also. Der Rechner ist mittlerweile nicht mehr infiziert. Es ist ein XP-Rechner und die Dateien sind alle gesperrt. Von jeder Datei gibt es eine locked-Dateiname.jpg.xyzx Variante und eine "ganz normale" ohne diesen locked Zusatz. Keine lässt sich mehr öffnen.
Ich würde gerne die Bilder retten. Mit jpeg-snoop kann ich die Bilder wiederherstellen. Wie gesagt die Bildergröße ist aber winzig (120x160). Mit der Demoversion von JPEG Recovery Pro funktioniert die wiederherstellung recht gut ( nur kleine Fehler ab und an), mal abgesehen natürlich von dem Wasserzeichen. Mit diesen Entschlüsselungstools geht irgendwie gar nichts, daher die Frage ob jemand anderes das mal ausprobieren könnte? Könnte man mit so einem Entschlüsselungsprogramm auch Word-Dokumente etc. wiederherstellen? Unglaublich was mein alter Herr alles abgespeichert hat, ohne mal ein Backup davon zu machen. Naja.. darüber zu jammern bringt nun auch nichts.
Grüße,
Sohn vom Vater

moin moin,

was Du schreibst ist sehr ungewöhnlich.
War das von Anfang an so, dass beide Varianten vorhanden waren oder sind die "ganz normalen" erst von einem der Tools generiert worden?

Woher hast Du die Originaldatei zur Bildung eines Dateipaares genommen?
Wie sieht denn der Timestamp der Dateien aus?
Ich meine von einer locked- Datei und der dazugehörigen "normalen".

Zuerst würde ich alle Dateien sichern.
Falls es tatsächlich so ist, dass die Dateien nach dem Muster locked-xxxxxxx.yyy.zzzz verschlüsselt wurden, hast Du gute Chancen.

Suche nach Originaldateien, die als locked- Version vorliegen.
Eventuell im Kameraspeicher, auf DVDs, Sticks oder als Mailanhang im Postausgang, die zur Oma gesendet wurden.
Egal, woher auch immer Du Originale auftreiben kannst, je mehr desto besser.

Volker

Hallo Undertaker,

also die "ganz normalen" Dateien scheinen wohl doch, wie du selber vermutet hast, von einem vorherigen Wiederherstellungsversuch zu sein. jedoch wohl ohne Erfolg.
Mein Vater hat ein paar Original Bilder auf dem Speicher der Kamera gefunden. Die Dateigröße ist exakt dieselbe, das Datum nicht.
Ich versuche es gleich nochmal mit den diversen Entschlüsselungsprogrammen.,..


edit: Das avira-Tool sagt z.b., dass das ausgewählte Paar nicht passt
PandaUnRansom schreibt halt kryptische Sachen wie "entropy is not enough. (skiping)"
Soll ich die Heizung anmachen, damit mehr Entropie herrscht ? lol
Ich weiß et net....

Versuche es mal mit ScareUncrypt und forsche weiter nach Originalen.

Volker

Scareuncrypt "produziert" zwar Abbilder der locked-Dateien, die sind aber eben so wenig verwendbar. Wegen der Bilder, habe ich mir eben eine Lizenz gekauft. Mein alter Herr hat ca. 15 GB Foto`s. Die waren einfach zu wertvoll. Danke für die GHilfe soweit. Wenn ich was rausfinde melde ich mich ...
Gruß


edit: habe noch eine .doc datei gefunden... leider funktioniert das alles nicht.....

Schade, viel Erfolg mit den Bildern.

Volker

Servus Zusammen, ich soll jemandem Helfen seine Daten zu enschlüsseln. Vor einiger Zeit hatte ich einen ähnlichen Fall, dort waren die dateien mit dem bekannten locked versehen. Das Pro. wurde gelöst.

Das folgende allerdings noch nicht.

Infektion per E-Mail. Email nicht mehr vorhanden.

Alle relevanten Daten auf der HDD wurden wohl verschlüsselt.

XyVzDehDnkE Muster ...

Bekannter wusste sich nicht zu Helfen. Hat seine geschrotten Datenbanken fürs Geschäft und ein paar PDFs im verschlüsselten Zustand aufgehoben.

Rechner formatiert Windows frisch aufgespielt .. GAU.

Ich habe den Rechner nun gescannt per R-Studio + Recuva
Konnte ein paar verschlüsselte Beispielbilder und ein PDF unverschlüsselt wiederherstellen.

Die Dateien sind im verschlüsselten sowie unverschlüsselten Zustand gleich groß.
http://img839.imageshack.us/img839/5726/gleich.th.jpg


hier mal eine verschlüsselte und ein Beispielbild. Evtl. kann mir hier ja jemand weiterhelfen.

hxxp://www.file-upload.net/download-4537037/tulips-beispielbild.zip.html

wie gesagt, es geht um das generieren eines Schlüssels dass die Datenbanken wiederhergestellt werden koennen.


Vielen Dank schon mal

moin moin,
daraus wird wohl nichts.
Die Rekonstruktion mittels Dateipaaren funktioniert ausschließlich bei der Verschlüsselung der Form locked-[Dateiname].[Ext.].[Viersteller]. Diese Verschlüsselung betraf lediglich die ersten 3k der Datei.

Wie Du schreibst sind die Dateien aber nach dem Muster XyVzDehDnkE verschlüsselt.
Dabei handelt es sich um eine Verschlüsselung der ersten 12k jeder Datei.
Eine Entschlüsselung scheidet damit aus.
Bei dieser Verschlüsselungsvariante ist lediglich eine teilweise Rekonstruktion möglich.
Erschwerend kommt in Deinem Fall hinzu, dass der Rechner neu aufgesetzt wurde und damit eine Rekonstruktion durch wiederherstellen von Schattenkopien ausscheidet.
Was die Wiederherstellung der Datenbank betrifft, rate ich zuerst den Hersteller der Datenbankapplikation zu kontaktieren.
Wahrscheinlich ist der effektivste Weg, die Daten aller Geschäftsvorgänge seit der letzten Sicherung neu einzugeben.

Ansonsten bleiben nur die hier vorgestellten Möglichkeiten.

Volker

Hallo Undertaker,

besitze einen Laptop mit Windows 7.

Habe auch, den hier viel diskutierten, windows verschlüsselungs Trojaner auf meinem Laptop.
Gehe zur Zeit nur im abgesicherten Modus rein.

Es sind so gut wie ALLE Dateien (Fotos, Videos, Word,...) umbenannt. z.B. "lpvrTQLXseUuLEv"

Am wichtigsten wären mir die Fotos.
Könntest du bitte mit deinem JPEG Recovery Pro mal mit ein paar Bildern von mir rekonstruieren?
Würde gerne wissen ob das bei mir funktioniert?

Würde mir das Programm dann auch kaufen.

Vielen Dank
Gunter

moin moin Gunter,
ich schicke Dir eine PN mit einer Mailaddi, an die Du Testbilder senden kannst.

Volker

hey jungs und Mädels
hab heute versucht jpg zu Reparieren, weil unter Datenrettung auch programme drauf sind. Hab ich den entsprechend runter geladen,und mir das Video angeschaut wegen Schattenkopie. Hab vorher die Daten die Z.b:AATTEESSTTEETTXY Datei sind in JPG umgeschrieben.Bei einigen seh ich unten die Bilder aber kann sie nicht öffnen.Hab mir von avira das Prog. geladen nur da passiert mal garnix.Hab versucht ein System Vision Wiederherstellung zu machen von den Bilder die Umgeschrieben habe in JPG konnte bis zur 1monat zurück gehen, 6.6.2012 kamm wieder die AATTEESSTTEETTXY Datei.wo ich auf Eigenschaft geklickt habe und Sytemvision Wiederherstellung zu suchen kamm nichts.jetzt Lese ich hier das ihr ein jpgscoopy habt, den mal ausprobieren, also wie es aussieht hat meine bekannte schon längere zeit den verschlüsslung mist drauf sie hat einen Ordner drauf gehabt namens IGIinst und IGIFX.wo ich heute nach gesucht habe war er weg.und gelöscht wurde er auch nicht von ihr.

@Bombenjaeger,
herzlichen Glückwunsch, nach 20 Beiträgern hast Du JPEGSnoop gefunden.
Wenn Du unsere bisherige Hilfestellung auf Deine Beiträge nochmal eingehend auf Dich wirken lässt, dann findest Du eventuell auch JPEG Recovery.
Immer am Ball bleiben. :daumenhoc

Volker

das war zufall das ich den gefunden habe.weil ich auf eine andere Diskutionsrunde war und der jenige ein link von diese seite gepostet hat.du weiß doch² auch ein blindes Huhn findet mal ein Korn":lach:

Hallo Forest74,

ich habe auch einige Bilder die verschlüsselt sind , das JPEG Rcovery Pro 5 erkennt bei mir aber keine Dateien Dayteuname:uNJJgQurrvOOurrvvOuQN. Was mache ich falsch.

Kannst du mir helfen.

Danke stitch_1967

hä jpg Recovery alle schreiben es aber prog nicht gefunden das ist doch schon in jpg snoop drin also hab gestern bei meine bekannten die bilder wieder hergestellt von ca120 bilder sind ca60 bilder ok der rest müll.eigenartig die bilder die ich sehen konnte die waren platt.naja rechner neu gemacht es läuft

Hayho, hab mich jetzt mal bis hierher vorgekämpft und folgende Situation:
• Email-Trojaner, Email und Trojaner mittlerweile futsch.
• PC bereinigt
• Bilder (wichtig), Filme (unwichtig) verschlüsselt.
• Namen unverändert, Header anscheinend beschädigt (werden nicht als Bilder erkannt)
• Schattenkopien gibbet nicht
• JPEGSnoop kann einige sehr kleine Vorschaubilder wiederherstellen
• JPEG Recovery 5 bekäm so ~50-70% wieder hin

meine Fragen an der Stelle:
1. Gibts ne kostengünstigere Alternative zu recovery 5? 50-60 Mücken sind n bisschen krass, dafür dass ich nur knapp über die hälfte wieder fresh bekomme.
2. Warum kann man denn keinen Schlüssel raus bekommen wenn man genug dateien mit originalen hat und die Dateien dann entschlüsseln? Bei der 3K Variante solls doch auch gehen.

Zu 1:
Legal, und nur darüber reden wir hier, eher nicht.

Zu 2:
Weil jede Datei mit einem eigenen, zufällig generierten Namen versehen und jede Datei mit einem eigenen, zufällig generierten Schlüssel verschlüsselt wurde.
Alle Namen und Schlüssel befinden sich in einer Datei *.$02 im Temp-Verzeichnis.
Diese Datei ist verschlüsselt und der Schlüssel liegt irgendwo auf einem Server im Web, wenn er überhaupt gespeichert wird.
Der Schlüssel hat mindestens eine Länge von 30 Zeichen, wobei 31 Zeichenvarianten möglich sind.
Daraus ergeben sich 30^31 = 5,5*10^44 Kombinationen.

Nehmen wir mal an, dass eine Brute-Force Routine in einer Millisekunde prüft, ob das Passwort richtig ist oder nicht, dann müsste man 5,5*10^44/(1000*3600*24*365) = 1,7*10^34 Jahre warten bis alle Passwörter durchprobiert sind.

Mal als Vergleich, unser Universum ist 1,4*10^9 Jahre alt.

Volker

Hallo Undertaker.

Hast du meine Bilder schon bekommen?
Oder ist nix angekommen, dann versuche ich es nochmal.

Schöne Grüße

Marcel

Also ich habe die Tage auch 3x solch eine E-Mail bekommen. Habe diese auch schon weiter an dieses Forum geleitet. War heute bei der Polizei. Die nehmen keine Anzeigen entgegen. Habe daber ein Blatt bekommen wo jeder betroffene seine empfangene E-Mail weiterleiten kann. Siehe Link. hxxp://www.lupodriver.de/Trojaner Polizei.jpg

Kurze Frage, der Laptop meiner Mutter ist/war auch mit den Verschlüsselungstrojaner verseucht. Der ist jetzt mal weg...

Die Bilder sind noch am Laptop - ich würde den laptop gerne neu aufsetzen und die verschlüsselten Bilder die im Format seoudaAgxDnJfXyNte sind auf einen Stick kopieren.. Hab ich mit dieser Methode weniger Chancen das ganze wiederherzustellen als wenn ich die Entschlüsselung am laptop durchführe?

Betriebssystem ist Windows XP... thx und sorry, sollte ich diese Frage überlesen haben. Danke

Ist die Systemwiederherstellung aus? Falls nicht, setz ihn mal ein paar Tage zurück, damit habe ich einen XP Rechner mal retten können. Habe dann die Dateien gesichert und den Rechner neu aufgesetzt.

@Undertaker

Erst Hilfe ankündigen, dann nix von sich hören lassen. (fast zwei Wochen, danach aber noch Fragen von anderen beantwortet, also noch aktiv).

Danke für nix

Sorry Marcel,
hatte ich ganz aus den Augen verloren.
Deine vier Bilder habe ich am 16.7. erhalten und gleich über JPEG-Recovery geschickt.
Durch ein Versicherungsproblem wegen eines Kfz-Schadens bin ich nicht gleich zu einer Antwort gekommen und habe es dann aus den Augen verloren.
Fazit:
Obwohl Deine Bilder um die 1,5MB groß sind, werden sie leider nicht erkannt.
Ich konnte keines rekonstruieren.
Entschuldige, normalerweise passiert mir das nicht, aber auch ich bin fehlbar.

Gruß Volker

@ undertaker :

ich habe die vollversion von jpg recovery jetzt auch und mir ist aufgefallen dass ich die bilder aus dem jahre 2004 nicht retten kann der kann nichts wiederherstellen aber alle bilder aus dem jahre 2005 schon....liegt bestimmt daran was du hier schon erzählt hast je kleiner die datei desto schwieriger ist es sie zu retten quasi ????

schade das waren erinnerings bilder die kann ich ja wohl löschen...

Hallo !

Habe mir dieses Programm auch besorgt .. allerdings noch nicht die Vollversion ! Ich schaffe es nicht mal dein Beispielbild wiederherzustellen.

Bekomme immer nur 160x120 raus !

An was kann dies liegen ?

Grüße
Milles

Hallo Leute,

ich habe dies hier gelesen und auch schon eine direkte Anfrage an Forrest geschickt. Leider war er aber seit Juni nicht mehr aktiv.

Hat sonst noch wer ne Möglichkeit Bilder wiederherzustellen?

Weiterhin möchte ich nachfragen, ob es neue Erkenntnisse in Entschlüsselung der anderen Dateien gibt, außer hier aufgezählt. Wie sieht es aus mit dem Widerherstellen der Dateinamen?

Irgendwas neues?

Vielen Dank für eure Hilfe.

Gruß

Marcus

Hallo Marcus,
um wieviele Bilder geht es denn?
Die Wiederherstellung der Dateinamen ist grundsätzlich möglich.

Siehe hier und den nachfolgenden Postings:

http://www.trojaner-board.de/115183-...tml#post876830

Volker

Morgen!

Verfolge das Thema schon seit Monaten, da auch ich mich Anfang Mai mit dem Trojaner infiziert habe.
Dank eurer Hilfe konnte ich einen Großteil meiner Pics mittels JPEG-Recovery wiederherstellen :-)

Bei Fotos von einer bestimmten Kamera jedoch funktioniert es nicht. Ich konnte von mehreren hundert Fotos nur eines wiederherstellen.

Hat jemand eine Idee, wie ich weiter vorgehen könnte?

LieGrü

Hallo zusammen,

ich habe mir bereits die Recovery Toolbox für PDF zugelegt und schon ein paar Dokumente 100% wiederhergestellt. Allerdings besitze ich ungefähr 10000 PDFs ;) Gibt es einen Weg das ganze automatisch zu machen? Jedes Dokument einzeln ist etwas zeitaufwändig.

Außerdem befinden sich zwischen den PDFs einzelne andere Datei-Typen (Excel, Word, etc.). Wie kann ich denn heraus finden welchen Typ die verschlüsselte Datei angehört?

Grüße

Hallo

Ich habe ein Problem. Ich vermute das ich mit Deinem Tool:
] team.winfuture.de/to_webmaster/files/JPEGsnoop-bin.zip
mein Problem mit meinen Files lösen könnte. Nur ich schaffe es nicht das File downzuloaden. Ich kann weder einen Link finden noch finde ich es sonst wo.
Könntest Du mir weiterhelfen oder mir das File senden?

Vielen Dank für eine Antwort und viele Grüsse

Jay-Dee

Hallo Jay-Dee,
eben habe ich den Download von JPEGSnoop über team.winfuture.de/to_webmaster/files/JPEGsnoop-bin.zip erfolgreich durchführen können.

Volker

Hey Undertaker

Herzlichen Dank! Werde das Tool heute ausprobieren. Melde mich dann hier mit dem Resultat. Bin gespannt. Habe einen Berg an Dateien durch diesen Trojaner unbrauchbar auf meinem PC.

Viele Grüsse

Jay-Dee

Hallo Undertaker

Habe das Tool versucht und es funktioniert! Komischerweise haben die Files nun aber eine Grösse von ca. 12kB. Die alten Dateien waren wesentlich grösser. Mache ich ein Einstellfehler?

Aber super! Vielen herzlichen Dank an der Stelle!

Jay-Dee

Hört sich schwer nach Thumbnails als Ergebnis an.

moin moin,
man kann da nichts falsch machen.
Du kannst ja mal JPEG-Recovery als Testversion runterladen und damit versuchen die Dateien wiederherzustellen.
Gazu mußt Du aber an die verschlüsselten Dateien die Extension JPG anhängen.
Falls da nichts besseres gefunden wird, sind wahrscheinlich tatsächlich nur die Vorschaubilder zu rekonstruieren.

Volker

Morgen zusammen,

gibts es ein Tool was ein Ordner mit z.B. 500 mit Bildern komplett auf jpg. umbennent? kennt jemand etwas?

Danke und Gruß
Slimerinho

Klar gibt es solche Tools.
Beispielsweise macht das der Total Commander oder die Freeware SmartRename.
SmartRename läuft ohne Installation und ohne irgendwelche Änderung an der Registry.

SmartRename

google mal nach Mehrfachumbenennen.

Außerdem geht das auch auf Kommandoebene.
Der alte DOS-Befehl rename funktioniert immer noch.

RENAME [Laufwerk:][Pfad]Dateiname1 Dateiname2
REN [Laufwerk:][Pfad]Dateiname1 Dateiname2

Öffne mit AUSFÜHREN --> cmd ein Konsolenfenster.
Gehe mit cd in den Pfad mit den Dateien die umbenannt werden sollen.
Tippe den Befehl ren *.* *.jpg ein.
Beispiel:
D:\Bilder> ren *.* *.jpg ---> alle Dateien unter D:\Bilder erhalten die Endung JPG

Oder tippe den Befehl wie oben mit dem kompletten Pfad ein, falls Du nicht mit cd den Pfad wechseln willst.
Beispiel:
C:\Users\Undertaker> ren D:\Bilder\*.* *.jpg ---> alle Dateien unter D:\Bilder erhalten die Endung JPG

Ist doch ganz einfach, oder?

Und, mit den grundlegenden Kommandobefehlen sollte sich jeder auseinandersetzen, das ist oft sehr hilfreich.

Volker

Vielen Dank für die rasche Antwort, du hast mir echt weitergeholfen.
Super Job den Ihr hier leistet RESPEKT!!!

Gruß
Slimerinho

Hatte heute eine Kundin (Win7) die sich diesen Trojaner eingefangen hat. Also nicht nur der BKA-Krampf sondern auch eine Verschlüßelung sämtlicher privaten Dateien. Folgendes habe ich dann unternommen:

- msconfig --> Um das BKA Bild zu deaktivieren
- regedit --> die ausgeschaltete Datei suchen und löschen
- DE-cleaner --> nur Win Partition ist ausreichend
- System neu starten und die eigenen Dateien überprüfen

wenn überprüft, dann einfach sehen welche Verschlüßelung vorliegt, im heutigen Fall wurde der Name komplett aufgelöst und zufällig Alphanumerisch neu generiert.
Endungen einfach hinzufügen funktionierte nicht.
DecryptHelper hat ebenfalls nicht funktioniert.
Am einfachsten war es den Ordner auf eine vorherige Version zurück zusetzen nun waren alle Bilder/Doc/Tabellen usw. wieder da zusätzlich noch die verschlüßelten Dateien. Nur noch die verschlüßelten Dateien überprüfen (Anzahl vergleichen) und anschließend löschen - Fertig!

hi
seit wann hat der d-cleaner, oder überhaupt irgendein av programm ne 100 %ige erkennungsrate? eine manuelle analyse ist nötig.
unter vista /win7 kannst du auch den shadow explorer nutzen, dann musst du nicht jeden einzelnen ordner wiederherstellen :-)

Outlook Express 6 Adressbücher im WAB Format gehen auch noch ziemlich gut, wenn die Datei groß genug war.

z.B. mit diesem Programm hxxp://www.diskinternals.com/files/WAB_Recovery.exe

=========================

Jemand eine Idee, wie man an zerstörte Norton Ghost 2003 Images noch ran kommt?

Mit dem Ghostexplorer und den Corrupt und noindex schaltern geht nichts, auch nicht mit dem ominösen ghofixup.

Ich frage mich nur wie eine Image-Datei befallen werden kann. Man macht doch auch genau für so etwas (im weiteren Sinn) ein Image und lagert es sicher (= logisch und physisch getrennt).

Ein bisschen mehr Fantasie bitte... fehlt nur noch der Hinweis das es mit Linux nicht passiert wäre :pfeiff:

Hallo, ich hab JPGSnoop auch probiert, er stellt mir zwar die Dateien wieder her, aber ca. 1/3 des Bildes ist dann nur mit grauen Pixeln belegt. Scheint bisher bei allen zu sein, die ich versuchte wiederherzustellen.

Auch wenn ich den Dateien (z.B.: QWkmxldwe) die jpg-Endung verpaße, das Ergebnis ändert sich nicht.

Gibt es hier noch eine andere Möglichkeit, damit ich die Bilder ganz herstellen kann?

Hey, es klappt, danke für den Tipp mit JPEG-Snoop :)

Achso, kann man nicht auch irgendwie mehrere Bilder gleichzeitig bearbeiten?

Hallo,

erstmal vielen Dank für die bisherige Hilfe.

Ich habe mich jetzt mal wieder seit langem mit dem Problem auseinandergesetzt.

Beim Durchlauf der codiereten Dateien mit JPEGsnoop können die Bilder "wiederhergestellt" werden, nur leider sind sie viel zu klein.

Meine jetzigen Fragen:
liegt es an irgendeiner speziellen Einstellung die ich verpasst habe?

Ist JPEG recovery ein anderes Programm und könnte mir das evtl. Helfen die Datein auch größer wieder zu bekommen?.

Über Hilfe bin ich sehr dankbar.

Gruß, Scepi

moin moin Scepi,
ja, JPEG-Recovery ist ein anders Programm.
Möglicherweise ist es in der Lage, Daten in besserer Auflöung wiederherzustellen.
Das ist abhängig von der Dateigröße und den gespeicherten EXIF Informationen.

Als PN sende ich Dir eine Adresse, an die Du einige verschlüsselte JPG-Dateien senden kannst.
Ich schau mal was sich retten lässt und Du kannst dann entscheiden, ob Du Dir das Tool zulegen möchtest.

Gruß Undertaker

moin moin Scepi,
nach Rekonstruktion der drei Testfiles mit einer Auflösung von 2048x1536 pix, sollten Deine Bilder mit JPEG-Recovery restaurierbar sein.
Ob das für alle Bilder zutrifft, kann ich natürlich nicht garantieren.

Undertaker

hallo,meine fotos habe ich größtenteils wiederherstellen können.mein problem sind videos,die ich mit meiner kamera und dem handy gemacht habe.sind glaube ich avi und 3gp dateien.gibt es dafür auch ein tool?
danke+liebe grüße,corinna

Wie heißen denn die Videos jetzt?

Und vor allem: Schon mal über ein Backup nachgedacht? In die gleiche Falle sollte man/frau nur einmal tappen.

die videos heissen zu beispiel:
apTgeupNDvaOeuprD

also irgendne wilde reihenfolge von buchstaben.
was meinst du mit backup?
ich bin nicht sooooo vertraut mit dem pc umgang :pfeiff:

OK, die mit überschriebenem Header.

Was man versuchen könnte: Eine kaputte Datei an eine korrekte dran kopieren (copy /B ...) und dann mit einem Schneidewerkzeug hoffen, dass man den Rest der Datei wieder herausschneiden und speichern könnte.

Sollte bei mpeg2 klappen, aber in avi kann ja alles drinstecken.

Probiert habe ich das unter Windows noch nicht, musst halt googeln, fertige Anleitungen für so was gibt es nicht.

Und für die Zukunft: Datensicherung! Wer das jetzt nicht macht, dem ist wirklich nicht mehr zu helfen!

Hallo miteinader,

Ich hatte heute auch ein Verschlüsselungs-Trojaner. Habe ihn mit hilfe von HitmanPro beseitigen können.

Leider sind aber alll meine daten ohne Endungen. Z.B(GAVXGDDToQUdrQt)
Ich habe sehr viele .pdf die ich zum arbeiten brauche auf dem rechner und nicht von allen ein Backup.

Ich weiss echt nicht weiter, wäre sehr dankbar wenn mir da jemand aus der Patsche helfen könnte.

Beste Grüsse

Fabiano

dann lies bitte post1 dieses threads.
wenn du verdächtige mails mit anhängen bekommst, bzw links, leite sie mir bitte, wie im Link in meiner Signatur beschrieben, weiter.

Hallo,
auch bei uns hat ein Trojaner (Trojan.Win32.Yakes.bshd, Trojan.Win32.Bublik.abyj) aus allen Bildern, Docs, Pdfs, Mp3s, etc. nur noch Datein ohne Endungen gemacht. Die Email habe ich an euch weitergeleitet, die hier im Thread genannten Programme habe ich alle ausprobiert.
ShadowExplorer läuft leider unter XP nicht. Die Möglichkeit nach Schattenkopien zu suchen fällt daher weg.
Mit JPEGsnoop konnte ich cirka 100 von 3000 Bildern, die in weiteren Unterordnern sortiert sind, recovern. Die Auswahl der wiederhergestellten Bilder erscheint zufällig. Das gibt mir zunächst einmal Hoffnung, dass die Bilder wieder zurückzubekommen sind.
Irgendwie müsste man daran ja anknüpfen können. Habt ihr Tipps, wie ich die weiteren Bilder recovern kann? Vielen Dank.:daumenhoc

hi
lies dengesammten Thread, da stehen alle tools die wir haben.
wenn die Bilder so wichtig ist, solltest du dir jpg recovery kaufen, ist, so weit ich weis, nur ne testversion

moin Drummer,
bei den JEPG-Dateien kommt es auf die Größe an und inwieweit Exif-Daten in der Datei gespeichert wurden.
In der Regel werden mit neueren Kameras aufgenommene Bilder in der Auflösung hoch genug sein und mit Exif-Daten abgespeichert, so dass eine Rekonstruktion mit JPG-Recovery eher wahrscheinlich ist als Bilder von WebCams oder alten Kameras.

Deine MP3s sollten aufgrund ihrer Dateistruktur durch bloßes Anfügen der Endung .mp3 wiedergabefähig sein.
Umbenennen mußt Du sie dann aber einzeln, wenn Du sie abhörst und den Titel kennst.

Bei PDFs und DOCs sieht es weniger gut aus.
Lies dazu die Beiträge unter http://www.trojaner-board.de/116851-...strojaner.html oder nutze den Link unter Datenrettung.

Undertaker

Hallo, ich habe jetzt den ganzen Thread gelesen und alles versucht. Die Software JPGSnoop hat bei mir nicht geholfen. Aber bin dann über google auf diese hier gestoßen VG JPEG-Repair Online. Die Software konnte mein Bild wiederherstellen, allerdings war es dann Online und eine Testversion, da war nämlich über das ganze Bild ein Schriftzug von der Homepage. Kann sich jemand mal bitte die Software anschauen und mir sagen wo ich eine ähnliche kostenlose Version finden kann? Vielen Dank im Voraus.

Der nächste ohne Backup? Gäbe es sowas, stände es hier. Entweder ist es dir das Geld wert, oder halt nicht.

Ich möchte an dieser Stelle nochmals explizit auf meine Anleitung unter http://www.trojaner-board.de/116851-...tml#post851585 hinweisen. Sie könnte euch beim Retten einiger eurer Dateien durchaus helfen. Bitte lest sie sehr genau und komplett durch! Unter http://www.trojaner-board.de/117921-...tml#post851418 auf Seite zwei findet ihr zudem eine Einführung zu meiner Anleitung. Falls etwas bei meiner Anleitung unklar ist oder ihr noch mehr Hilfe braucht, könnt ihr dort eure Fragen posten.

Bei JPEG Recovery (Siehe Download-Link in der Anleitung) ist das Umbenennen defekter Bilddateien in "<Dateiname>.jpg" für die Reparatur nötig, damit das Programm die Dateien richtig erkennt!
Sollten bei der Rekonstruktion zudem Fehler bezüglich Speicherverletzung (Segmentation fault, o. Ä.) auftauchen oder das Programm sogar ohne Meldung abstürzen, dann müsst ihr die Bilddateien entfernen, die dies verursachen. (Das Programm schaut sich in einem solchen Fehlerfall leider die restlichen Dateien scheinbar nicht an.) Am einfachsten nehmt ihr dazu eine immer kleinere Auswahl an Dateien in einen separaten Ordner und versucht diese Auswahl ohne Fehlermeldung wiederherzustellen.

Des weiteren möchte ich euch vor allem die folgenden zwei Posts als Tipp geben:
Post 1 und
Post 2


In der Anleitung versuchte ich so gut wie möglich auf die einzelnen Dateitypen einzugehen und vor allem darauf was nach der drastischen Beschädigung durch den 12 KiB Trojaner noch zu retten sein könnte.

Viel Erfolg bei der Datenrettung,
c4enigma

hi.. wie kann ich denn die datei downloaden?

Na gott sei dank gehts hier ja nur um eine Datei im gesammten Thread, deswegen kann man mit deiner Aussage ja so viel anfangen :d
musst schon ein wenig genauer werden, sonst wird das nichts

Das kommt drauf an wie der Anbieter seinen Downlad bereit stellt.
Per Browser, per FTP oder P2P, da gibt es viele Möglichkeiten.
Von wem willst Du denn welche Datei downloaden?

Hi Leute ...

das Problem ist zwar schon etwas älter, aber vielleicht kann mir jemand helfen.

Ich habe vor kurzem einen USB Stick erhalten welcher den 12kb Verschlüsselungstrojaner drauf hat. (wirre buchstabenkombi ohne .endung)


Ich habe mich schon durch den kompletten Thread gelesen jedoch keine Lösung gefunden. :headbang:

Die Bilder haben auf dem Stick eine größe von 2,5MB ... wenn ich aber mit JPEG Recovery Pro arbeite, legt er mir nur die Thumbnails von 120x160 (5KB) an. Kann mir bitte jemand helfen das ich die Files komplett wiederherstellen kann?


Danke für die Antwort.

LG
Chris

Das Programm ist ja auch keine Freeware, sondern musst du kaufen... => Daten retten nach Verschlüsselungstrojaner

ich habe die Vollversion und trotzdem kommen nur die kleinen Bilder raus ...

Sry da kann ich leider nix zu sagen, dachte du hast nur die Testversion :(

Hallo Leute!

Sowas für unsere 12KB Verschlüsselungsversion wäre ja genial oder?
https://noransom.kaspersky.com/

Ist mit sowas nochmal zu rechnen oder sind meine daten endgültig verloren?

Grüße

Hiho.
Ich wollte mal wieder nachfragen, ob es über die Jahre zu der 12KB Version schon irgendwo in den teifen des Netzes eine Lösung gibt?

Selber prüfen --> https://id-ransomware.malwarehuntert...php?lang=de_DE

ok danke, versch files hab ich zuhauf, aber eine .txt mit der lösgeldforderung nicht.
Hab sogar die übeltäterdateien selver damals extrahiert also din BIN$ usw.
Hab die 12KB Variante, danke dennoch, schade

ja und? :wtf:
Lad doch einfach ein Sample ohne den Text der Lösegeldforderung hoch, einfach mal probieren.

geht nicht, er erkennts nicht nur mit der verschlüsselten datei

Man kann nur hoffen, dass du jetzt vernünftige Backups machst. Es kann doch nicht wahr sein, dass du aolch ach so wichtigen Daten nach 5 Jahren wiederhaben willst diese aber nicht vernünftig gesichert wurden.

Du kannst nur noch probieren ob die gängigen Entschlüsselungstools was bringen --> No More Ransom: 15 neue Entschlüsselungstools veröffentlicht - PC Magazin

Wenn nicht hast du Pech gehabt.