Hallo zusammen,

auf dem (XP) PC meiner Mutter hat mein Bruder leider auch diesen netten Trojaner hier erwischt. Gott sei dank, konnte ich dank euren Tipps die Outlook.pst retten und andere Dateien waren zu einem großem Teil Gott sei dank gesichert.

Es gibt ja nicht mehr viel Hoffnung auf Rettung der restlichen nicht gesicherten Dateien, aber ich habe bei mir zuhause mal alle ihre Dateien gesichert. Außerdem werde ich heute noch versuchen die $02 zu kopieren und vielleicht lässt sich ja noch die $03 wiederherstellen.

Nur mal so aus Neugierde, ich kenne mich da ja auch nicht so aus und vielleicht kann mir das jemand erklären. Wieso werden den die original Dateinamen und deren Schlüssel in dieser $02 gespeichert und wieso wird diese $03 verschickt, wenn eine Bezahlung der geforderten Summe eh keine Entschlüsselung auslöst? Zumindest habe ich jetzt schön öfter gehört, dass auch nach eine Bezahlung nichts entschlüsselt wurde.

Dann ist doch eigentlich egal wo was liegt. Und wozu wird dann auch noch mit dem Server kommuniziert? Der Trojaner könnte doch selber auch eine zufällige Verschlüsselung durchführen ohne den Server.

Danke noch an alle die Leute die sich hier wirklich soviel Mühe geben. Ich würde denke ich manchmal echt die Lust verlieren wenn schon mehrfach Erklärtes eins zu eins ein paar Fragen weiter wieder gefragt wird. Helfer stecken verdammt viel Zeit rein und manche Hilfesuchende wollen nicht suchen oder lesen sonder eine Frage stellen und sofort eine passende Antwort. Es sind inzwischen schon über 70 Seiten ja, aber wenn nicht ständig das gleiche gefragt oder gepostet würde wären man jetzt vielleicht bei 40 und das ganze wäre schon sehr viel übersichtlicher.

Zitat:

Zitat von Kabtor

Nur mal so aus Neugierde, ich kenne mich da ja auch nicht so aus und vielleicht kann mir das jemand erklären. Wieso werden den die original Dateinamen und deren Schlüssel in dieser $02 gespeichert und wieso wird diese $03 verschickt, wenn eine Bezahlung der geforderten Summe eh keine Entschlüsselung auslöst? Zumindest habe ich jetzt schön öfter gehört, dass auch nach eine Bezahlung nichts entschlüsselt wurde.

Die genauen Gedankengänge sind nur in den Köpfen der Gangster.
Man kann also nur darüber spekulieren.
Es weist aber einiges darauf hin, dass eine Entschlüsselung tatsächlich vorgesehen ist oder war.

Bei der ersten Kommunikation mit dem C&C Server werden mehrere Bitmaps geladen.
In Kurzform sagen die folgendes aus:
Bild1 -->l Der bekannte Ucash-Hinweis.
Bild2-4 --> ähnlich wie Bild1 aber mit Hinweisen über falschen Ucas-Code (3 Versuche).
Die gehen also davon aus, dass der Betroffene einen gültigen Ucash-Code eingibt.
Ist der Code strukturell in Ordnung erscheint
Bild 5 --> Der Hinweis, dass der Code in Ordnung ist und geprüft wird.
Ist die Prüfung in Ordnung erscheint
Bild6 --> Entschlüsselung läuft, Rechner soll am Netz bleiben.
Insofern macht die .$02 also Sinn.

Ich spekuliere mal:
Die haben selbst nicht damit gerechnet, dass sie die Server nicht richtig im Griff haben.
Vielleicht sind die auch nur highjacked oder die Verschleierung im Web funkt dazwischen, oder oder oder.

Volker