Zitat:

Das sieht so aus, als hättet Ihr den Rechner erst platt gemacht und nehmt an, dass keine Shadows da waren.
Wenn dem so ist, dann war das ein grober Fehler.

Schon klar,
wir haben natürlich VORHER nachgesehen, ob da Schattenkopien da waren.
UND wir haben für den Ernstfall auch noch ein Festplatten-Image gezogen, wir könnten also auch jederzeit wieder zurück...

Also:
Das "wohl" nehme ich hiermit zurück, es waren keine Schattenkopien zu sehen.
Welche Variante ich habe, dachte ich mit

Zitat:

...einen Kunden mit dem gleichen Problem, also den verschlüsselten Dateien ohne locked-.

gesagt zu haben.
Ich weiss allerdings nicht genau, welche Varianten-Version das ist. Eben die mit den DsnnssJnfjApVOAXpO Dateien.

Ich habe den Virus (inkl. Mail) hier, eine saubere Datei und das verschlüsselte Gegenstück und bin bereit, wie auch immer zu helfen.

Und ich hab mich nicht wirklich an einen rettenden Strohhalm gehangen mit meiner Frage und nicht genau gelesen, was oben steht, sondern wollte eigentlich nur erfahren, ob man mit einem Decrypter noch rechnen kann.

Die Idee mit der Herstellerfirma ist nicht verkehrt, da könnte man mal nachhaken!

Wie gesagt...wenn ich helfen kann, gerne!

Danke
Sascha

Zitat:

Zitat von tafkaz

UND wir haben für den Ernstfall auch noch ein Festplatten-Image gezogen, wir könnten also auch jederzeit wieder zurück...

OK, sind also doch noch ein paar Fachleute unterwegs.
Dein Posting war da etwas irreführend.

Zitat:

Ich habe den Virus (inkl. Mail) hier, eine saubere Datei und das verschlüsselte Gegenstück und bin bereit, wie auch immer zu helfen.

Den Dropper schicke bitte an @markusg, der Link steht in meiner Signatur.
Das Dateipaar hilft wenig, da jede Datei ihren eigenen Schlüssel besitzt.
Das Verschlüsselungsprozedre und wo die Verknüpfungen zwischen Originaldatei, verschlüsselter Datei und Schlüssel zu finden sind, ist bekannt, nämlich in der *.$02, zu finden im Temp-Verzeichnis des Benutzers.
Allein der Schlüssel für diese Datei befindet sich nicht auf dem Rechner, sondern auf irgend einem C&C Server, wenn er überhaupt gespeichert wird.

Volker

Ok prima! :-D
Dann schick ich das gleich mal raus, wenn ich ein paar Minuten hab.
Sieht also nicht so aus, also ob man da irgendwann eine Datei entschlüsseln können wird, was?

Sch*****...

Nunja...weiss ich Bescheid.

Danke
Sascha

Zitat:

Zitat von tafkaz

Sieht also nicht so aus, also ob man da irgendwann eine Datei entschlüsseln können wird, was?

wie gesagt, je nach Dateityp kann man durch entzippen, einfaches Kopieren der ersten 12k oder ähnlichem schon was machen.

wenn .bps einfach ne umbenannte .zip ist, wirds relativ einfach, dann kann man sehr schnell sehen, was verschlüsselt ist.

Joh

Also Jungs, ich habe nun die letzten 30 Seiten hier mal - aus purer langeweile *ggg* (nee iss klaar!) - durchgelesen und habe für Euch, bzw. Euren Admin einen Tipp: Baut einen Button für die Helfer hier ein, der eine Standartantwort postet. Das geht ja über keine Kuhhaut wie teilweise auf ein und derselben Seite die Leute die gleiche dumme Frage stellen, obwohl ein Post darüber schon auf die TopBox hingewiesen wurde.

Ich betreibe selber ein Hardware-Forum und kenne solche Pappenheimer die falsch posten auch, aber Eure Geduld hier ist nur mit einem Verbeuger zu würdigen - krass! Ich wäre bestimmt schon in die Klappse eingewiesen worden, weil ich angst hätte ich würde mir meine ständig gleiche Antwort nur einbilden und hätte die in der realen Welt garnicht gespostet, sodass es verständlich wäre, wenn die Leute dauernd nachfragen..... verrückte Welt :P

Meinen Respekt habt Ihr!

gruß,
Mario