@BitFreak,
möglicherweise ein Trittbrettfahrer oder Kommunikatstionsprobleme des Virus mit dem C&C Server, bevor die Codierroutine einsetzt.
Möglicherweise auch doch eine Art von Mitleid der Trojanercoder.

Ich würde mich nicht darauf verlassen, denn bisher wurden tatsächlich die Dateien von 0000h bis 2fffh umgeschrieben, nachdem der Virus den Decodierschlüssel an den C&C Server übertragen hatte.

Hast Du den Dropper noch?
Wenn ja, bitte an markusg schicken.

Sendet uns den Virus

Volker

Leider nicht, die Mail lag bei denen auf dem Exchange-Server und wurde dann gelöscht.

Hatte heute 2 PC's mit der 1.5xx.x - Version.
Keine Verschlüsselung mehr - der C&C u.a.
scheint "down" zu sein !?

Recht gute Ergebnisse bei der Wiederherstellung hab ich unter Ubuntu mit foremost und photorec erzielen können. Die Dateinamen und der Ort sind zwar weg (z.B.: output/jpg/12345.jpg), aber wenigstens der Typ wird erkannt. Besser als nichts!

Ihr solltet zuerst ein Image der Platte mit dd_rescue erstellen und alles weitere dann aus diesem Image auf einer 2ten Platte machen. Vielleicht kommt ja doch noch eine komplette Lösung zum Entschlüsseln.

@ BitFreak..

Habe mir nun tuneup geladen nur wo komme ich oder wie komm ich in den ordner...
was du das geschrieben hast mit dem pfad...

Zitat:

Zitat von Undertaker

Hast Du den Dropper noch?
Wenn ja, bitte an markusg schicken.

Sendet uns den Virus

Volker

Wenn man einen geschickt bekommt, soll man das immer gleich an Markus schicken? Kann er das brauchen? Oder braucht er nur bestimmte Versionen. Möchte nicht mit lästigen Mails zu müllen.

Man sollte die Mail ja aus dem Mail Programm als eml speichern. Wie ist das bei Outlook machbar? Wenn ich auf speichern unter gehe kann ich die Nachricht nur als msg speichern.