Welches Dechiffriertool taugt ?

Undertaker

moin moin,
ja, Du hast allerding viel übersehen.

Zuerst stellt sich die Frage, wie sich die verschlüsselten Dateien darstellen.
Bisher sind drei Verschlüsselungsvarianten bekannt, die jeweils die ersten 3k, 6k oder 12k einer Datei modifizieren.

Die acht Tools sind ausschließlich bei der 3k-Variante wirksam, da der Verschlüsselungsalgo relativ simpel ist und der Schlüssel für einen ganzen Pool verschlüsselter Dateien Gültigkeit besitzt.
Derart verschlüsselte Dateien haben folgende Syntax:
locked-{Dateiname}.{Ext}.{Viersteller} ---> locked-Bild0001.jpg.drwh

Kurzzeitig gab es eine Version mit gleicher Syntax, aber 6k-Verschlüsselung.
Der Verschlüsselungsalgo wurde nicht weiter verfolgt, so dass es dafür kein Tool wie bei der 3k-Verschlüsselung gibt.

Die gemeinste Variante verschlüsselt die ersten 12k einer Datei.
Die Syntax ist:
{Zufallszeichenfolge ohne Ziffern und Sonderzeichen} ---> FGTZUIbnTGHNJolkiJHNB

Der Verschlüsselungsalgo ist RC4, wobei jede Datei ihren eigenen Schlüssel erhält.
Die Zusammenhänge zwischen Originalname - Zufallszeichenfolge - Schlüssel werden als Text in eine Datei {RechnerID}.$02 geschrieben.
Diese Datei befindet sich im Temp-Verzeichnis des Users und ist ebenfalls RC4 verschlüsselt.
Der Schlüssel ist mindestens 31 Zeichen lang. Er wird ohne Zwischenspeicherung auf dem PC an einen C&C Server übermittelt.

Fazit:
Ohne Schlüssel ist eine Wiederherstellung fast aussichtslos und wenn die $02-Datei durch Neuinstallation verloren ist, ganz unmöglich.

Aber das steht ja, wie von @markusg erwähnt, alles unter den Hinweisen.

Volker

__________________