Ich habe mich die letzten 2 Tage etwas einschlägiger mit der "6KB-Version" beschäftigt; diese beschädigt die ersten 6144 Bytes einer Datei.

Ich habe zuerst eine VM absichtlich infiziert und versucht etwas lanwierig den Dump aus dem Hauptspeicher zu dechiffieren -
mein Assembler ist dann doch ziemlich eingerostet... und das ganze war wirklich SEHR langwierig, dass ich schließlich diesen Weg als nicht gangbar aufgegeben habe.

Anschließend habe ich nun das Biest mit manipulierten Daten gefüttert und konnte unter anderem sehen, dass hier teilweise wohl LO und HI-Bytes verdreht und dann xored werden -
mag sich wer mit austauschen?

Allein im Kämmerlein hocken und sich den Kopf machen ist ziemlich langweilig und frustrierend.

Hrm.. schade.. scheint so, als möchte hier jeder sein eigenes Süppchen kochen.

Ne, ich glaube Matthias ist noch garnicht dazu gekommen...

@BITFOX
ich hatte dir nen vorschlag per pm gesendet, wohin du dich wenden kannst für weitere anregungen :-)

Hallo zusammen!

Ich habe hier leider auch eine Festplatte, die scheinbar durch die 6KB-Variante verschlüsselt wurde
Leider funktioniert keines der momentan verfügbaren Tools für die Entschlüsselung.

Da es scheinbar nicht viele gibt, die (wissentlich) von einer dieser Varianten erwischt wurden, wollte ich hier noch einmal nachfragen ob es irgendwelchen Fortschritt diesbezüglich gibt.

Ich habe ein Paar aus verschlüsselter und originaler Datei angehangen, falls sich das jemand ansehen möchte.

Vielen Dank und einen schönen Abend zusammen!

Habe heute die original E-Mail mit Trojaner-Anhang wieder gefunden und an virus@trojaner-board.de geschickt.

Ich hoffe es kommt nochmal Bewegung in die Sache mit der 6KB-Version.

Viele Grüße!

kannst du die noch mal senden, mit nutzernamen?

Der Nutzername stand zwar schon in der ersten E-Mail aber ich habs einfach noch einmal gesendet

Hi,

beschäftige mich zwar gerade mit der 12k Version bin aber trotzdem sehr an der 6k Version interessiert.

PM appreciated

Hat es eigentlich mittlerweile jemand geschafft, diese Variante (6kb verschlüsselt, locked-Dateinamen) zu entschlüsseln? Die Unlock-Tools funktionieren jedenfalls nicht.

Sieht leider nicht so aus.
Scheinbar ist auch nur eine sehr kleine Gruppe davon betroffen und das Interesse deshalb praktisch nicht vorhanden.
Da es mich nicht selbst betrifft, sondern einen Bekannten, habe ich mich, aus Zeitmangel, bisher nicht selbst an einer Lösung versucht.

Falls du bis dahin etwas neues erfährst würde ich mich sehr über eine PM freuen!