Es handelt sich hierbei um die neue(?) Ransomware, die Dateien verschlüsselt und im Format "locked-<ursprünglicher Dateiname>.wxyz" ablegt.
Ich habe selber einen betroffenen Rechner (Mein Beitrag im "Log-Analyse und Auswertung"-Bereich: http://www.trojaner-board.de/114110-...ked-wxyz.html]) und wollte eigentlich hier antworten: http://www.trojaner-board.de/114113-...-trojaner.html
Da ich dazu jedoch keine Rechte habe und auch hoffe, dass mir ein ebenfalls Betroffener meinen Fund bestätigt, schreibe ich einfach hier

--- los geht's... ---

Habe die Dateien mal genauer analysiert und mehr oder weniger die "Verschlüsselung" gebrochen..

Meine Erkenntnisse:

* Ein von der Position identisches Byte an einer beliebigen Stelle ist über unterschiedliche Dateien in der verschlüsselten Version weiterhin identisch
* Wenn man zwei unterschiedliche Bytes an der selben Stelle mit dem verschlüsselten Byte XOR'd kommt das selbe Ergebnis raus

=> Alle Dateien sind mit dem selben Schlüssel verschlüsselt (meine Befürchtung war zunächst, dass die zufällige Dateiendung einen Einfluss hat - ist aber nicht so!)
=> Die Dateien sind lediglich bitweise per XOR-Operator mit dem Schlüssel verknüpft

Als Quelle dienen ein paar verschlüsselte Dateien, von denen ich noch die ursprüngliche Version hatte:

Originale Größe: hxxp://matthi.org/hex.png



Schlüssel für die ersten 16 Bytes in hexadezimaler Schreibweise:
5E 9D 42 54 C4 D1 C4 C0 FF 9B CB F6 24 FD B3 E3

Kann jemand bestätigen, ob der Schlüssel bei ihm identisch ist?
-> XOR-Operator auf ver- und entschlüsselte Datei
-> oder mit dem Schlüssel einen gültigen Dateikopf wiederherstellen


Die größte Datei, die mir ver- und entschlüsselt vorliegt, ist 12.9 MB groß.. wenn alles klappt, sollte ich zumindest Dateien die kleiner sind wiederherstellen können.. werde mir mal ein kleines Hilfsprogramm schreiben!


--- UPDATE ---

Beim Auslesen ist mir aufgefallen, dass nur die ersten 4 KBytes verschlüsselt werden - der Rest bleibt unberührt!

Hier ist der 4 KB große Schlüssel, der jedenfalls für _meine_ Dateien funktioniert: hxxp://matthi.org/decrypt.key (ob auch eure Dateien mit dem selben Schlüssel bearbeitet wurden muss sich noch herausstellen...)
Habe damit erfolgreich eine MP3 und ein PDF wiederhergestellt. Werde wahrscheinlich morgen etwas zum Automatisieren basteln..


Gute Nacht

Kann nicht mehr editieren... hier ein schneller Proof-of-concept als Java Applikation, mit der ihr testen könnt, ob der Schlüssel überhaupt für eure Dateien passt:

Download: http://matthi.org/Decrypt.jar
Quelltext: [Java] Decrypt.jar - Pastebin.com

Auf eigene Gefahr und so.. keine Fehlerüberprüfung drin!

Decrypt.jar öffnen, eine verschlüsselte Datei auswählen (z. B. locked-IMG_0324.JPG.wnys) und warten bis sich das Programm beendet.
Es sollte jetzt IMG_0324.JPG im selben Verzeichnis existieren und hoffentlich korrekt entschlüsselt sein!

Hi, umbennen funktioniert, jedoch kommt bei Photoshop eine Fehlermeldung "Vorgang konnte nicht ausgeführt werden, weil ein unbekannter oder ungültiger JPEG-Marker gefunden wurde."
Schade, aber der Versuch war es allemal wert"

Hallo matkuni,

habe dein Script an einer gelockten Excel und einer Textdatei getestet, leider ohne Erfolg! Der Dateiname und die Extension werden zwar auf den Ursprung geändert, aber der Dateiinhalt bleibt unlesbar.

Hast du bei dir alle Files schon entschlüsselt (Erfolgreich?)
Hast du neue Infos oder Lösungen parat?

Hi, ich habe jetzt einige Dateien probiert - wie gesagt umbennen ist eines, wiederherstellen ein anderes. weder *.tif, *.jpg, *.html noch *.txt Dateien lassen sich korrekt öffnen.
Also weitermachen :-)

Okay schade, das wäre auch zu einfach gewesen..
Also ist der verwendete Schlüssel vom System abhängig.

Hat jemand von euch beiden eventuell eine Datei im verschlüsselten Zustand sowie das passende Original?
(EDIT: Die Datei muss mindestens 4 KB = 4096 Byte groß sein!)
(EDIT2: Meine E-Mail Adresse gibt's per PN - oder die Dateien irgendwo hochladen und mir den Link mitteilen, die ersten 4 KB würden reichen..)
Dann könnte man probieren daraus den Schlüssel für euer System abzuleiten!


Sehr genial wäre natürlich, wenn die Schadsoftware auch Dateien befällt, die bei der Installation von Windows mitgeliefert werden.
Dann hätte man nämlich ohne Probleme die ursprüngliche Version. Ich denke da an Beispielbilder oder Ähnliches!

Ich check das gleich mal...
Soll ich dir die als PN senden?

Zitat:

Zitat von Goergi

Ich check das gleich mal...
Soll ich dir die als PN senden?

Gerne, entweder irgendwo hochladen und mir den Link schicken oder meine E-Mail Adresse per PN anfragen.

Hallo Matkuni,
es werden tatsächlich auch die Windows-Beispielbilder befallen.
Ich versuche mal eine Email zu schicken

die verschlüsselung ist, laut eines av herstellers, rc4
der key ist für jeden pc unterschiedlich, er wird anhand einiger hardware basierter infos generiert, aber das ist alles noch nicht raus, da das teil hier relativ neu ist.

Zitat:

Zitat von markusg

die verschlüsselung ist, laut eines av herstellers, rc4
der key ist für jeden pc unterschiedlich, er wird anhand einiger hardware basierter infos generiert, aber das ist alles noch nicht raus, da das teil hier relativ neu ist.

Ja, RC4 kommt hin. Aber halt nur für die ersten 4 KB.
Da der Schlüssel anscheinend für alle auf dem selben System vorhandenen Datei identisch ist, kann man ihn zurückrechnen, falls man das Original der verschlüsselten Datei noch hat. Praktisch ist hier, dass er auch Beispielbilder etc. befällt.

Den Schlüssel direkt aus den Systeminformationen zu generieren kann ich nicht.. da müssen dann die Profis ran
Aber es sieht stark danach aus, dass eine Möglichkeit gefunden wird, alle Dateien zu retten.

was außerdem wichtig ist, mails mit schädlingen, bitte an mich weiter leiten:
http://markusg.trojaner-board.de
außerdem brauche ich komplette mails mit mail headern. diese sollen evtl. bei polizeilichen ermittlungen helfen.
die können dann ebenfalls an die selbe adresse gehen

Zitat:

Zitat von matkuni

Aber es sieht stark danach aus, dass eine Möglichkeit gefunden wird, alle Dateien zu retten.

Ich bin fleißig am Beten....

ja, da wird sicher was gefunden werden, einige antimalware hersteller sind bereits drann.
wenns updates gibt die wir veröffendlichen können, werdet ihrs erfahren.

Hi Markus,
ich habe die komplette Mail noch. Jedoch beim weiterleiten streikt Thunderbird. Ich brauche einen Tip wie ich diese Mail verschicken kann.
Jedenfalls toll, wie ihr euch einsetzt.

kannst du die mail markieren, datei speichern unter wählen, die mail speichern und dann an eine neue mail anhängen?
wenn nicht, sag mir mal ob du winrar instaliert hast.