Ich habe @markus320 umgehend einen Link zu meinem FTP geschickt.
Leider wurde bis jetzt noch nichts hoch geladen.

Undertaker

er hat mir auch gemailt, je nach dem ob ichs schneller hab, stell ichs dir natürlich zur verfügung.

@Undertaker
ist das selbe Sample was ich dir schon geschickt hatte sind halt noch n paar bilder datei, kann ich dir hochladen falls gewünscht

Ja, bitte.

Bei mir verschlüsselt er die Dateien nicht. Was soll man machen, damit er einem die Dateien verschlüsselt? :D

glaub nich das der noch verschlüsselt, der server is offline

Das DirtyDecrypt PNG endet beim Offset 64FA.

Tach zusammen,

kann jemand ein paar www - Adressen gebrauchen wo vieleicht der Trojaner sich befindet? Ich habe gerade in meinen Verlauf vom IE gesehen, da sind noch einige Adressen gespeichert auch welche die ich nicht kenne. Können sich Seiten einfach im Verlauf speichern?

Grüße markus320

glaub zwar nich, dass die noch online sind, aber send sie mir mal per privater nachicht.

Hallo,
ich bin neu hier im Forum und suche immer noch nach einer Lösung des DirtyDecrypt Trojaner, da dieser bei mir sehr großen Schaden an ca. 4 bis 6 tausend Bilder (JPG) und auch an PDF Dateien (nicht so wichtig für mich) sowie Office Dateien verursacht hat.

Ich weiß das ich zu arglos war und keine regelmäßige Sicherung / backup durchgeführt habe.

Ich schau regelmäßig hier im Forum vorbei ob sich neue Erkenntnisse zum o.g. Trojaner ergeben haben.

.. zu o.g. Frage: Ich könnte 2 Bilder, ein verschlüsseltes und ein original Bild, zur Verfügung stellen.
Besteht da noch Interesse? Und wenn JA soll ich die hier einfach als Anhang posten?

Denn eins ist klar, mit meinen bescheidenen Fähigkeiten werde ich das Problem niemals lösen können.

Gruß
Hannes

Gibt es mittlerweile eine Lösung um die verschlüsselten Dateien zu entschlüsseln ?

nope.

Ich schließ mich hier mal an.
Ich soll für eine Bekannte Dateien wieder herstellen, die von einem Trojaner verschlüsselt wurden. Leider hat sie keinen blassen Schimmer, welcher TR das war, sie hat ihn bereits gekillt. Die Dateien hat sie mir auf einer externen HDD überlassen. Originaldateien hat sie mangels nicht gemachtem Backup natürlich auch nicht. Die Kaspersky-Scanner habe ich alle drüberlaufen lassen, keine Resultate.
Im Hex-Editor (MX) ist allerdings auffällig, dass alle verschlüsselten Dateien -egal, ob jpg, doc, docx, xlsx, pdf usw. - in der ersten Zeile die selben Werte stehen haben, nämlich:

6C:AF:A3:45:2D: D8:CD:A9:81:04:31:98:0F:49:61:CC

Alle weiteren Werte sind unterschiedlich.

Weiß zufällig einer von euch, welcher TR dahintersteckt? Oder hat ggf. sogar Lösungsvorschläge?

welche Dateiendung haben die Files jetzt?

Erstaunlicherweise keine andere als vorher. Nur der Inhalt ist komplett verändert.

Sie hat mir gerade eine xls-Datei zugeschickt, die sie zufällig noch auf einem Stick hatte. Im Hex unterscheiden sich die gecryptete und die originale vollständig.