Daten auf alle zerschossen...!?

Internet Internet Sicherheit
#1

Hallo,

nachdem mein PC von dem sog. BKA-Trojaner befallen war, musste ich das Betriebsystem Vista auf C:/ neu installieren. Das mach ich sowieso hin und wieder. Meine persönlichen Daten speichere ich grundsätzlich auf D:/ ab. Bisher habe ich nie Probleme damit gehabt.

Jetzt ist es allerdings so, dass die Dateien auf D:/ völlig zerschossen sind: Die Dateinamen bestehen aus wahllosen Buchstabenreihen, z.B. so: qaltJnsGNolsdv.

Allerdings hat sich die Grösse der Dateien auf D:/ nicht geändert, so dass ich annehm, dass Diese noch irgendwo vorhanden sind. Auch die Namen der Ordner, die ich angelegt habe, sind erhalten geblieben.

Über Eure Hilfe wäre ich sehr dankbar, denn das ist schon eine kleine Katastrophe… Vielen Dank!

Cyrus

#2

Mach eine byteweise Kopie deiner Partition D auf einer anderen Festplatte. Davon machst du noch eine Kopie.

Die bearbeitest du dann mit der Datenrettungssoftware deiner Wahl.

Hebe die Kopien auf, es könnte sein, dass sich zufällig gerade die Platte verabschiedet. Wahrscheinlich ist es nicht, aber Vorsicht iost besser als Nachsicht.

#3

Wer sich Viren jeglicher Art einhandelt, hat Sicherheitslücken im System.
Ein Virus kommt selten allein!
Der 2te Virus hat ihre Daten unwiederbringlich auf „D“ verschlüsselt.

Hier hilft nur eine komplette Löschung der Festplatte oder der Neukauf einer solchen. Danach kann das System wieder installiert werden.
Ohne ordentliche Absicherung gegen Viren vom Fachmann, wird das gleiche nochmal passieren.

#4

Hallo Cyrus,

von diesem Trojaner gibt es leider viele verschiedene Ausartungen. Bei den Versionen mit den von dir geschilderten Dateinamen-Änderungen sind uns bislang folgende Szenarien bekannt:
* Die Rohdaten der Dateien werden mit einem public/private-Key-Verfahren verschlüsselt.
* Die Rohdaten der Dateien werden mit Zufallswerten überschrieben.

In beiden Fällen ist eine Rekonstruktion mit dem derzeitigen Stand der Technik nicht möglich.

Mit freundlichen Grüßen
Markus Häfele
Attingo Datenrettung

#5

Hallo Cyrus,

So etwas ist auf Distanz schwierig zu beurteilen.

Sieht aus als ob da irgend etwas die FAt „gemischt“ hat.

Da kann Ihnen nur noch eine professionelle Datenrettungsfirma helfen. Jeder Bastelversuch verschlimmert die Lage nur noch. Ja nichts auf das Disk schreiben und auch keine „Datenrettungsprogramme“ die sie nicht kennen versuchen… all das ist extrem gefàhrlich.

Wenden Sie sich zum Beispiel an Herrn Ahmed Lasyan, Data Recovery, Kroll Ontrack GmbH | Hanns-Klemm-Str. 5 | D - 71034 Böblingen
+49 (0)7031 644 208 | Fax +49 (0)7031 644 144
[email protected]
www.krollontrack.de | www.ontrackdatarecovery.de

Beziehen Sie sich dabei auf „brainstuff“ und fragen Sie, was da zu machen ist.

Es wird garantiert nicht billig, aber wenn Ihre Daten einen Wert haben, dann gibt es leider nicht viele andere Lösungen. Jeder Pfusch macht den Schaden nur noch grösser oder unreparierbar.

Tut mir leid, dass ich da kein Wundermittel vorschlagen kann.

Mfg
John

#6

Hallo
Du hättest nicht das Betriebssystem neu installieren dürfen. Darin ist der Entschlüsselungscode versteckt.

Wir kriegen vermehrt jetzt solche Fälle ins Labor. Wenn die User zuviel vorher rumbasteln, dann wird es sehr aufwendig für uns.

Gruss

Christian

#7

Hallo Nicolai,

danke für deine Antwort.

Was heisst byteweise? Brauch ich dafür ein best. Programm? Wenn ja welches?

lg Cyrus

#8

Erst mal vielen Dank für Eure Bemühungen!

@Chrisbeam
Ja, darauf bin ich inzwischen auch gekommen, dass das wohl ein Fehler war…Ist es in deinem Labor denn trotzdem möglich, die verschlüsselten Daten wiederherzustellen?

lg cyrus

#9

Was heisst byteweise?

Das bedeutet, dass das Dateisystem, die Partitionierung und fast alle Abstraktionslayer ignoriert werden und tatsächlich einfach die Bits auf Platte der Reihe nach kopiert werden.

Brauch ich dafür ein best. Programm?

Unter Unixoiden (Linux, Mac OS X, *BSD, …) machst du das mit dd.
Mit Windows kenne ich mich auf diesem Feld nicht aus.
Ich denke mal, dass das Stichwort „Clonen“ brauchbare Treffer liefert.

#10

sind wir mal ehrlich …

die pc- spizis hier die kohle verdienen wollen können grad auch nichts machen weil noch keine software existiert, welche die codierung knacken kann … also du bringst denen deinen rechner, die schauen einmal drüber, versuchen eine software, trinken kaffee und schreiben dir 5 stunden auf und wollen dann 800€ von dir weil sie es versucht haben *looool*

es gibt gerade noch keine software die sich zum decodieren eignet. also lösche die codierten daten noch nicht!!! sieh zu das du diese sicherst. mach dann dein system platt (formatieren) und setzte dein betriebsystem wieder auf.

da gibt es eine seite im www - trojanerboard, schau da hin und wieder rein, das sind ziemlich pfiffige kerle - die schreiben die decodierungssoftware - halte nach einem update der encodesoftware ausschau.

es müsste dann reichen wenn du eine datei im originalen und eine im verschlüsselter fassung hast (muss natürlich die selbe sein) die werden dann mit der software eingelesen und sie errechnet dann den code. wenn das geschafft ist dann kannst du diesen code auf alle codierten dateien übertragen und du hast wieder zugriff auf deine persönlichen dokumente.

also jetzt mitte nicht alles löschen!!!

habe ein par tage geduld!!!

und nicht den pc zu den fachleuten schicken - zumindest jetzt noch nicht - das kostet richtig asche und die können auch noch nichts machen … wenn es soweit ist das die etwas machen können dann kannst du das auch!!! für die kohle nimmst du lieber deine liebste und machst ne woche urlaub!

gruß