Hallo Markus.

Ich hätte mehr Infos geben müssen, war wohl schon zu spät.


Du hast Recht, es gibt diverse Tools von diversen AV-Herstellern. Diese beziehen sich aber nur auf den Verschlüsselungstrojaner, der aus einer normalen "Datei.ext" eine Datei namens "locked-Datei.ext.yxwd" macht. Diese Variante war recht einfacht zu entschlüsseln, da jede Datei mit dem gleichen Schlüssel cryptiert wurde.

Die neue Variante geht rabiater vor. Zuerst mal wird jede Datei mit einem anderen Schlüssel verschlüsselt. Ich habe eine Testreihe mit ein und derselben Bilddatei vorgenommen. Die Datei, die mit unterschiedlichem Dateinamen in ein und demselben Verzeichnis lag, sowie als Kopie in verschiedenen Unterordnern, weist innerhalb der ersten 12288 Bytes keinerlei Ähnlichkeit auf (habe ich allerdings nur mit einem HEX-Editor per Auge verglichen). Dann wird die Datei umbenannt und zwar so: nvpeQsEEUTODXNVqyssQ oder stEQuUUQdUAOllvVqqts oder rVqodagODAGfyssuuaEd .....

Da im Moment nichtmal bekannt ist, ob sich die Dateien überhaupt jemals wieder herstellen lassen, wollte ich um Hilfe bitten.


Michael