@Marcu

Du hast aber auch ein bischen einen Dickschädel, oder? Das find ich prima, ich nämlich auch Ich hoffe, Du findest noch etwas raus, war heute leider wieder sehr eingespannt & würde aktuell auch gern weiter debuggen. In welche Datei schreibt er denn, diese 1kb im temp? Ich bin gespannt auf Neuigkeiten, auch wenn Sie negativ sein sollten. Es ist halt auch sehr interessant, zu verstehen wie die Dinger funktionieren. Good Luck!

@ThomasN
Ja, ich hatte auch erst gedacht, dass es sich um den alten handelt, aber später wird der Artikel eindeutiger und was da beschrieben wird, trifft auf unseren Kandidaten zu.

@RMC
Das Problem an diesem Vorschlag ist nicht unbedingt die Zahlung der 100€. Wenn sich damit wirklich etwas ableiten ließe, ok. Dem wird aber sehr sicher nicht so sein, denn bisher sieht es so aus, dass die Malware das Modell einer symmetrischen Verschlüsselung so zusagen in ein semi-asymmetrisches Modell überführt. Auf dem PC wird demnach ein Schlüssel generiert, der aus mehreren Teilen besteht. Mit diesem Schlüssel bzw. Ableitungen hiervon wird dann verschlüsselt und ein Teil des Keys an die C&C-Server übertragen, aber vermutlich nicht auf dem PC gespeichert. Prinzipiell könnten wir also auch herausbekommen, wie der Schlüssel selbst generiert wird und können sogar die Dateien auf einem Debugging-Rechner wieder entschlüsseln. Das Problem sind aber die Rechner, auf denen die Verschlüsselung schon durch ist, denn hier fehlt dann der Teilschlüssel, der zudem Zufallswerte enthalten kann, die sich nicht "zurückrechnen" lassen. Wenn der Trojaner also nicht den ganzen Schlüssel auf dem PC hinterlassen hat, war es das.

@markusg
Wie sah denn die Netzwerk-Kommunikation bei der alten (locked-...) Variante aus, hat der Trojaner da ähnlich agiert?

@all
Jemand aus der Schweiz anwesend? Weil ein whois horad-fo.com u.a. hier hin führt: 84.72.41.161.