Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Ransomware, how_recover+oho.txt, Dateien als .vvv verschlüsselt

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 15.12.2015, 11:33   #1
hgl
 
Ransomware, how_recover+oho.txt,   Dateien als .vvv verschlüsselt - Standard

Ransomware, how_recover+oho.txt, Dateien als .vvv verschlüsselt



Hallo,
einen Freund von mir hat es erwischt, er hat eine Mail von Bekannten aus den USA bekommen und den Anhang (zip) Datei geöffnet.
Jedenfalls sind seine Dateien jetzt verschlüsselt und ein Backup hat er natürlich auch nicht, wie immer. Ich habe mir jetzt ein paar Dateien, die im Original sowie verschlüsselt vorliegen schicken lassen aber wenn die Aussage "Specially for your PC was generated personal RSA-4096 KEY, both public and private." zutrifft ist da wohl nichts zu machen oder ?.

Avira hat nichts bemerkt.

Hier noch der ganze Text:

how_recover+oho.txt

What happened to your files ?
All of your files were protected by a strong encryption with RSA-4096.
More information about the encryption keys using RSA-4096 can be found here: hxxp://en.wikipedia.org/wiki/RSA_(cryptosystem)

What does this mean ?
This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them,
it is the same thing as losing them forever, but with our help, you can restore them.

111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111
How did this happen ?
---Specially for your PC was generated personal RSA-4096 KEY, both public and private.
---ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet.
111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111
Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.

What do I do ?
So, there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BTC NOW, and restore your data easy way.
If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment.

For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
1. hxxp://vr6g2curb2kcidou.encpayment23.com/9AF0E5B810F14BC8
2. hxxp://vr6g2curb2kcidou.expay34.com/9AF0E5B810F14BC8
3. hxxp://psbc532jm8c.hsh73cu37n1.net/9AF0E5B810F14BC8
4. https://vr6g2curb2kcidou.onion.to/9AF0E5B810F14BC8

If for some reasons the addresses are not available, follow these steps:
1. Download and install tor-browser: hxxp://www.torproject.org/projects/torbrowser.html.en
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: vr6g2curb2kcidou.onion/9AF0E5B810F14BC8
4. Follow the instructions on the site.

IMPORTANT INFORMATION:
Your personal pages:
hxxp://vr6g2curb2kcidou.encpayment23.com/9AF0E5B810F14BC8
hxxp://vr6g2curb2kcidou.expay34.com/9AF0E5B810F14BC8
hxxp://psbc532jm8c.hsh73cu37n1.net/9AF0E5B810F14BC8
https://vr6g2curb2kcidou.onion.to/9AF0E5B810F14BC8
Your personal page (using TOR-Browser): vr6g2curb2kcidou.onion/9AF0E5B810F14BC8
Your personal identification number (if you open the site (or TOR-Browser's) directly): 9AF0E5B810F14BC8
111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111

Alt 15.12.2015, 12:35   #2
Warlord711
/// TB-Ausbilder
 
Ransomware, how_recover+oho.txt,   Dateien als .vvv verschlüsselt - Standard

Ransomware, how_recover+oho.txt, Dateien als .vvv verschlüsselt



Richtig, da ist so gut wie nix zu machen.

Evtl mit Software wie Recuva, oder http://www.trojaner-board.de/115496-...erstellen.html, wobei die Schattenkopien, falls sie denn aktiv waren, von der Malware gelöscht werden.

Der aktuelle Crypter mit der Endung .vvv ist momentan nicht durch Werkzeuge zu entschlüsseln.

In der Vergangenheit konnten bei einigen Verschlüsselern entweder aufgrund schwacher Verschlüsselung oder durch Hochnehmen der Server, die Schlüssel zur Verfügung gestellt werden.

Für diesen Verschlüsseler gibt es nach meinem Sachstand momentan nichts zum Entschlüsseln.
__________________

__________________

Alt 15.12.2015, 13:00   #3
hgl
 
Ransomware, how_recover+oho.txt,   Dateien als .vvv verschlüsselt - Standard

Ransomware, how_recover+oho.txt, Dateien als .vvv verschlüsselt



Das hatte ich befürchtet. Die Verschlüsselung erfolgt scheinbar mit TeslaCrypt.

Eine theoretische Möglichkeit wäre vielleicht den Rechner nochmal zu infizieren und mit einem Sniffer die Kommunikation des Trojaners mit seinem Server zu loggen und zu hoffen, das der gleiche Schlüssel nochmal generiert wird und sich irgendwie lesen lässt.
__________________

Alt 15.12.2015, 13:17   #4
Warlord711
/// TB-Ausbilder
 
Ransomware, how_recover+oho.txt,   Dateien als .vvv verschlüsselt - Standard

Ransomware, how_recover+oho.txt, Dateien als .vvv verschlüsselt



Zitat:
Zitat von hgl Beitrag anzeigen
Das hatte ich befürchtet. Die Verschlüsselung erfolgt scheinbar mit TeslaCrypt.

Eine theoretische Möglichkeit wäre vielleicht den Rechner nochmal zu infizieren und mit einem Sniffer die Kommunikation des Trojaners mit seinem Server zu loggen und zu hoffen, das der gleiche Schlüssel nochmal generiert wird und sich irgendwie lesen lässt.
Google mal asymmetrischer Verschlüsselung...

Oder hier:

https://de.wikipedia.org/wiki/Public...lungsverfahren

Das erneute Infizieren bringt garnix nur weitere Sicherheitsprobleme.

Es gibt einen Private Key, den haben die Erpresser und er ist nicht bekannt.
Es gibt einen Public Key, der ist Bestandteil der Malware.

Das Grundprinzip asymmetrischer Verschlüsselung ist, das ein Datei X durch den Public Key P zwar verschlüsselt werden kann, die Entschlüsselung nur mit dem Private Key S möglich ist.

Durch die hohe Bittiefe die hier wohl tatsächlich 4096bit beträgt, ist ein "Knacken" nicht möglich bzw. nicht effektiv möglich.
__________________
Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie | Spende | Lob & Kritik

Alt 15.12.2015, 14:13   #5
hgl
 
Ransomware, how_recover+oho.txt,   Dateien als .vvv verschlüsselt - Standard

Ransomware, how_recover+oho.txt, Dateien als .vvv verschlüsselt



Den Rechner setze ich ihm so oder so neu auf es geht nur um ein paar wichtige Daten.

Der Schlüssel besteht aus einem geheimen und einem öffentlichen Teil.
Der öffentliche Teil genügt zum Verschlüsseln.
Zum Entschlüsseln braucht man aber beide.

Wenn ich jetzt aber massenhaft erpressen will und gegen Bezahlung den geheimen Schlüssel herausgebe, wäre es doch unklug nur einen geheimen Schlüssel zu haben. Eine Möglichkeit wäre das Schlüsselpaar beim verschlüsseln zu erzeugen und an einen Server schicken der die individuellen Schlüsselpaare speichert. Der geheime Teil wird dabei lokal nicht gespeichert und bleibt für den Erpressten geheim. Und diese Kommunikation mit dem Server möchte ich loggen.

Soweit die Theorie ...

Nachtrag:

Soeben gefunden:
hxxp://www.heise.de/forum/heise-online/News-Kommentare/Verschluesselungstrojaner-Neue-TeslaCrypt-Version-grassiert/Mal-paar-Details-zu-den-Infektionen/thread-4108771/#posting_24005539

Da sieht eher nach einer anderen Generierung der Schlüssel aus.


Geändert von hgl (15.12.2015 um 14:48 Uhr)

Alt 15.12.2015, 14:57   #6
Warlord711
/// TB-Ausbilder
 
Ransomware, how_recover+oho.txt,   Dateien als .vvv verschlüsselt - Standard

Ransomware, how_recover+oho.txt, Dateien als .vvv verschlüsselt



Ich möchte dich nur ungern enttäuschen und ich wollte es eigentlich so einfach wie möglich halten.

Du kannst natürlich gern irgendwas nochmal infizieren lassen und mitschneiden, nur hilft es dir trotzdem nicht.

Im Detail läuft das so ab:

Der Cryptor erstellt einen Session-Key, der nur für diese Sitzung gültig ist und am Rechner des Opfers erzeugt wird.
Damit wird der Content (Bilder,Dokumente usw) symmetrisch verschlüsselt
Nach getaner Arbeit wird der Symmetrische Schlüssel mit dem Public Key des asymmetrischen Schlüsselpaars verschlüsselt, der ursprüngliche symmetrische Schlüssel wird gelöscht bzw. vorher noch an einen C&C Center geschickt.

Die Meldung geht auf, mit deinem "Persönlichen Bereich" im TorBrowser, der persönliche URL Teil ist ein Hinweis auf den symmetrischen Schlüssel.

Den "Erpressern" darfst du dann die Serial zum verschlüsselten symmetrischen Key schicken + Geld.
Sobald du die Kohle bezahlt hast, erhältst du den wieder entschlüsselten symmetrischen Key.

Der Key wird RANDOM beim starten erzeugt, du wirst durch eine Neuinfektion nicht den selben symmetrischen Key erhalten.

https://nakedsecurity.sophos.com/201...are-explained/
__________________
--> Ransomware, how_recover+oho.txt, Dateien als .vvv verschlüsselt

Alt 15.12.2015, 18:35   #7
hgl
 
Ransomware, how_recover+oho.txt,   Dateien als .vvv verschlüsselt - Standard

Ransomware, how_recover+oho.txt, Dateien als .vvv verschlüsselt



Danke für den Link, da ist natürlich nichts zu machen.

Oder doch ...

Habe ich gerade gefunden:

Cisco hat eine Tesla Decrypter Toool, hat das jemand schonmal ausprobiert ?

hxxp://blogs.cisco.com/security/talos/teslacrypt

Download: https://github.com/vrtadmin/TeslaDecrypt

Der Trojaner legt scheinbar ein File mit Keys auf der Platte an und die brauch das Tool, deshalb kann ich es nur mit den verschlüsselten Dateien nicht ausprobieren.

Ich lass mir den Rechner mal vorbei bringen, die Hoffnung stirbt zuletzt.


Ich lass mir jetzt mal den Rechner bringen und probier das mal aus

Antwort

Themen zu Ransomware, how_recover+oho.txt, Dateien als .vvv verschlüsselt
about, anhang, computer, data, datei, dateien, download, erwischt, files, found, freund, help, home, ide, information, install, installation, mail, natürlich, nichts, not, personal, please, private key, public key, recover, rsa-4096, start, this



Ähnliche Themen: Ransomware, how_recover+oho.txt, Dateien als .vvv verschlüsselt


  1. Dateien verschlüsselt mit Erpresserschreiben
    Plagegeister aller Art und deren Bekämpfung - 13.12.2015 (1)
  2. Virus verschlüsselt Dateien
    Plagegeister aller Art und deren Bekämpfung - 02.11.2015 (1)
  3. Chimera Ransomware eingefangen - Alle Dokumente verschlüsselt - gibts nen Decryptor?
    Log-Analyse und Auswertung - 22.10.2015 (1)
  4. PDF und Doc Dateien verschlüsselt
    Plagegeister aller Art und deren Bekämpfung - 15.10.2015 (7)
  5. Dateien verschlüsselt evt. Cryptowall
    Log-Analyse und Auswertung - 09.09.2015 (4)
  6. XTBL - Dateien verschlüsselt
    Plagegeister aller Art und deren Bekämpfung - 29.07.2015 (4)
  7. Win 7: Dateien verschlüsselt
    Log-Analyse und Auswertung - 15.02.2015 (9)
  8. PC gehackt und Dateien verschlüsselt
    Plagegeister aller Art und deren Bekämpfung - 20.01.2015 (8)
  9. Trojaner hat Dateien verschlüsselt
    Plagegeister aller Art und deren Bekämpfung - 29.12.2014 (2)
  10. Virus hat Dateien verschlüsselt
    Plagegeister aller Art und deren Bekämpfung - 02.02.2013 (1)
  11. BKA 14.1 Dateien Verschlüsselt
    Log-Analyse und Auswertung - 16.10.2012 (1)
  12. Bundestrojaner dateien verschlüsselt
    Log-Analyse und Auswertung - 22.09.2012 (1)
  13. Bild-Dateien verschlüsselt
    Plagegeister aller Art und deren Bekämpfung - 19.07.2012 (5)
  14. Trojaner -- Dateien verschlüsselt
    Log-Analyse und Auswertung - 10.06.2012 (4)
  15. Eigene Dateien Verschlüsselt
    Plagegeister aller Art und deren Bekämpfung - 23.05.2012 (8)
  16. alle doc-Dateien verschlüsselt
    Plagegeister aller Art und deren Bekämpfung - 22.05.2012 (7)
  17. Trojaner Dateien verschlüsselt
    Log-Analyse und Auswertung - 15.05.2012 (12)

Zum Thema Ransomware, how_recover+oho.txt, Dateien als .vvv verschlüsselt - Hallo, einen Freund von mir hat es erwischt, er hat eine Mail von Bekannten aus den USA bekommen und den Anhang (zip) Datei geöffnet. Jedenfalls sind seine Dateien jetzt verschlüsselt - Ransomware, how_recover+oho.txt, Dateien als .vvv verschlüsselt...
Archiv
Du betrachtest: Ransomware, how_recover+oho.txt, Dateien als .vvv verschlüsselt auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.