Verschlüsselte Dateien (Vermutlich Trojaner)

Dieses Thema im Forum "Viren, Trojaner & Malware" wurde erstellt von Malakai, 4. August 2012 .

  1. 4. August 2012
    Moin zusammen,
    habe da ein Problem.
    Ein Bekannter hat mir vor ein paar Tagen 3 Usb-sticks a 8GB (alle fast randvoll) mit Bildern gegeben. Seine Auskunft war das er einen Trojaner gehabt hatte und die Bilder abgeändert wurden, das er sie nich mehr öffnen kann. Nu versuch ich die Dateien wiederherzustellen. Habe dabei mehrere Probleme.

    1. Das System von dem die Dateien stammen wurde bereits neu Installiert. Heisst ich habe nur die Bilddateien selbst. Daran kann man leider nichts mehr ändern. Jetzt ist es nur so das ich nich weiss, welcher Trojaner das gewesen sein soll. Und wie ich die Dateien nun widerherstellen kann.
    Die Frage ist also welcher Trojaner bennent die Dateien wie folgt um (Und verschluesselt diese?) ?(
    5 Beispielnamen:
    1.AevtANTnslNUnuD
    2.aJsJEVgeGEpOqGQpdqlu
    3.aNDrUnulqUXuGyOpoGsOf
    4.xupEGsgfoJsAfa
    5.XoGQXUylQnUrltLarAsJT

    Falls hier schon gleich jemand einen Rat weiss - immer her damit
    Achja, die Dateien haben wirklich keine Dateiendungen mehr. Die Standardtricks wie Dateiendungen hinzuzufügen habe ich auch bereits versucht.

    2. Hat jemand erfahrungen mit dem Programm JPEG Recovery - Recover corrupted JPEG Picture after Data Recovery Processing
    Konnte damit zumindest nen halben Gigabyte wiederherstellen. Wovon aber über die hälfte müll ist weil es nur Thumbnails waren. Aber immerhin wurden einige Bilder zumindest halbwegs brauchbar wiederhergestellt. Das Wasserzeichen wird ja angeblich bei der Vollversion bzw Pro-Version entfernt. Meine Frage ist da nur ob die Pro-Version auch genauer arbeitet. Einige der bearbeiteten Bilder haben nun Graue Balken. Leider habe ich keine Ahnung von den Originalbildern. Aber ich glaube nicht das der Balken normal ist.

    3. Allgemeine Frage: Gibt es Programme die im Allgemeinen für sowas erstellt wurden und ich bin einfach nur zu dämlich um sie zu finden?

    Ich glaub ich brauchs nich erwähnen, würd mich über jeden Rat freuen
    Aber das wichtigste is wohl erstmal herauszubekommen um was genau es sich handelt. Es ist halt nur leider der Fall das der Bekannte sich den namen nicht gemerkt hat und was mich am meisten stoert das er die Festplatte bereits gereinigt und neu aufgesetzt hat. Also das BS. Heisst ja auch ich könnte nichmal etwas mittels Shadowcopy oder ähnlichen veruschen. *Grumsel*

    In jedemfall schonmal Danke im Voraus.
     
  2. 4. August 2012
    Zuletzt bearbeitet: 4. August 2012
    AW: Verschlüsselte Dateien (Vermutlich Trojaner)

    Hallo!
    Das dürfte einer dieser BKA-GEMA-GEZ viren (Ransomware - Erpressersoftware) gewesen sein, die momentan stark im Umlauf sind.
    Die sperren den Bildschirm des Pc's mit einem Screen und fordern dazu auf, eine Überweisung
    von 100EUR via Ukash zu machen.

    Ich habe bis jetzt 3 Varianten von dem Teil kennengelernt.

    Variante 1: Sperrt nur den Screen
    Variante 2:
    Sperrt den Screen, verschlüsselt die 1. 4kbyte jeder datei und benennt die daten nach "locked-originaldateiname.originalendung.cyz" um.
    Lässt sich mit diversen tools von Avira und Co wiederherstellen, WENN eine originale Datei vorhanden ist.
    Geht z.B. gut mit den Windows beispielbildern, die hat man ja auf anderen Pc's im "original". Aus original und verschlüsseltem lässt sich dann ein Key errechnen, mit dem mal alles entschlüsseln kann.

    Variante 3:
    Quasi die "extremere" Variante 2. Mein letzter Standpunkt war, dass es dafür noch keine Lösung gibt. Ist allerdings schon einige Wochen her und falls es da was geben sollte, wäre es gut, wenn sich dazu jemand hier äußert. Im Trojaner-Board gibts dazu auch irgendwo nen Thread.

    //EDIT:
    BKA Trojaner - Verschlüsselte Dateien wiederherstellen - computer.daten.netze :: feenders.de - berlin-kreuzberg
    Auch dort nachzulesen, vor allem die blaue Box mit dem Update vom 1. Juni...
    Sieht schlecht aus.
     
  3. 4. August 2012
    AW: Verschlüsselte Dateien (Vermutlich Trojaner)

    Hm, klingt ungut.
    Trotzallem danke.
    Ich geister noch ein bisken durchs Netz. Vllt hat sich ja was getan.
    In jedem fall wird das spaeter kein erfreulicher anruf.
    Falls ich noch was anderes finde schreib ichs hier mit nieder.
     
  4. 4. August 2012
    Zuletzt von einem Moderator bearbeitet: 5. August 2012
    AW: Verschlüsselte Dateien (Vermutlich Trojaner)

    kleine info nebenbei.. habe dieses Problem jetzt bei mehreren PCs gesehen... Ist tatsächlich ein "Erpresser-Trojaner" weitere Infos findet man auf Trojaner-Board - Viren und Trojaner entfernen - kostenlos (@Mods: soll keine Werbung, sondern ein Hinweiß sein. Danke )

    Gruß Dragon12
     
  5. 6. August 2012
    AW: Verschlüsselte Dateien (Vermutlich Trojaner)

    wenn es der gema / bka trojaner ist, dann dürfte das interessant sein:

    Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Seite 7 - Trojaner-Board

    du brauchst das tool,

    1x unverschlüsselte original datei (backup von irgendwoher)
    1x verschlüsselte datei.

    mit dem prog kannste dir einen schlüssel machen mit dem du die anderen dateien alle entschlüsseln kannst.
     
  6. 6. August 2012
    AW: Verschlüsselte Dateien (Vermutlich Trojaner)

    Das Tool funktioniert nur mit Variante 2, die ich oben beschrieben habe. Er hat aber Variante 3...
    Variante 3 nutzt einen anderen Verschlüsselungsalgorithmus bzw produziert nur Datenmüll.
     
  7. 7. August 2012
    AW: Verschlüsselte Dateien (Vermutlich Trojaner)

    Ist zwar OT aber dennoch würde ich gerne dafür 'ne Antwort haben, auch gerne per PN.

    Die Datei kann man nur mit Hilfe einer orginal Datei entschlüsseln?! Ist das nicht sinnlos? Wenn man die original Datei hat ist die verschlüsselte Datei doch total egal. Kann man ja einfach neu kopieren. Klingt für mich total absurd. ^^
     
  8. 7. August 2012
    AW: Verschlüsselte Dateien (Vermutlich Trojaner)

    wenn dein pc befallen ist und du kein backup davor gemacht hast, aber zb ein bild, lied oder dokument auf nem anderen stick hast und du damit deine nicht gesicherten daten retten kannst is doch gut. oder sicherst du jede neue erstelle, runtergeladene datei?
     
  9. 7. August 2012
    AW: Verschlüsselte Dateien (Vermutlich Trojaner)

    So wie michi es beschrieben hat

    Es reichen ja auch schon die Windows-beispiel-Bilder. Die hat normalerweise jeder PC drauf, es seidenn man löscht sie (war bei mir der Fall ).

    Die gibts nämlich überall zu downloaden und zack kannste den Schlüssel berechnen und alles entschlüsseln. Das geht alles ruckzuck, weil immer nur die 1. 4kb jeder Datei verschlüsselt werden. Aber das reicht halt, weil man mit den Daten dann nix mehr anfangen kann.
     
  10. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.