Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Dateien nach Verschlüsselungstrojaner nicht mehr zu öffnen (https://www.trojaner-board.de/131595-dateien-verschluesselungstrojaner-mehr-oeffnen.html)

Noname111 26.02.2013 22:39
Dateien nach Verschlüsselungstrojaner nicht mehr zu öffnen
 
Hallo,

hoffe hier kann mir jemand helfen. Bin den ganzen Tag im web auf der Suche nach meinem Problem:
Arbeite beruflich an einem Windows 7 Professional System.
Nach dem ich mein Bildschirm aus dem Ruhemodus aufgeweckt habe, hat mich das bekannte Erpresserfenster begrüßt. Mit starten im abgesicherten Modus und Systemwiederherstellung kam ich wieder normal ins Windows rein, habe jedoch mit Entsetzen festgestellt, dass ALLE meine Dateien in ein Buchstabensalat umgewandelt worden sind, wie z.B. "fUyUtxTQAavUjslgpe" :headbang:

Habe auch eine Backup, welches leider bereits 3 Monate alt ist und seit dem sind etliche Dateien dazukommen.

Hab versucht eine Endung wie .jpg oder .pdf dranzuhängen => vergeblich.
Ich vermute es ist eins dieser Verfahren wo einige bytes drangehängt und gespeichert werden.

Mit Spybot und Malwarebytes hab ich dann zwar einiges gefunden aufm Rechner und bereits bereinigt.

Habe hier paar Tools ausprobiert z.B. den Kaspersky, der jedoch sagt, dass er die Verschlüsselung nicht kennt.:killpc:

Kann mir jemand weiterhelfen?
Die Daten sind mir sehr wichtig. Es handelt sich um mehrere PDFs, JPGs, DOCs, Excel-Datein....

Bin bei erfolgreicher Decodierung auch dem Helfer/ Forum zu einer kleinen Spende bereit. :heilig:

Vielen Dank im Voraus.

ryder 27.02.2013 00:24
Wir haben hier eine Anleitung:

http://www.trojaner-board.de/115496-...erstellen.html

Darüber hinaus haben die Kollegen festgestellt, dass die verschlüsselten Dateien definitiv nicht zu entschlüsseln sind.

Noname111 27.02.2013 09:30
Liste der Anhänge anzeigen (Anzahl: 1)
Hey ryder,

vielen Dank für die schnelle Antwort.
Allerdings ist nur C: im Shadow Explorer zu sehen.
Ich hab die meisten Dateien allerdings auf D: gespeichert. :crazy:

Anbei habe ich mal nach der genauen Größe der Datei geschaut.
links die verschlüsselte , rechts die original Datei (hab ich mal per Email verschickt)
Zu meiner Überraschung, sind beide auf den byte genau gleich groß. :wtf:
Habs auch geguckt ob es eine "Vorgängerversion" gibt. Negativ.

Handelt es sich nun doch um einen anderen Trojaner??
Gibt es doch eine Möglichkeit?
:dankeschoen:

Undertaker 27.02.2013 10:03
Zitat:
Zitat von Noname111 (Beitrag 1020184)
Zu meiner Überraschung, sind beide auf den byte genau gleich groß. :wtf:
Das ist nicht überraschend.
Da der Trojaner lediglich die ersten 12kByte der Datei überschreibt und nichts anhängt, müssen die Dateien gleich groß sein.

Zitat:
Zitat von Noname111 (Beitrag 1020184)
Gibt es doch eine Möglichkeit?
:dankeschoen:
Bei der Wiederherstellung von JPG-Dateien habe ich die besten Erfahrungen mit JPEG-Recovery gemacht.
Zu EXCEL-Dateien lese meinen Beitrag hier:

http://www.trojaner-board.de/115183-...tml#post845552

Weitere Möglichkeiten findest Du unter dem Link Datenrettung --> HIER.
Suche auch mal in den Beiträgen von c4enigma und stöbere mal in den vielen Hinweisen dazu im Diskussionsforum.

Undertaker


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:45 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131