Viren, Trojaner & Malware

Malakai · 04.08.2012, 14:35

Moin zusammen,
habe da ein Problem.
Ein Bekannter hat mir vor ein paar Tagen 3 Usb-sticks a 8GB (alle fast randvoll) mit Bildern gegeben. Seine Auskunft war das er einen Trojaner gehabt hatte und die Bilder abgeändert wurden, das er sie nich mehr öffnen kann. Nu versuch ich die Dateien wiederherzustellen. Habe dabei mehrere Probleme.

1. Das System von dem die Dateien stammen wurde bereits neu Installiert. Heisst ich habe nur die Bilddateien selbst. Daran kann man leider nichts mehr ändern. Jetzt ist es nur so das ich nich weiss, welcher Trojaner das gewesen sein soll. Und wie ich die Dateien nun widerherstellen kann.
Die Frage ist also welcher Trojaner bennent die Dateien wie folgt um (Und verschluesselt diese?)

5 Beispielnamen:
1.AevtANTnslNUnuD
2.aJsJEVgeGEpOqGQpdqlu
3.aNDrUnulqUXuGyOpoGsOf
4.xupEGsgfoJsAfa
5.XoGQXUylQnUrltLarAsJT

Falls hier schon gleich jemand einen Rat weiss - immer her damit

Achja, die Dateien haben wirklich keine Dateiendungen mehr. Die Standardtricks wie Dateiendungen hinzuzufügen habe ich auch bereits versucht.

2. Hat jemand erfahrungen mit dem Programm http://www.hketech.com/JPEG-recovery/
Konnte damit zumindest nen halben Gigabyte wiederherstellen. Wovon aber über die hälfte müll ist weil es nur Thumbnails waren. Aber immerhin wurden einige Bilder zumindest halbwegs brauchbar wiederhergestellt. Das Wasserzeichen wird ja angeblich bei der Vollversion bzw Pro-Version entfernt. Meine Frage ist da nur ob die Pro-Version auch genauer arbeitet. Einige der bearbeiteten Bilder haben nun Graue Balken. Leider habe ich keine Ahnung von den Originalbildern. Aber ich glaube nicht das der Balken normal ist.

3. Allgemeine Frage: Gibt es Programme die im Allgemeinen für sowas erstellt wurden und ich bin einfach nur zu dämlich um sie zu finden?

Ich glaub ich brauchs nich erwähnen, würd mich über jeden Rat freuen

Aber das wichtigste is wohl erstmal herauszubekommen um was genau es sich handelt. Es ist halt nur leider der Fall das der Bekannte sich den namen nicht gemerkt hat und was mich am meisten stoert das er die Festplatte bereits gereinigt und neu aufgesetzt hat. Also das BS. Heisst ja auch ich könnte nichmal etwas mittels Shadowcopy oder ähnlichen veruschen. *Grumsel*

In jedemfall schonmal Danke im Voraus.

*mySQL* · 04.08.2012, 14:45

Hallo!
Das dürfte einer dieser BKA-GEMA-GEZ viren (Ransomware - Erpressersoftware) gewesen sein, die momentan stark im Umlauf sind.
Die sperren den Bildschirm des Pc's mit einem Screen und fordern dazu auf, eine Überweisung
von 100EUR via Ukash zu machen.

Ich habe bis jetzt 3 Varianten von dem Teil kennengelernt.

Variante 1: Sperrt nur den Screen
Variante 2:
Sperrt den Screen, verschlüsselt die 1. 4kbyte jeder datei und benennt die daten nach "locked-originaldateiname.originalendung.cyz" um.
Lässt sich mit diversen tools von Avira und Co wiederherstellen, WENN eine originale Datei vorhanden ist.
Geht z.B. gut mit den Windows beispielbildern, die hat man ja auf anderen Pc's im "original". Aus original und verschlüsseltem lässt sich dann ein Key errechnen, mit dem mal alles entschlüsseln kann.

Variante 3:
Quasi die "extremere" Variante 2. Mein letzter Standpunkt war, dass es dafür noch keine Lösung gibt. Ist allerdings schon einige Wochen her und falls es da was geben sollte, wäre es gut, wenn sich dazu jemand hier äußert. Im Trojaner-Board gibts dazu auch irgendwo nen Thread.

//EDIT:
http://www.feenders.de/ratgeber/expe...erstellen.html
Auch dort nachzulesen, vor allem die blaue Box mit dem Update vom 1. Juni...
Sieht schlecht aus.

Malakai · 04.08.2012, 16:28

Hm, klingt ungut.
Trotzallem danke.
Ich geister noch ein bisken durchs Netz. Vllt hat sich ja was getan.
In jedem fall wird das spaeter kein erfreulicher anruf.
Falls ich noch was anderes finde schreib ichs hier mit nieder.

*Dragon12* · 04.08.2012, 21:00

kleine info nebenbei.. habe dieses Problem jetzt bei mehreren PCs gesehen... Ist tatsächlich ein "Erpresser-Trojaner" weitere Infos findet man auf www.trojaner-board.de (@Mods: soll keine Werbung, sondern ein Hinweiß sein. Danke

)

Gruß Dragon12

Michi · 06.08.2012, 18:44

wenn es der gema / bka trojaner ist, dann dürfte das interessant sein:

http://www.trojaner-board.de/114115-...oftware-7.html

du brauchst das tool,

1x unverschlüsselte original datei (backup von irgendwoher)
1x verschlüsselte datei.

mit dem prog kannste dir einen schlüssel machen mit dem du die anderen dateien alle entschlüsseln kannst.

*mySQL* · 06.08.2012, 21:48

Zitat:

Zitat von Michi

wenn es der gema / bka trojaner ist, dann dürfte das interessant sein:

http://www.trojaner-board.de/114115-...oftware-7.html

du brauchst das tool,

1x unverschlüsselte original datei (backup von irgendwoher)
1x verschlüsselte datei.

mit dem prog kannste dir einen schlüssel machen mit dem du die anderen dateien alle entschlüsseln kannst.

Das Tool funktioniert nur mit Variante 2, die ich oben beschrieben habe. Er hat aber Variante 3...
Variante 3 nutzt einen anderen Verschlüsselungsalgorithmus bzw produziert nur Datenmüll.

Nosferatu · 07.08.2012, 11:51

Ist zwar OT aber dennoch würde ich gerne dafür 'ne Antwort haben, auch gerne per PN.

Die Datei kann man nur mit Hilfe einer orginal Datei entschlüsseln?! Ist das nicht sinnlos? Wenn man die original Datei hat ist die verschlüsselte Datei doch total egal. Kann man ja einfach neu kopieren. Klingt für mich total absurd. ^^

Michi · 07.08.2012, 12:01

Zitat:

Zitat von Nosferatu

Die Datei kann man nur mit Hilfe einer orginal Datei entschlüsseln?! Ist das nicht sinnlos? Wenn man die original Datei hat ist die verschlüsselte Datei doch total egal. Kann man ja einfach neu kopieren. Klingt für mich total absurd. ^^

wenn dein pc befallen ist und du kein backup davor gemacht hast, aber zb ein bild, lied oder dokument auf nem anderen stick hast und du damit deine nicht gesicherten daten retten kannst is doch gut. oder sicherst du jede neue erstelle, runtergeladene datei?

*mySQL* · 07.08.2012, 12:46

So wie michi es beschrieben hat

Es reichen ja auch schon die Windows-beispiel-Bilder. Die hat normalerweise jeder PC drauf, es seidenn man löscht sie (war bei mir der Fall

).

Die gibts nämlich überall zu downloaden und zack kannste den Schlüssel berechnen und alles entschlüsseln. Das geht alles ruckzuck, weil immer nur die 1. 4kb jeder Datei verschlüsselt werden. Aber das reicht halt, weil man mit den Daten dann nix mehr anfangen kann.

04.08.2012, 14:45	# 2
mySQL until it sleeps... Bewertung: Registriert seit: Aug 2005 Internet: DSL 6000 Beiträge: 4.372 Power: 47	Hallo! Das dürfte einer dieser BKA-GEMA-GEZ viren (Ransomware - Erpressersoftware) gewesen sein, die momentan stark im Umlauf sind. Die sperren den Bildschirm des Pc's mit einem Screen und fordern dazu auf, eine Überweisung von 100EUR via Ukash zu machen. Ich habe bis jetzt 3 Varianten von dem Teil kennengelernt. Variante 1: Sperrt nur den Screen Variante 2: Sperrt den Screen, verschlüsselt die 1. 4kbyte jeder datei und benennt die daten nach "locked-originaldateiname.originalendung.cyz" um. Lässt sich mit diversen tools von Avira und Co wiederherstellen, WENN eine originale Datei vorhanden ist. Geht z.B. gut mit den Windows beispielbildern, die hat man ja auf anderen Pc's im "original". Aus original und verschlüsseltem lässt sich dann ein Key errechnen, mit dem mal alles entschlüsseln kann. Variante 3: Quasi die "extremere" Variante 2. Mein letzter Standpunkt war, dass es dafür noch keine Lösung gibt. Ist allerdings schon einige Wochen her und falls es da was geben sollte, wäre es gut, wenn sich dazu jemand hier äußert. Im Trojaner-Board gibts dazu auch irgendwo nen Thread. //EDIT: http://www.feenders.de/ratgeber/expe...erstellen.html Auch dort nachzulesen, vor allem die blaue Box mit dem Update vom 1. Juni... Sieht schlecht aus. Geändert von mySQL (04.08.2012 um 14:51 Uhr).

04.08.2012, 21:00	# 4
Dragon12 Kabel Wurm Bewertung: Registriert seit: Jul 2006 Internet: DSL2 16K Beiträge: 1.002 Power: 22	kleine info nebenbei.. habe dieses Problem jetzt bei mehreren PCs gesehen... Ist tatsächlich ein "Erpresser-Trojaner" weitere Infos findet man auf www.trojaner-board.de (@Mods: soll keine Werbung, sondern ein Hinweiß sein. Danke ) Gruß Dragon12 <<-Esel sucht Str0, ihr habt welches? nur her damit!! gibt natürlich was back->> Geändert von Crack02 (05.08.2012 um 08:20 Uhr). Grund: pass scho. der hinweis auf trojanerboard kommt regelmäßig ^^

06.08.2012, 18:44	# 5
Michi Twice the Mega Power Bewertung: Registriert seit: Jan 2005 Beiträge: 7.187 Power: 67	wenn es der gema / bka trojaner ist, dann dürfte das interessant sein: http://www.trojaner-board.de/114115-...oftware-7.html du brauchst das tool, 1x unverschlüsselte original datei (backup von irgendwoher) 1x verschlüsselte datei. mit dem prog kannste dir einen schlüssel machen mit dem du die anderen dateien alle entschlüsseln kannst. cracked.com Scale of the Universe: Größenvergleiche im Weltraum + Teil 2

07.08.2012, 11:51	# 7
Nosferatu Kabel Wurm Bewertung: Registriert seit: Nov 2008 Internet: DSL 6000 Beiträge: 843 Power: 15	Ist zwar OT aber dennoch würde ich gerne dafür 'ne Antwort haben, auch gerne per PN. Die Datei kann man nur mit Hilfe einer orginal Datei entschlüsseln?! Ist das nicht sinnlos? Wenn man die original Datei hat ist die verschlüsselte Datei doch total egal. Kann man ja einfach neu kopieren. Klingt für mich total absurd. ^^ "Keiner ist so verrückt, dass er nicht einen noch Verrückteren findet, der ihn versteht." (Friedrich Nietzsche)

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Trojaner Blocker?(Ukash Trojaner blocken im Vorfeld?)	pinga	Sicherheit & Datenschutz	22	03.10.2012 13:19
[Windows 7] - Verschlüsselte XP-Dateien benutzbar machen?	minussrator	Windows	3	03.09.2012 11:09
Vermutlich LSD Flashback?	reguLat1on	Alltagsprobleme	9	02.01.2011 14:27
Trojaner kidnappt Dateien, verschlüsselt sie und erpresst User	Mr.X	Netzwelt News	6	17.03.2006 08:22
Wurmkur: Verschlüsselte Dateien retten	zwa3hnn	Netzwelt News	0	21.06.2005 16:42

04.08.2012, 14:35	# 1
Malakai Fleißiger Bewertung: Registriert seit: Nov 2006 Beiträge: 48 Power: 16	Moin zusammen, habe da ein Problem. Ein Bekannter hat mir vor ein paar Tagen 3 Usb-sticks a 8GB (alle fast randvoll) mit Bildern gegeben. Seine Auskunft war das er einen Trojaner gehabt hatte und die Bilder abgeändert wurden, das er sie nich mehr öffnen kann. Nu versuch ich die Dateien wiederherzustellen. Habe dabei mehrere Probleme. 1. Das System von dem die Dateien stammen wurde bereits neu Installiert. Heisst ich habe nur die Bilddateien selbst. Daran kann man leider nichts mehr ändern. Jetzt ist es nur so das ich nich weiss, welcher Trojaner das gewesen sein soll. Und wie ich die Dateien nun widerherstellen kann. Die Frage ist also welcher Trojaner bennent die Dateien wie folgt um (Und verschluesselt diese?) 5 Beispielnamen: 1.AevtANTnslNUnuD 2.aJsJEVgeGEpOqGQpdqlu 3.aNDrUnulqUXuGyOpoGsOf 4.xupEGsgfoJsAfa 5.XoGQXUylQnUrltLarAsJT Falls hier schon gleich jemand einen Rat weiss - immer her damit Achja, die Dateien haben wirklich keine Dateiendungen mehr. Die Standardtricks wie Dateiendungen hinzuzufügen habe ich auch bereits versucht. 2. Hat jemand erfahrungen mit dem Programm http://www.hketech.com/JPEG-recovery/ Konnte damit zumindest nen halben Gigabyte wiederherstellen. Wovon aber über die hälfte müll ist weil es nur Thumbnails waren. Aber immerhin wurden einige Bilder zumindest halbwegs brauchbar wiederhergestellt. Das Wasserzeichen wird ja angeblich bei der Vollversion bzw Pro-Version entfernt. Meine Frage ist da nur ob die Pro-Version auch genauer arbeitet. Einige der bearbeiteten Bilder haben nun Graue Balken. Leider habe ich keine Ahnung von den Originalbildern. Aber ich glaube nicht das der Balken normal ist. 3. Allgemeine Frage: Gibt es Programme die im Allgemeinen für sowas erstellt wurden und ich bin einfach nur zu dämlich um sie zu finden? Ich glaub ich brauchs nich erwähnen, würd mich über jeden Rat freuen Aber das wichtigste is wohl erstmal herauszubekommen um was genau es sich handelt. Es ist halt nur leider der Fall das der Bekannte sich den namen nicht gemerkt hat und was mich am meisten stoert das er die Festplatte bereits gereinigt und neu aufgesetzt hat. Also das BS. Heisst ja auch ich könnte nichmal etwas mittels Shadowcopy oder ähnlichen veruschen. Grumsel In jedemfall schonmal Danke im Voraus.

04.08.2012, 16:28	# 3
Malakai Fleißiger Bewertung: Registriert seit: Nov 2006 Beiträge: 48 Power: 16 Themenstarter	Hm, klingt ungut. Trotzallem danke. Ich geister noch ein bisken durchs Netz. Vllt hat sich ja was getan. In jedem fall wird das spaeter kein erfreulicher anruf. Falls ich noch was anderes finde schreib ichs hier mit nieder.

07.08.2012, 12:46	# 9
mySQL until it sleeps... Bewertung: Registriert seit: Aug 2005 Internet: DSL 6000 Beiträge: 4.372 Power: 47	So wie michi es beschrieben hat Es reichen ja auch schon die Windows-beispiel-Bilder. Die hat normalerweise jeder PC drauf, es seidenn man löscht sie (war bei mir der Fall ). Die gibts nämlich überall zu downloaden und zack kannste den Schlüssel berechnen und alles entschlüsseln. Das geht alles ruckzuck, weil immer nur die 1. 4kb jeder Datei verschlüsselt werden. Aber das reicht halt, weil man mit den Daten dann nix mehr anfangen kann.

Viren, Trojaner & Malware

Verschlüsselte Dateien (Vermutlich Trojaner)