Zitat:

Zitat von DerC88

Kenne nur einen Fall bei dem Geld überwiesen wurde, aber da waren die Daten anschließend weiterhin verschlüsselt.
(Edit, war nicht ganz korrekt formuliert)

es stellt sich die grundlegende Frage, ob die Dateien überhaupt verschlüsselt sind, könnte es nicht sein dass die ersten 12KB einfach ein zufälliges Bitmuster sind?

Bei den veränderten Dateinamen ist mir z.B. aufgefallen, dass eine Datei mit einem 73 Byte langen Namen nach dem Virusbefall eine nur 19 Zeichen lange Bezeichnung hatte.

hallo

Ich habe leider am 25.5 einen fehlklick gemacht und mir ebenfalls einen verschlüsselungstrojaner eingefangen

leider konnte ich die email nicht retten, da mein thunderbird account verändert wurde und ich nicht mehr auf die bereits angekommenen emails zugreifen kann.

derzeit sieht meine festplatte so aus
QrvvguNJOuNrvgurJOuQ
xtfxGUsVGUsVfxdtfxU
ect.

ordner sind jedoch nicht verändert worden nur dateien

Ich habe aber die Zip wieder finden können, wo die datei drin ist.

falls markusg die datei haben möchte schick ich ihm sie gerne - ich kann auch noch ein paar datein welche verschlüsselt wurden und die originale mitschicken.

vielleicht ist es dann leichter den logarithmus zu isolieren.

lg
daniel

Zitat:

Zitat von eauth

es stellt sich die grundlegende Frage, ob die Dateien überhaupt verschlüsselt sind, könnte es nicht sein dass die ersten 12KB einfach ein zufälliges Bitmuster sind?

Möglich ist es und wenn dem so wäre, dann sind die dateien nicht zu retten.
Das wäre aber nicht logisch.
Das spricht sich rum und es zahlen dann weniger, was nicht im Sinne des Geldempfängers wäre.
Im Trojaner gibt es Zeichenketten, die durchaus die Vermutung erwecken, Schlüssel bzw. Teil eines Schlüssels zu sein.

Vielleicht hast Du aber auch Recht und die ganzen Anstrengungen sind für die Katz.

Gruß Volker

Zitat:

Zitat von eauth

es stellt sich die grundlegende Frage, ob die Dateien überhaupt verschlüsselt sind, könnte es nicht sein dass die ersten 12KB einfach ein zufälliges Bitmuster sind?

Nun, ich habe mehrere Versionen der selben Datei im Download Ordner. Jede weist ein anderes Muster auf bis 2FFF, danach folgt der Originalinhalt. Könnte also sein. Kann aber auch ein guter/normaler Crypto-Algo sein, damit die Decrypt-Methode mit Hilfe der Originaldatei nicht mehr zieht.

Bei mir hat nämlich keiner der Decrypter geholfen, trotz Originaldatei und mehrerer "verschlüsselten" Versionen davon. Hoffnung habe ich dennoch...

surject