Hallo,
anbei mal die Daten und Erkenntnisse, die ich auf einem betroffenen System so gesammelt habe:

Trojaner
Name: Unterlagen.pif
Datum: Mittwoch, 23. Mai 2012, 21:51:40
Grösse 48.128 Bytes
MD5: e7c55ac32bd694ec72200c31d6f4793e

"Sicherheitskopie" Trojaner
Name: AppData\Roaming\Gutfvyrtff\6E3A053CEABDDA2E2FFE.ex e
Datum: Mittwoch, 23. Mai 2012, 22:25:03
Grösse 48.128 Bytes
MD5: e7c55ac32bd694ec72200c31d6f4793e

Temp-Dateien:

Name: EABDDA2E48542D584E490078
Datum: Mittwoch, 23. Mai 2012, 22:25:18
Grösse: 1.048 Bytes
MD5: 02c4734330ebfaf54e494642a0188a35

Name: EABDDA2E48542D584E49.$02
Datum: Mittwoch, 23. Mai 2012, 22:29:59
Grösse: 2,55 MB (2.676.578 Bytes)
MD5: 2e1dbf0e11c23ef8301ac5c8617cada4

Ich gehe ganz stark davon aus, dass sich in der 2,5 MB Temp-Datei in verschlüsselter Form die neuen Dateinamen inklusive der zugehörigen Original-Dateinamen befinden. Das würde die unterschiedliche Datei-Grösse im Vergleich zu anderen betroffenen Systemen erklären. Evtl. ist dort auch der (Teil-)Schlüssel zur Verschlüsselung gespeichert. Da berichtet wurde, dass redundante Dateien nach dem Verschlüsseln unterschiedlich verschlüsselt sind und verschiedene Dateinamen haben wird wohl wahrscheinlich der Dateiname Bestandteil des Schlüssel sein oder halt ein entsprechender gespeicherter Wert.

Ich vermute die kleine Datei wird irgendwie einen heruntergeladenen oder generierten Schlüssel enthalten. Erstellungsdatum ist 15 Sekunden nach Aktivierung, bzw. Replikation des Trojaners im System. Die Dateigrösse scheint bei allen betroffenen Systemen gleich zu sein.

Vielleicht bringen diese Daten ja einen passenden Denkanstoss in die richtige Richtung.

Habe leider von Kryptographie wenig bis garkeine Ahnung und zum Debuggen fehlen mir die Möglichkeiten.

Den Decrypter-Algo habe ich mir schon in ein kleines Testprogramm implementiert. Falls es was zu testen gibt, helfe ich gerne, mit Delphi kann ich umgehen und ich habe knapp 2gb verseuchte kleine Dateien mit den zugehörigen Originalen.