Zurück   Trojaner-Board > Malware entfernen > Diskussionsforum

Diskussionsforum: XRTN Ransomware Bekämpfung

Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben.

Antwort
Alt 14.12.2015, 20:00   #1
sophomore
 
XRTN Ransomware Bekämpfung - Standard

XRTN Ransomware Bekämpfung



Hallo Leute,

Da ich hier neu bin, kann ich leider nicht direkt bei den anderen Threads antworten, sondern muss diesen neuen aufmachen. Naja, vielleicht können wir ja hier Informationen sammeln. Es geht um die Ransomware, die alle Dateien verschlüsselt und als ".xrtn" ablegt.

Ich bin zwar eigentlich Programmierer, aber weil mein Chef sich diese Malware eingefangen hat, hab ich mir mal seinen Computer näher angesehen. Zum ersten haben wir zusammen die Ursache gefunden: ein böser JavaScript code (https://gist.github.com/anonymous/b60ff3e4562c0ad0a1c9). Na gut, den habe ich also mal ein bisschen Kommentiert, um zu sehen was er genau macht: https://gist.github.com/anonymous/106f832b42c23e58ea17.

Das JavaScript lädt also ein paar Dateien von einem Server herunter:
  • Do_88u.css, was in Do_88u.docx umbenannt und geöffnet wird
  • design.css, was in gpg.exe umbenannt wird
  • br.css, was in dsfsdghd.bat umbenannt und ausgeführt wird

Mein Chef hat kein Word installiert, also hat das öffnen des Word-Dokumentes nichts bewirkt. Ich kann mir aber gut vorstellen, dass mit dem Wort-Dokument ein paar Makros installiert werden, die dafür Sorgen, dass sich die Malware fortpflanzt (bei uns kam sie als Anhang an, der eigentlich ein Wort-Dokument sein sollte).

Interessanter wird es bei der BAT Datei. Diese sieht (ein wenig optisch aufgebessert) so aus: https://gist.github.com/anonymous/4fb6f41df65b47dc5421. Ich habe mir die nur flüchtig angesehen, aber im Prinzip erreicht sie folgendes:
  1. Dateien werden verschlüsselt
  2. Legt ein paar Dateien in %TEMP% an, die per Registry in den Autostart kommen, damit die Zahlungsaufforderung am Start angezeigt wird

Das interessante liegt beim verschlüsseln, denn: die Malware nutzt asymmetrische verschlüsselung mittels GPG. Bei der asymmetrischen Verschlüsselung gibt es ja zwei verschiedene "Passwörter" zum verschlüsseln, und das nutzt sie folgendermaßen:
  • Sie bringt einen Public Key mit, dessen Private Key nur die Script Kiddies besitzen, die die Malware geschrieben haben
  • Sie legt ein neues Public (verschlüsseln)/Private (entschlüsseln) Keypaar mit gpg.exe an
  • Sie verschlüsselt alle Dateien mit einer bestimmten Endung mit dem public key mit gpg.exe
    und legt sie als dateiname.xrtn ab
  • Sie verschlüsselt den Private Key (den man zum entschlüsseln bräuchte) mit dem mitgebrachten Public Key

Ergo müsste man zum entschlüsseln den verschlüsselten Private Key an die netten Scammer schicken, die ihn dann entschlüsseln könnten.

Meine Idee war folgende: wenn das Keypair erst auf dem System generiert wird, muss es ja irgendwann mal auf der Festplatte gelegen haben. Die Malware löscht den ja auch nicht sicher, und Dateisysteme wie NTFS überschreiben inodes, die zu gelöschten Dateien gehören, ja nicht direkt. Also habe ich Linux gestartet, und die Festplatte nach ungenutzten inodes durchsucht, die aussehen wie ein Key, habe aber leider (noch) nichts gefunden.

Meine Fragen sind:
@riesel: wie viel musstest du bezahlen?
@DHa: kennst du dich ein bisschen mit Linux aus? Dann könntest du das selbe versuchen, was ich probiert habe, vielleicht klappt es ja.
@all: hat sonst noch jemand Ideen/Tipps, was man machen könnte?

Ich habe ein komplettes Image der Festplatte und ein paar andere Dateien herausfischen können, die interessant aussehen, unter anderem den Public Key. Die benutzen nur RSA mit 1024 bits!

Alt 18.12.2015, 15:37   #2
Maizey
 
XRTN Ransomware Bekämpfung - Standard

XRTN Ransomware Bekämpfung



Hallo,

wir hatten diesen Trojaner auch.
Einige von den Dingen die du beschreibst konnte ich auch bei der ersten Durchsicht des Trojaners erkennen. Interessant finde ich, dass es den eigenen Private Key auch kurze Zeit unverschlüsselt auf der eigenen Festplatte gab.
Konntest du herausfinden an welcher Stelle er gelöscht wird oder wo er überhaupt standardmäßig abgelegt wird?

*EDIT*
Zitat von Bleepingcomputer:
The batch file will then execute the cipher /w command on every drive letter in order to overwrite free disk space so that you unable to use file recovery tools.

Das passiert nachdem der Privkey verschlüsselt wurde.


Gruß
Maizey
__________________


Geändert von Maizey (18.12.2015 um 15:47 Uhr)

Alt 12.01.2016, 19:14   #3
Seavers
 
XRTN Ransomware Bekämpfung - Standard

XRTN Ransomware Bekämpfung



Hallo,
ich wollte den alten Thread mal wiederbeleben, um eventuell etwas zur Lösung des Problems beitragenzu können (natürlich nicht ganz uneigennützig, da ich hoffe so die Daten meiner Freundin wieder entschlüsseln zu können):

Hier hat die Ransomware auch zugeschlagen (kam übrigens aus einer Bewerbung mit einwandfreiem Deutsch) und wurde zum Glück entdeckt und entfernt, bevor alles verschlüsselt wurde.

Ich habe noch die Dateien gefunden, die erstellt wurden, bevor die meisten .xrtn-Dateien zuletzt geändert (also verschlüsselt) wurden.

Vielleicht kann ja jemand was damit anfangen.

Viele Grüße

Seavers
__________________

Alt 12.01.2016, 21:21   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
XRTN Ransomware Bekämpfung - Standard

XRTN Ransomware Bekämpfung



Sieht leider sehr schlecht aus: XRTN Ransomware uses Batch Files to Encrypt your Data

"Unfortunately, at this time there is no way to decrypt the files for free without first obtaining the master private decryption key, which is known only by the malware developer. As this is not likely to happen any time soon, the only options are to restore your data via backup."
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu XRTN Ransomware Bekämpfung
.xrtn, antworten, asymmetric, autostart, code, computer, crypto, dateien, entschlüsseln, festplatte, folge, frage, gpg.exe, image, javascript, leute, linux, lädt, malware, neu, neue, neues, passwörter, private key, public key, ransomware, registry, server, system, temp, verschlüsselung, öffnen




Ähnliche Themen: XRTN Ransomware Bekämpfung


  1. ransomware .xrtn - decrypt klappt nicht
    Plagegeister aller Art und deren Bekämpfung - 17.12.2015 (4)
  2. ansomware .xrtn - Entschlüsslung gesucht!
    Plagegeister aller Art und deren Bekämpfung - 15.12.2015 (7)
  3. Virus XRTN endung 00088.key
    Plagegeister aller Art und deren Bekämpfung - 14.12.2015 (2)
  4. Trojaner xrtn Dateien
    Log-Analyse und Auswertung - 11.12.2015 (5)
  5. XRTN Encrypt Trojaner
    Plagegeister aller Art und deren Bekämpfung - 11.12.2015 (1)
  6. Chimera Ransomware
    Log-Analyse und Auswertung - 14.11.2015 (3)
  7. Chimera Ransomware
    Plagegeister aller Art und deren Bekämpfung - 30.10.2015 (4)
  8. Ransomware Virus
    Log-Analyse und Auswertung - 09.06.2015 (5)
  9. GVU-Ransomware / Bin ich sie schon los?
    Log-Analyse und Auswertung - 27.06.2013 (13)
  10. Spamhaus Ransomware entfernen
    Anleitungen, FAQs & Links - 22.05.2013 (2)
  11. Ransomware auf meinem PC :(
    Plagegeister aller Art und deren Bekämpfung - 02.10.2012 (10)
  12. PC-Sperre/Polizeivirus (ransomware)
    Log-Analyse und Auswertung - 16.07.2012 (7)
  13. Ukash-BKA Trojaner - Ransomware
    Plagegeister aller Art und deren Bekämpfung - 16.02.2012 (11)
  14. 50 Euro ransomware Problem :-/
    Plagegeister aller Art und deren Bekämpfung - 09.02.2012 (1)
  15. Ransomware (Survey) HILFE ;(
    Plagegeister aller Art und deren Bekämpfung - 18.07.2011 (2)
  16. Bekämpfung von spyware
    Plagegeister aller Art und deren Bekämpfung - 06.02.2007 (8)
  17. Bekämpfung von Spyfalcon
    Mülltonne - 14.05.2006 (2)

Zum Thema XRTN Ransomware Bekämpfung - Hallo Leute, Da ich hier neu bin, kann ich leider nicht direkt bei den anderen Threads antworten, sondern muss diesen neuen aufmachen. Naja, vielleicht können wir ja hier Informationen sammeln. - XRTN Ransomware Bekämpfung...
Archiv
Du betrachtest: XRTN Ransomware Bekämpfung auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.