Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)

Undertaker

moin moin,
was man aufheben und/oder sichern sollte, ist schwer zu sagen, solange nicht exakt bekannt ist, welche Informationen letztendlich den Schlüssel bilden.
Die Leute hier, wie beispielsweise @markusg oder @pcberlin und die Leute von Delphi-Praxis sind ja dem "Schlüsselmacher" schon auf der Spur.

Wir dürfen nicht vergessen, dass die Wühlerei in den Eingeweiden des Übeltäters zeitintensiv ist und neben der regulären Arbeitszeit durchgeführt wird.
So müssen Ergebnisse oder Vermutungen verifiziert und ausgetauscht werden und einen Debugger hat auch nicht jeder immer am Laufen.

Desweiteren hat sich der Trojaner seit Mitte April in unterschiedlichen Varianten gezeigt, sodass es garnicht mal sicher ist, dass eine Schlüsselroutine, wenn sie denn mal exakt gefunden wird, für die Version 1.150.1 auch auf Version 1.140.1 angewendet werden kann, obwohl das Schadensbild identisch scheint.

Wenn ich die Ausführungen bei Delphi-Praxis richtig interpretiere, dann besteht sogar der Verdacht, dass die Seriennummer der HDD einen Teil des Schlüssels liefert.
Wenn dem so sein sollte, dann ist eine Sicherung der Daten auf ein anderes Laufwerk, ohne Sicherung der HDD-Serial des Sorcelaufwerkes auch nicht ausreichend.

Ein Optimum wäre der Ausbau der HDD, aber wer macht das schon.
Höchstens diejenigen, für die der Datenbestand existenziell wichtig ist, aber die haben sicherlich ohnehin recht aktuelle Backups.

Ich möchte in diesem Zusammenhang nochmal darauf hinweisen, dass relativ sichere Backups für jedermann möglich sind, ohne dass man sich finanziell ruiniert.
Siehe http://www.trojaner-board.de/115678-...r-backups.html

Gruß Volker