Hi JohX
Zitat:
ich habe mir gestern mal die Auslagerungsdatei (Pagefile.sys) vorgenommen. Dort findet man massenhaft Verweise auf alte Dateinamen (vor der Verschlüsselung) und neue Dateinamen (syLAoqLgsUVxda).
Das klingt sehr gut
Der Aufbau der pagefile.sys wird hier erklärt:
http://jessekornblum.com/publications/di07.pdf
Hi Torsten
Zitat:
... Hat man da noch ne Chance den "Stecker zu ziehen" um das ganze abzubrechen oder ist man da Chancenlos?
Da hat man sogar sehr gute Chancen bei diesem Trojaner. Maßgeblich für den Verschlüsselungszeitpunkt ist die erfolgreiche Übertragung eines individuellen Passworts an einen C&C-Server. Erst danach wird verschlüsselt. Manchmal gelingt das der Malware auf Anhieb - aber einige Male habe ich auch Stunden gewartet bis die Verschlüsselung stattfand.
Nachdem ich jetzt weiß wie dieser Trojaner tickt, habe ich mir fest vorgenommen künftig sehr geistesgegenwärtig zu sein und bei einem Anzeichen von Malware dem betroffenen Computer so schnell wie möglich das Stromkabel rauszureißen.
VG Marcu
Spontane Idee: den Rechner (wenn voreingestellt per Taste) sofort in den Ruhezustand schicken? Die Auslagerung enthält doch dann den gesamten
RAM Inhalt.