|
moin moin Sohn vom Vater, zuerst die Frage ob der Rechner nun noch infiziert ist oder war? Nächste Frage, welches Betriebssystem? Dann wäre noch interessant zu wissen, wie die verschlüsselten Dateien aussehen. Deine bisherigen Infos sind mehr als mager. Volker |
Hallo, also. Der Rechner ist mittlerweile nicht mehr infiziert. Es ist ein XP-Rechner und die Dateien sind alle gesperrt. Von jeder Datei gibt es eine locked-Dateiname.jpg.xyzx Variante und eine "ganz normale" ohne diesen locked Zusatz. Keine lässt sich mehr öffnen. Ich würde gerne die Bilder retten. Mit jpeg-snoop kann ich die Bilder wiederherstellen. Wie gesagt die Bildergröße ist aber winzig (120x160). Mit der Demoversion von JPEG Recovery Pro funktioniert die wiederherstellung recht gut ( nur kleine Fehler ab und an), mal abgesehen natürlich von dem Wasserzeichen. Mit diesen Entschlüsselungstools geht irgendwie gar nichts, daher die Frage ob jemand anderes das mal ausprobieren könnte? Könnte man mit so einem Entschlüsselungsprogramm auch Word-Dokumente etc. wiederherstellen? Unglaublich was mein alter Herr alles abgespeichert hat, ohne mal ein Backup davon zu machen. Naja.. darüber zu jammern bringt nun auch nichts. Grüße, Sohn vom Vater |
Zitat:
was Du schreibst ist sehr ungewöhnlich. War das von Anfang an so, dass beide Varianten vorhanden waren oder sind die "ganz normalen" erst von einem der Tools generiert worden? Woher hast Du die Originaldatei zur Bildung eines Dateipaares genommen? Wie sieht denn der Timestamp der Dateien aus? Ich meine von einer locked- Datei und der dazugehörigen "normalen". Zuerst würde ich alle Dateien sichern. Falls es tatsächlich so ist, dass die Dateien nach dem Muster locked-xxxxxxx.yyy.zzzz verschlüsselt wurden, hast Du gute Chancen. Suche nach Originaldateien, die als locked- Version vorliegen. Eventuell im Kameraspeicher, auf DVDs, Sticks oder als Mailanhang im Postausgang, die zur Oma gesendet wurden. Egal, woher auch immer Du Originale auftreiben kannst, je mehr desto besser. Volker |
Hallo Undertaker, also die "ganz normalen" Dateien scheinen wohl doch, wie du selber vermutet hast, von einem vorherigen Wiederherstellungsversuch zu sein. jedoch wohl ohne Erfolg. Mein Vater hat ein paar Original Bilder auf dem Speicher der Kamera gefunden. Die Dateigröße ist exakt dieselbe, das Datum nicht. Ich versuche es gleich nochmal mit den diversen Entschlüsselungsprogrammen.,.. edit: Das avira-Tool sagt z.b., dass das ausgewählte Paar nicht passt PandaUnRansom schreibt halt kryptische Sachen wie "entropy is not enough. (skiping)" Soll ich die Heizung anmachen, damit mehr Entropie herrscht ? lol Ich weiß et net.... |
Versuche es mal mit ScareUncrypt und forsche weiter nach Originalen. Volker |
Scareuncrypt "produziert" zwar Abbilder der locked-Dateien, die sind aber eben so wenig verwendbar. Wegen der Bilder, habe ich mir eben eine Lizenz gekauft. Mein alter Herr hat ca. 15 GB Foto`s. Die waren einfach zu wertvoll. Danke für die GHilfe soweit. Wenn ich was rausfinde melde ich mich ... Gruß edit: habe noch eine .doc datei gefunden... leider funktioniert das alles nicht..... |
Zitat:
Volker |
Servus Zusammen, ich soll jemandem Helfen seine Daten zu enschlüsseln. Vor einiger Zeit hatte ich einen ähnlichen Fall, dort waren die dateien mit dem bekannten locked versehen. Das Pro. wurde gelöst. Das folgende allerdings noch nicht. Infektion per E-Mail. Email nicht mehr vorhanden. Alle relevanten Daten auf der HDD wurden wohl verschlüsselt. XyVzDehDnkE Muster ... Bekannter wusste sich nicht zu Helfen. Hat seine geschrotten Datenbanken fürs Geschäft und ein paar PDFs im verschlüsselten Zustand aufgehoben. Rechner formatiert Windows frisch aufgespielt .. GAU. Ich habe den Rechner nun gescannt per R-Studio + Recuva Konnte ein paar verschlüsselte Beispielbilder und ein PDF unverschlüsselt wiederherstellen. Die Dateien sind im verschlüsselten sowie unverschlüsselten Zustand gleich groß. http://img839.imageshack.us/img839/5726/gleich.th.jpg hier mal eine verschlüsselte und ein Beispielbild. Evtl. kann mir hier ja jemand weiterhelfen. hxxp://www.file-upload.net/download-4537037/tulips-beispielbild.zip.html wie gesagt, es geht um das generieren eines Schlüssels dass die Datenbanken wiederhergestellt werden koennen. Vielen Dank schon mal |
Zitat:
daraus wird wohl nichts. Die Rekonstruktion mittels Dateipaaren funktioniert ausschließlich bei der Verschlüsselung der Form locked-[Dateiname].[Ext.].[Viersteller]. Diese Verschlüsselung betraf lediglich die ersten 3k der Datei. Wie Du schreibst sind die Dateien aber nach dem Muster XyVzDehDnkE verschlüsselt. Dabei handelt es sich um eine Verschlüsselung der ersten 12k jeder Datei. Eine Entschlüsselung scheidet damit aus. Bei dieser Verschlüsselungsvariante ist lediglich eine teilweise Rekonstruktion möglich. Erschwerend kommt in Deinem Fall hinzu, dass der Rechner neu aufgesetzt wurde und damit eine Rekonstruktion durch wiederherstellen von Schattenkopien ausscheidet. Was die Wiederherstellung der Datenbank betrifft, rate ich zuerst den Hersteller der Datenbankapplikation zu kontaktieren. Wahrscheinlich ist der effektivste Weg, die Daten aller Geschäftsvorgänge seit der letzten Sicherung neu einzugeben. Ansonsten bleiben nur die hier vorgestellten Möglichkeiten. Volker |
Hallo Undertaker, besitze einen Laptop mit Windows 7. Habe auch, den hier viel diskutierten, windows verschlüsselungs Trojaner auf meinem Laptop. Gehe zur Zeit nur im abgesicherten Modus rein. Es sind so gut wie ALLE Dateien (Fotos, Videos, Word,...) umbenannt. z.B. "lpvrTQLXseUuLEv" Am wichtigsten wären mir die Fotos. Könntest du bitte mit deinem JPEG Recovery Pro mal mit ein paar Bildern von mir rekonstruieren? Würde gerne wissen ob das bei mir funktioniert? Würde mir das Programm dann auch kaufen. Vielen Dank Gunter |
moin moin Gunter, ich schicke Dir eine PN mit einer Mailaddi, an die Du Testbilder senden kannst. Volker |
hey jungs und Mädels hab heute versucht jpg zu Reparieren, weil unter Datenrettung auch programme drauf sind. Hab ich den entsprechend runter geladen,und mir das Video angeschaut wegen Schattenkopie. Hab vorher die Daten die Z.b:AATTEESSTTEETTXY Datei sind in JPG umgeschrieben.Bei einigen seh ich unten die Bilder aber kann sie nicht öffnen.Hab mir von avira das Prog. geladen nur da passiert mal garnix.Hab versucht ein System Vision Wiederherstellung zu machen von den Bilder die Umgeschrieben habe in JPG konnte bis zur 1monat zurück gehen, 6.6.2012 kamm wieder die AATTEESSTTEETTXY Datei.wo ich auf Eigenschaft geklickt habe und Sytemvision Wiederherstellung zu suchen kamm nichts.jetzt Lese ich hier das ihr ein jpgscoopy habt, den mal ausprobieren, also wie es aussieht hat meine bekannte schon längere zeit den verschlüsslung mist drauf sie hat einen Ordner drauf gehabt namens IGIinst und IGIFX.wo ich heute nach gesucht habe war er weg.und gelöscht wurde er auch nicht von ihr. |
@Bombenjaeger, herzlichen Glückwunsch, nach 20 Beiträgern hast Du JPEGSnoop gefunden. Wenn Du unsere bisherige Hilfestellung auf Deine Beiträge nochmal eingehend auf Dich wirken lässt, dann findest Du eventuell auch JPEG Recovery. Immer am Ball bleiben. :daumenhoc Volker |
das war zufall das ich den gefunden habe.weil ich auf eine andere Diskutionsrunde war und der jenige ein link von diese seite gepostet hat.du weiß doch² auch ein blindes Huhn findet mal ein Korn":lach: |
Hallo Forest74, ich habe auch einige Bilder die verschlüsselt sind , das JPEG Rcovery Pro 5 erkennt bei mir aber keine Dateien Dayteuname:uNJJgQurrvOOurrvvOuQN. Was mache ich falsch. Kannst du mir helfen. Danke stitch_1967 |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 05:39 Uhr. |
Copyright ©2000-2025, Trojaner-Board