Ok, dann habe ich das gleiche

Hallo,

Zitat:

Zitat von Betroffenem

Die üblichen Decrypter (Avira, Kaspersky) funktionieren nicht, schon weil sich die Dateigröße zwischen Original und verschlüsselter Datei geändert, nämlich vergrößert hat, um ca. 25 kB.

Die "ca. 25 kB", sind das Photoshop-Bild. (PNG)

Bei anderen Formaten pappt ein RTF vor den verschlüsselten Daten.
- Das sind nur einige Bytes.

Das Teil ist mehr als 200-1000 mal langsamer als andere Varianten, also begnügt sich der Kappes nicht mit 2k oder 12k einer Datei.
- Der verschüsselt scheinbar die ganze Datei.

Tschau

er hat mir auch gemailt, je nach dem ob ichs schneller hab, stell ichs dir natürlich zur verfügung.

@Undertaker
ist das selbe Sample was ich dir schon geschickt hatte sind halt noch n paar bilder datei, kann ich dir hochladen falls gewünscht

Zitat:

Zitat von markusg

... sind halt noch n paar bilder datei, kann ich dir hochladen falls gewünscht

Ja, bitte.

Bei mir verschlüsselt er die Dateien nicht. Was soll man machen, damit er einem die Dateien verschlüsselt?

glaub nich das der noch verschlüsselt, der server is offline

Das DirtyDecrypt PNG endet beim Offset 64FA.

Tach zusammen,

kann jemand ein paar www - Adressen gebrauchen wo vieleicht der Trojaner sich befindet? Ich habe gerade in meinen Verlauf vom IE gesehen, da sind noch einige Adressen gespeichert auch welche die ich nicht kenne. Können sich Seiten einfach im Verlauf speichern?

Grüße markus320

glaub zwar nich, dass die noch online sind, aber send sie mir mal per privater nachicht.

Gibt es mittlerweile eine Lösung um die verschlüsselten Dateien zu entschlüsseln ?

nope.

Ich schließ mich hier mal an.
Ich soll für eine Bekannte Dateien wieder herstellen, die von einem Trojaner verschlüsselt wurden. Leider hat sie keinen blassen Schimmer, welcher TR das war, sie hat ihn bereits gekillt. Die Dateien hat sie mir auf einer externen HDD überlassen. Originaldateien hat sie mangels nicht gemachtem Backup natürlich auch nicht. Die Kaspersky-Scanner habe ich alle drüberlaufen lassen, keine Resultate.
Im Hex-Editor (MX) ist allerdings auffällig, dass alle verschlüsselten Dateien -egal, ob jpg, doc, docx, xlsx, pdf usw. - in der ersten Zeile die selben Werte stehen haben, nämlich:

6C:AF:A3:45:2D: D8:CD:A9:81:04:31:98:0F:49:61:CC

Alle weiteren Werte sind unterschiedlich.

Weiß zufällig einer von euch, welcher TR dahintersteckt? Oder hat ggf. sogar Lösungsvorschläge?

welche Dateiendung haben die Files jetzt?

Erstaunlicherweise keine andere als vorher. Nur der Inhalt ist komplett verändert.

Sie hat mir gerade eine xls-Datei zugeschickt, die sie zufällig noch auf einem Stick hatte. Im Hex unterscheiden sich die gecryptete und die originale vollständig.