WannaCry - wiederhergestellte Dateien umbenennen
Hallo Zusammen,
ich habe hier einen mit WannaCry verschlüsselten PC - die Dateien sind soweit wieder da und auch lesbar, haben aber alle einen kryptischen Namen (261651.WNCRYT, 191988.WNCRYT, ... usw.) Ändere ich nun die Dateiendung passend zum Inhalt (PDF, DOC), lässt sich diese auch wieder öffnen.
Nun ist auch eine Datenbanksoftware verschlüsselt (mit 6000 einzelnen .DBF Dateien). Damit die Software läuft, müssten natürlich die verschlüsselten WNCRYT-Dateien den korrekten .DBF Namen haben. Nun könnte ich natürlich alle 6000 Dateien (verschlüsselt und unverschlüsselt) nach Änderungsdatum vergleichen, umbenennen und wiederherstellen - testweise mit einzelnen Dateien hat das auch geklappt. Alle 6000 wäre aber utopisch...
Ich habe nun mit diversen Tools versucht, zwei Ordner zu verglichen (nach Dubletten anhand des Änderungsdatums) einmal die verschlüsselten, originalen DBF Dateien (z. B. Datenbank1.DBF.WNCRY) und einmal die wiederhergestellten (59191.WNCRYT).
Die Software AllDup hat mir dann z. B. Gruppen nach dem Änderungsdatum erstellt und darin befindet sich dann einmal die originale, verschlüsselte Datei (Datenbank1.DBF.WNCRY) und die dazugehörige unverschlüsselte mit verschwundenem Namen (59191.WNCRYT).
So sehen die Gruppen aus (benenne ich die .WNCRYT von Hand um und greife mit der Software auf die zu, passt alles):
Jetzt müsste ich für alle Gruppen den Namen (Datenbank1.DBF.WNCRY auf die 59191.WNCRYT-Datei übernehmen --> also: Datenbank1.DBF.WNCRYT, danach entferne ich die .WNCRYT-Endung und alles ist gut).
Kennt hier jemand ein passendes Tool, was mir das realisiert? Oder ein Tool, was alles in einem macht? Ich habe schon alles mögliche versucht - das eine kann nur vergleichen, das andere bietet mir genügend Optionen zum umbenennen....ich kann aus der Software die Dateien entsprechend in einen Order exportieren (nach dem Schema wie oben im Screenshot). Eine Software müsste nun über die vielen Unterordner drüber und alles nach dem o. g. Schema umbenennen.
Vielen Dank!
ich habe hier einen mit WannaCry verschlüsselten PC - die Dateien sind soweit wieder da und auch lesbar, haben aber alle einen kryptischen Namen (261651.WNCRYT, 191988.WNCRYT, ... usw.) Ändere ich nun die Dateiendung passend zum Inhalt (PDF, DOC), lässt sich diese auch wieder öffnen.
Nun ist auch eine Datenbanksoftware verschlüsselt (mit 6000 einzelnen .DBF Dateien). Damit die Software läuft, müssten natürlich die verschlüsselten WNCRYT-Dateien den korrekten .DBF Namen haben. Nun könnte ich natürlich alle 6000 Dateien (verschlüsselt und unverschlüsselt) nach Änderungsdatum vergleichen, umbenennen und wiederherstellen - testweise mit einzelnen Dateien hat das auch geklappt. Alle 6000 wäre aber utopisch...
Ich habe nun mit diversen Tools versucht, zwei Ordner zu verglichen (nach Dubletten anhand des Änderungsdatums) einmal die verschlüsselten, originalen DBF Dateien (z. B. Datenbank1.DBF.WNCRY) und einmal die wiederhergestellten (59191.WNCRYT).
Die Software AllDup hat mir dann z. B. Gruppen nach dem Änderungsdatum erstellt und darin befindet sich dann einmal die originale, verschlüsselte Datei (Datenbank1.DBF.WNCRY) und die dazugehörige unverschlüsselte mit verschwundenem Namen (59191.WNCRYT).
So sehen die Gruppen aus (benenne ich die .WNCRYT von Hand um und greife mit der Software auf die zu, passt alles):
Jetzt müsste ich für alle Gruppen den Namen (Datenbank1.DBF.WNCRY auf die 59191.WNCRYT-Datei übernehmen --> also: Datenbank1.DBF.WNCRYT, danach entferne ich die .WNCRYT-Endung und alles ist gut).
Kennt hier jemand ein passendes Tool, was mir das realisiert? Oder ein Tool, was alles in einem macht? Ich habe schon alles mögliche versucht - das eine kann nur vergleichen, das andere bietet mir genügend Optionen zum umbenennen....ich kann aus der Software die Dateien entsprechend in einen Order exportieren (nach dem Schema wie oben im Screenshot). Eine Software müsste nun über die vielen Unterordner drüber und alles nach dem o. g. Schema umbenennen.
Vielen Dank!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 341778
Url: https://administrator.de/forum/wannacry-wiederhergestellte-dateien-umbenennen-341778.html
Ausgedruckt am: 22.12.2024 um 21:12 Uhr
7 Kommentare
Neuester Kommentar
Hallo,
Hast Du gezahlt?
Das wuerde bei mir ratzfatz, nach Neuaufsetzen des PC, per Rueckspielen des Datenbank-Backup passieren.
BFF
Hast Du gezahlt?
Kennt hier jemand ein passendes Tool, was mir das realisiert? Oder ein Tool, was alles in einem macht? Ich habe schon alles mögliche versucht - das eine kann nur vergleichen, das andere bietet mir genügend Optionen zum umbenennen...
Das wuerde bei mir ratzfatz, nach Neuaufsetzen des PC, per Rueckspielen des Datenbank-Backup passieren.
BFF
Powershell z.B.
Gruß
gci 'c:\Ordner' -File | group LastWriteTime | %{
$group = $_.Group | sort $_.Name.length
rename-item $group.Fullname -NewName ($group[1].Name -replace '\.WNCRY$','')
del $group[1].Fullname -Force
}
Zitat von @133417:
Powershell z.B.
Gruß
Powershell z.B.
> gci 'c:\Ordner' -File | group LastWriteTime | %{
> $group = $_.Group | sort $_.Name.length
> rename-item $group.Fullname -NewName ($group[1].Name -replace '\.WNCRY$','')
> del $group[1].Fullname -Force
> }
>
Du, ich weiß das ist gut gemeint
Aber wenn du solche Befehle einbaust:
del $group[1].Fullname -Force
solltest du dadrauf hinweisen Oft genug passiert das Scripte zum Testen einfach Blind kopiert werden ohne sie zu verstehen und wenn dann was nicht wie erwartet läuft ist das Geschrei groß.
Viele Grüße
pelzfrucht
@pelzfrucht
Wer Skripte ungetestet und unverstanden auf seine möglicherweise ungesicherten Original-Daten und nicht auf einen Testordner loslässt, hat es meiner Meinung nach nicht anders verdient und seinen Job verfehlt! So what ...
Wer Skripte ungetestet und unverstanden auf seine möglicherweise ungesicherten Original-Daten und nicht auf einen Testordner loslässt, hat es meiner Meinung nach nicht anders verdient und seinen Job verfehlt! So what ...
Zitat von @133417:
@pelzfrucht
Wer Skripte ungetestet und unverstanden auf seine möglicherweise ungesicherten Original-Daten und nicht auf einen Testordner loslässt, hat es meiner Meinung nach nicht anders verdient und seinen Job verfehlt! So what ...
@pelzfrucht
Wer Skripte ungetestet und unverstanden auf seine möglicherweise ungesicherten Original-Daten und nicht auf einen Testordner loslässt, hat es meiner Meinung nach nicht anders verdient und seinen Job verfehlt! So what ...
das sehe ich aber auch so
allerdings kein Backup zu haben nach WannaCry, hat auch seinen Job verfehlt!
was ich gerne wissen würde, hat der TO lösegeld bezahlt ? selbst encrypted ?
Frank