@johX

Ich denke nicht, dass uns das wirklich weiterbringen wird. Der zur Verschküsselung genutzte Schlüssel ist sehr wahrscheinlich zumindest anteilig dynamisch. Für jede einzelne Datei wird zudem ein eigener Schlüssel generiert.

@Marcu

Ich konnte anhand eines verseuchten Rechners und Deines Tools nachvollziehen, dass in der temp-Datei (1kb) die Paysafe/Ucash-Nummer mit abgespeichert wird, vermute deshalb, dass Du 1234123412341234 mal zum Testen eingegeben hattest und das nun in Deiner Datei steht. Bei dem verseuchten Rechner wurde eine reale Nummer eingegeben (es wurde NICHT entschlüsselt) und die Nummer steht in der Datei. Habe sie auch mit dem Kundenbeleg verglichen - identisch.