Die Verschlüsselungsroutine ist schwer zu finden. In der Virusdatei die ich habe, gibt es nichts was danach ausschaut. Ich vermute, dass der Virus die Verschlüsselungroutine noch irgendwann downloaded. Leider weiß ich noch nicht wie man das triggert. Ich gehe optimistisch davon aus, dass es so eine Routine gibt. Natürlich könnte auch lediglich Trash in die Dateien geschrieben worden sein
Aber so sind die Vorgängerversionen dieses Virus nicht geschrieben.
Die Version (60.928 Bytes) bei der die Entschlüsselungsroutinen versagen, hängt sich per Codeinjection in "ctfmon.exe" bei 0x7FF94D59 ein. Dann werden erstmal regedit, Taskmanager etc. unzugänglich gemacht und eine Cab-datei mit 6 Bildschirmmaskenbilder runtergeladen. Dann noch eine Textdatei in der Bla-bla Drohungen und Forderungen für den Fall von mehreren Cashcode-Fehleingaben steht. Aber eben kein Code mehr. Danach macht der Virus den Desktop dicht und zeigt seine Forderung.
Und an diesem Punkt hänge ich momentan. Die Verschlüsselung der Dateien will bei mir einfach nicht starten. Es gibt kein weiteres download mehr. Es geschieht nichts weiteres.
Mein Rechner erfüllt anscheinend nicht die geforderten Systemvorrausetzungen für diesen Virus
Falls da mal einer reinschauen will.... ich wäre für jede Idee oder Hinweis sehr dankbar!
Viele Grüße
Marcus