URL: http://bolug.uni-bonn.de/archive/mailinglisten/html/SchAN-User/2016-06/msg00000.html
bolug :: archive :: SchAN-User

SchAN-User

[Schan-user] Ungeziefer -: Locky

To: "'Schulen ans Netz - Anwender'" <schan-user@xxxxxxxxxxxxxxxxx>
Subject: [Schan-user] Ungeziefer -: Locky
From: "Miroslaw Wilczak" <wilczakm@xxxxxxxxxxxxxxxx>
Date: Fri, 3 Jun 2016 08:46:24 +0200
Hallo,

ein Rechner in Verwaltung wurde mit dem folgenden Trojaner verseucht.

http://praxistipps.chip.de/locky-virus-entfernen_46382

Leider an dem PC wurde eine externe USB Festplatte angeschlossen und als bemerkt
wurde,  
hier stimmte etwas gewaltig nicht (Meldung des Trojaners), 
wurde sie gleich von PC getrennt.
Auf der 500 GB großen HDD (NTFS) wurden tausende von Dateien gespeichert 
und jetzt ist sie fast leer, was ich unter Linux sehen konnte.
Es wurde nur 1% des Speichers in Anspruch genommen.
Die Dateien auf der HDD sind sehr klein 
(die größten sind 504 Bytes und beinhalten nur „kryptische“ Zeichen) 

Ich vermute, dass die Dateien mit "*-" am Anfang, 
nur einen Zeiger auf die Dateien auf der Festplatte beinhalten. 
Der Stern könnte am Anfang des Namens der Datei nur von Linux Darstellung 
kommen.
Der Name der Datei ohne den Stern und Strich am Anfang war auch der Name der 
Datei
auf der Festplatte.
Somit könnte man die Indextabelle, wo sich normalerweise diese Daten befinden 
(Dateiname und der Zeiger auf die Datei auf der Festplatte) wiederherstellen.

Die Wiederherstellung der Indextabelle der HDD könnte gelingen, 
wenn man die Dateien mit „*-„ am Anfang des Namens der Datei 
mit einem Wiederherstellungsprogramm lesen wurde 
und die Dateiname und entsprechenden Zeiger auf die Datei 
in die Indextabelle zurück speichern würde.

Wer hatte solche Programme schon geschrieben und mir helfen könnte?

Wenn ich mich nicht irre, ist auf der HDD noch eine zweite Indextabelle
gespeichert 
mit der Sicherung der Daten der ersten Indextabelle.
Man könnte auch versuchen, aus der Sicherung die erste Indextabelle zu 
erstellen.

Viele Grüße
Mirek

 

         

        …



_______________________________________________
schan-user mailing list
schan-user@xxxxxxxxxxxxxxxxx
http://www.heise.de/ct/schan


© Bonner Linux User Group (BoLUG) und die Autoren Letzte Änderung: 03.06.2016, 08:47:29
  Druckdatum: 21.02.2018, 19:57:09