Mal hören nach 3 Jahren. Dateien verschlüsselt auf DS413air

Status
Für weitere Antworten geschlossen.

Nachbar

Benutzer
Mitglied seit
01. Nov 2017
Beiträge
2
Punkte für Reaktionen
0
Punkte
0
Hallo Gemeine

Vor 3 Jahren hat es mich leider erwischt. Auf meine DS413air wurden fast alle Bilder verschlüsselt. Es waren natürlich alles für mich sehr wertvolle Familienbilder die Sicher und für
lange Zeit geschützt sein sollten.

War wohl nix. Leider habe ich keine möglichkeit die Bilder zu Retten und wollte mal hören ob es mittlerweile eine lösung gibt.

So sehen die Dateien heute aus:

IMG_2080.JPG.id-6565621777_filehelp@lycos

Es sind MS-Dos Anwendungen (.com) die sich aber nicht wandeln lassen bzw. öffnen kann.

Eine Datei habe ich mal hoch geladen.

Vielleicht hat jemand eine Lösung dafür. Es soll auch nicht Umsonst sein.

Danke
 

Anhänge

  • IMG_2080.JPG.id-6565621777_filehelp@lycos.zip
    1,4 MB · Aufrufe: 8

Tommi2day

Benutzer
Mitglied seit
24. Aug 2011
Beiträge
1.164
Punkte für Reaktionen
63
Punkte
68
Wenn man nach "filehelp@lycos" sucht findet man einige Informationen und auch (angebliche) Lösungen. Seriosität und Erfolgsaussichten mag ich nicht beurteilen.
 

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
5.525
Punkte für Reaktionen
1.360
Punkte
234
Lt. dem Test mit folgender Website => https://id-ransomware.malwarehunterteam.com/index.php

BandarChor (https://reaqta.com/2016/03/bandarchor-ransomware-still-active/)
This ransomware has no known way of decrypting data at this time.
It is recommended to backup your encrypted files, and hope for a solution in the future.
Identified by sample_extension: .id-<id>_<email>

Ich habe auch mal die RakhniDecryptor.exe von Kaspersky rüberlaufen lassen. Nach 25min kam die Meldung, dass das Passwort gefunden und die Datei entschlüsselt wurde. Er zeigt das Passwort aber nicht an, im Log steht auch nichts. Die "entschlüsselte" Datei ist gleich groß mit anderem Inhalt, lässt sich aber nicht öffnen.

Tut mir Leid. :(

Nur rein interesssenhalber: Hast du mal an die E-Mail geschrieben? Wie viel Bitcoins wollten sie?
 

Nachbar

Benutzer
Mitglied seit
01. Nov 2017
Beiträge
2
Punkte für Reaktionen
0
Punkte
0
Hallo Platoon

Danke schon mal für eure mühe.

Ich habe da mal hin gemailt, aber leider ohne
Antwort. Bezahlt hätte ich sowieso nicht da wahrscheinlich nichts passiert wäre.

Ich suche weiter.

Danke
 

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
5.525
Punkte für Reaktionen
1.360
Punkte
234
Ich habe mich nicht näher damit beschäftigt, daher ist meine Idee mit hoher Wahrscheinlichkeit etwas blauäugig. ;)

Wenn ich das richtig verstehe, wird nur der erste Teil der Datei verschlüsselt.
The encryption algorithm and key length are not changed from previous versions (AES 256-bit). Although the code analysis shows a small difference from previous variants: the amount of bytes encrypted per file is 16000 as opposed to older samples where the ransomware was encrypting the first 30000 bytes of each file.

Bei einem Bild mit 1400kb sind 16 bzw. 30kb nur 2% der Gesamtgröße. Kann man den verschlüsselten Teil nicht abschneiden bzw. mit 0 auffüllen? Dann hätte man ein defektes JPG, woraus man die 98% Bildinformationen extrahieren könnte.

Ok, ich gebe es zu, es hört sich sehr verwegen an. :D ;)
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat