Einzelnen Beitrag anzeigen

Benutzerbild von Michael Habbe
Michael Habbe

Registriert seit: 10. Aug 2005
264 Beiträge
 
Turbo Delphi für Win32
 
#3

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 18. Mai 2012, 12:08
Hallo Markus.

Ich hätte mehr Infos geben müssen, war wohl schon zu spät.


Du hast Recht, es gibt diverse Tools von diversen AV-Herstellern. Diese beziehen sich aber nur auf den Verschlüsselungstrojaner, der aus einer normalen "Datei.ext" eine Datei namens "locked-Datei.ext.yxwd" macht. Diese Variante war recht einfacht zu entschlüsseln, da jede Datei mit dem gleichen Schlüssel cryptiert wurde.

Die neue Variante geht rabiater vor. Zuerst mal wird jede Datei mit einem anderen Schlüssel verschlüsselt. Ich habe eine Testreihe mit ein und derselben Bilddatei vorgenommen. Die Datei, die mit unterschiedlichem Dateinamen in ein und demselben Verzeichnis lag, sowie als Kopie in verschiedenen Unterordnern, weist innerhalb der ersten 12288 Bytes keinerlei Ähnlichkeit auf (habe ich allerdings nur mit einem HEX-Editor per Auge verglichen). Dann wird die Datei umbenannt und zwar so: nvpeQsEEUTODXNVqyssQ oder stEQuUUQdUAOllvVqqts oder rVqodagODAGfyssuuaEd .....

Da im Moment nichtmal bekannt ist, ob sich die Dateien überhaupt jemals wieder herstellen lassen, wollte ich um Hilfe bitten.


Michael
Angehängte Dateien
Dateityp: zip kleine jpgs originale.zip (83,9 KB, 28x aufgerufen)
Dateityp: zip kleine jpgs desaster mit ordner.zip (253,8 KB, 22x aufgerufen)
Dateityp: txt struktur.txt (212 Bytes, 38x aufgerufen)
  Mit Zitat antworten Zitat