Verschlüsselungstrojaner: Daten-Rettung-Wiederherstellung nach Verschlüsselung

Windows Verschlüsselungstrojaner und der Schaden danach.

Dieser Leitfaden ist ein kleine Hilfestellung zur Daten-Rettung-Wiederherstellung nach der Infizierung und Verschlüsselung durch den Windows Verschlüsselungstrojaner.

Da nach aktuellen Erkenntnissen eine Entschlüsselung der Daten derzeit nicht möglich ist, bleibt nur der Weg die Daten zu Retten in dem man diese ggf. mit zusätzlicher Software wieder Repariert oder Wiederherstellt.
Eine vollständige Entschlüsselung der Daten, Dateien und Dokumente wäre zur Zeit nur möglich, wenn der sogenannte C&C-Server gefunden, sichergestellt und analysiert wird. Die Wahrscheinlichkeit das dies passiert ist niedrig.

Leitfaden und Hilfestellung zur Rettung und Wiederherstellung der Daten, Dateien und Dokumente:

1. Erstellen Sie ein Backup (Datensicherung) der Dateien oder Ein Image von der Festplatte auf einen externen Datenträger.

2. Zuerst sollte man testen ob die Dateien nur im Dateinamen geändert wurden sind. In Einzelfällen wurde keine Verschlüsselung der Daten durch den Windows-Verschlüsselungstrojaner vorgenommen. Zum testen kann man ein Windows-Beispielbild nehmen und die Dateiendung .jpg zuweisen und danach das Bild versuchen zu öffnen. Wenn es klappt, dann Glück gehabt. Um mehrere Dateien auf einmal umbenennen eignen sich Programme wie FileNameChange oder das Mehrfach-Umbenenn-Tool aus dem Total-Commander (Menü Datei > Mehrfach-Umbennen-Tool…). Die Programme kann man hier herunterladen:

FileNameChange
Total-Commander

3. Die ersten Versionen des Windows-Verschlüsselungstrojaner verschlüsselten die Dateien und benannten diese im Format „locked-Original-Dateiname.Typ.wxyz“ um. Da kann man testen ob die bekannten Entschlüsselungs-Tools funktionieren. Weitere Informationen dazu gibt es hier:

Kaspersky RannohDecryptor zum entschlüsseln von locked Dateien (Trojan-Ransom.Win32.Rannoh) 

Mit dem Avira Ransom File Unlocker verschlüsselte Dateien im Format “locked-Original Dateiname.Typ.????” wieder entschlüsseln

4. Überprüfen ob Schattenkopien vorhanden sind. Für Windows vista und Windows 7 kann man den ShadowExplorer verwenden und damit wieder Daten, Dateien und Dokumente wiederherstellen, wenn Schattenkopien vorhanden sind. Weitere Informationen dazu gibt es hier:

ShadowExplorer: Ordner und Dateien aus Volumenschattenkopie-Daten wiederherstellen

5. Es gab beim öffnen der Datei eine Fehlermeldung (Punkt 1.)? Dann wurde auch der Datei-Header-Bereich der Datei zerstört bzw. unbrauchbar (verschlüsselt) gemacht. Bei diesen Dateien muß jetzt der Datei-Header-Bereich, soweit es noch möglich ist, repariert bzw. wiederhergestellt werden, falls kein Backup oder eine Schattenkopie (Punkt. 4) vorliegt.

Anleitung bzw. Hilfestellung zum Wiederherstellen der jeweiligen Datei-Formate:

MP3-Dateien – In den meisten Fällen genügt es die Datei wieder umzubenennen und die Zuweisung der Dateierweiterung .mp3. Um mehre Dateien auf einmal umzubenennen, kann man die aufgeführten Tools aus Schritt 2 verwenden.

Word (*.doc, *.docx), Excel (*.xls, *.xlsx) und Powerpoint (*.ppt, *.pptx) Dateien – Man kann probieren mit Word, Excel oder Powerpoint die Dokument zu reparieren bzw. Word, Excel oder Powerpoint dazu zwingen das Dokument wieder herzustellen. Es wird wahrscheinlich nicht mit jedem Dokument funktionieren oder einige Formatierung weg sein. Ein Versuch ist es jedenfalls wert.

Dazu öffnet man Word, Excel oder Powerpoint. Danach geht man über das Menü zum Menüpunkt öffnen. Zum jeweiligen Dokument navigieren und dann wie hier im Bild zu sehen, von „Öffnen“ auf „Öffnen und Reparieren“ umstellen und dann die Datei öffnen.

Word Datei öffnen Dialog - Bild 1

Word Datei öffnen Dialog mit Pfeil auf das „Öffnen“ Menü

 

Word Datei öffnen Dialog - Bild 2

Word Datei öffnen Dialog mit geöffneten „Öffnen“ Menü

Falls das nicht funktioniert findet man im Microsoft Artikel-ID 826864 „So reparieren Sie beschädigte Word-Dokumente“ weitere Lösungsansätze zum Reparieren der Dateien. Dieser Artikel beschreibt die Reparatur von Word-Dokumenten. Viele dieser Reparatur-Möglichkeiten lassen sich auch für Excel oder Powerpoint Dokumente anwenden. Weitere Informationen dazu finden Sie hier:

Microsoft Artikel-ID 826864 „So reparieren Sie beschädigte Word-Dokumente“

Quellenangaben: trojaner-board.de

 

Schreibe einen Kommentar


banner