Da diese neue Variante in einem Wahnsinnstempo beim Neustart den Schaden anrichtet, glaub ich nicht, daß dafür wirklich jede Datei angefasst wird. Wahrscheinlich manipuliert der Trojaner "nur" die MFT und stubbst den Dateianfang ein Bit nach rechts oder links, was dann wie eine Verschlüsselung aussieht aber natürlich nicht berechenbar ist. Leider weiß ich zu wenig von Dateisystemen, um mit dieser Idee weiter zu machen. Der Hinweis auf die komprimierten c:-Laufwerke hat mich auf diese Idee gebracht, da hier die eigentliche MFT nicht benutzt wird. Es existiert doch ein Backup der MFT, was passiert, wenn man dies einspielt. Falls der Trojaner wirklich das Versprechen der Dateifreigabe bei Zahlung hält, müßte auf dem Rechner irgendwo ein weiteres Backup der Original-MFT liegen, das bei Zahlung wieder eingespielt wird.

Zitat:

Zitat von grahlke

Da diese neue Variante in einem Wahnsinnstempo beim Neustart den Schaden anrichtet, glaub ich nicht, daß dafür wirklich jede Datei angefasst wird. Wahrscheinlich manipuliert der Trojaner "nur" die MFT und stubbst den Dateianfang ein Bit nach rechts oder links, was dann wie eine Verschlüsselung aussieht aber natürlich nicht berechenbar ist. Leider weiß ich zu wenig von Dateisystemen, um mit dieser Idee weiter zu machen. Der Hinweis auf die komprimierten c:-Laufwerke hat mich auf diese Idee gebracht, da hier die eigentliche MFT nicht benutzt wird. Es existiert doch ein Backup der MFT, was passiert, wenn man dies einspielt. Falls der Trojaner wirklich das Versprechen der Dateifreigabe bei Zahlung hält, müßte auf dem Rechner irgendwo ein weiteres Backup der Original-MFT liegen, das bei Zahlung wieder eingespielt wird.

Get Data Back for NTFS meldet->

MFT entry found@sector 97xxxxx63: '$MFT'
MFT entry found@sector 97xxxxx65: '$MFTMirr'
MFT entry found@sector 97xxxxx67: '$LogFile'
MFT entry found@sector 97xxxxx69: '$Volume'

...GDBNT läuft bei mir schon zwei Tage auf n'er externen 1TB Platte.
...wird wohl noch zwei Tage dauern,,,

Werd's melden wenn's funzt...

Zitat:

Zitat von grahlke

Da diese neue Variante in einem Wahnsinnstempo beim Neustart den Schaden anrichtet, ..........

Dem ist nicht so, Die Verschlüsselung beginnt unmittelbar nach Ausführung der Datei.
Getestet mit einer Registrierung.pif, einer Variante der 12k-Verschlüsselung.

Gruß Volker

@micadig

Ich bin ziemich sicher, dass das nichts bringen wird. Wir haben hier auch schon einen Versuch mit einer 100 GB-Partition. Das Ding ist so schnell, weil es in jede Datei nur 3kb schreibt und er zusätzlich nach Dateitypen filtert. Das bedeutet, dass er bei z.B. angenommenen 30.000 Dateien gerade mal knapp 90 Megabyte (!) schreiben muss. Dass das schnell geht ist klar.