Virus howdecrypt

[Harema 10]

Hallo!

Ich habe auf einem Client (win7, 32bit) kürzlich den Virus "howdecrypt" gehabt.

Den Virus selbst konnte ich auf einfachem Wege entfernen, leider bleibt die Verschlüsselung auf allen Dateien, auf die der Benutzer Zugriff hat :(

Einen Teil konnte ich über ein Backup wiederherstellen, allerdings habe ich 10% wichtiger Dateien, die ich auf diese Weise nicht retten konnte.

 

NAtürlich könnte ich jetzt sagen wer seine Daten nicht auf dem Laufwerk speichert, welches gesichert wird hat selbst Schuld, aber das hilft leider gerade nicht weiter :(

 

Ich habe bereits verschiedene Tools getestet:

- cryptodefensee

- te94decrypt

 

Auch Ideen wie über die Vorgängerversion wiederherstellen führten leider nicht zum Erfolg.

Ich habe ein Tool gefunden, welches einen Schlüssel generieren könnte, wenn ich die vorherige und die verschlüsselte Version einer Datei habe, Problem ist an der unverschlüsselten Version wurde mehr geändert als nur die Verschlüsselung, sprich die Dateigröße hat sich gerändert.

 

Alle Dateien sind als Office 97.2003 Dokument gespeichert.

 

Falls jemand einen Tipp weiß (Software, Firma etc) wäre ich sehr dankbar.

 

Grüße

Harema

bearbeitet 8. Januar 2015 von Harema

[Sanches 22]

Hi,

 

vll. hilft dir ja ein Tool von Kaspersky z.B. der RectorDecryptor

Du kannst ggf. auch mal die darunter befindlichen RakhniDecryptor oder XoristDecryptor testen.

[Harema 10]

Hallo,

 

vielen Dank für die Seite.

Ich habe alle 3 Tools getestet.

Rakhni akzeptiert nur eine Datei, die er als kompatibel ansieht, meine gehörten leider nicht dazu.

Xorist startet, findet aber keine Dateien.

Rector findet, erkennt die Dateien auch als verschlüsselt, entschlüsselt aber leider nicht :(

 

Ich bin weiterhin für Tipps dankbar! :)

 

Grüße

Harema