Na ja, Werbung macht BC nicht. Allerdings scheint die Kapitulation gegenüber den Gangstern, bei eine Infizierung mit einer Trojaner-Variante nach dem 1.4.14, die einzige Chance zu sein, seine Daten wieder zu bekommen.
Symantec hat ja die Klappe nicht halten können, sonst wäre es für viele vielleicht einfacher gewesen.

Wie vor zwei Jahren, ist hier weider der Beweis für eine richtige Datensicherung, vor allem, wenn man auf diese angewiesen ist.

Zitat:

Zitat von Undertaker

Na ja, Werbung macht BC nicht. Allerdings scheint die Kapitulation gegenüber den Gangstern, bei eine Infizierung mit einer Trojaner-Variante nach dem 1.4.14, die einzige Chance zu sein, seine Daten wieder zu bekommen.

Deshalb schrieb ich auch "indirekt". Ich halte es für fragwürdig und gefährlich, auf die Methode der Gangster zu verweisen, weil man z.Zt. den aktuellen CL nicht entschlüsseln kann, da dies Trittbrettfahrer auf den Plan ruft. Es ist auch nie garantiert, dass man den Schlüssel für seine Daten auch wirklich bekommt.

Wenn es wirklich wichtige Daten sind (und ich meine nicht Urlaubsvideos o.ä.) dann hat man i.d.R. auch eine Sicherung und der Schaden ist nicht ganz so groß.

Blöde Frage: Wie kommt der Trojaner an die Information, welche und vorallem wie viele Dateien in einem Verzeichnis liegen?
Er wird ja wohl auch irgendwann einmal eine Verzeichnisabfrage starten müssen?
Annahme 1: Trojaner ermittelt, ob es ein Verzeichnis "Bilder" o.ä. gibt:
-> Könnte man diese Abfrage nicht irgendwie abfangen und verändern, so dass z.B. die Ordner "Bilder" oder "Dokumente" für den CL nicht mehr sichtbar sind? (Gewollter Patch von "NtQueryDirectoryFile")

Annahme 2: Die Pfade von "Bilder" und "Dokumente" sind im Trojaner hardcodiert und er fragt nicht nach, ob die Pfade existieren. Sieht er das Verzeichnis "Bilder" nicht, kann er trotzdem herausfinden, wie viele Dateien darin sind, und sie alle verschlüsseln.
-> Man verschiebt/kopiert alle seine Sachen in einen unauffälligen Ordner wie z.B. "Neuer Ordner", oder benutzt "Neuer Ordner" direkt von Anfang an als Speicherort für das neue Word-Dokument oder die Ferienbilder.
Anschliessend verändert man die Verzeichnisabfrage, so dass "Neuer Ordner" nicht mehr im Ordnerlisting (des CLs) auftaucht, so sieht dieser den Ordner und somit die wertvollen Dateien gar nicht erst.

Vorteil gegenüber Datei-Backup / Virensignatur vom CryptoLocker:
- Man muss sich nicht lange mit Backup-Lösungen befassen (ich z.B. hasse Backups) und man muss nur einen einzigen Namen im Verzeichnis-Listing ausblenden,
- Man hätte automatisch einen wirklich heuristischen Schutz, da ja jede Variante, egal wie neu, immer noch irgendwann mal eine grundlegende Verzeichnisabfrage starten muss.

Nachteile:
- Verleitet vielleicht dazu, Backups für immer zu ignorieren, obwohl es auch irgendwann mal die Festplatte selber treffen könnte (kein malwarebedingter Schaden)
- Findet der CL das "verborgene" Verzeichnis doch irgendwie (RAW-Lesezugriff?), hat man verloren.
- Wie soll ein 0815-DAU die von Cryptolocker gemappte ntdll.dll zuverlässig verändern?

Was haltet ihr von meinen Überlegungen?


Grüsse - Microwave

moin Microwave,
hast du die im Link und dem dazugehörigen Forumsthread gemachten Informationen gelesen?

Zitat:

Zitat von BC

the infection will perform the following actions:

• Connects to the Command and Control server and uploads your private key.
• Deletes all Shadow Volume Copies so that you cannot restore your files form the Shadow Volumes. This means you will only be able to restore your files by restoring from backup or paying the ransom. In some cases the infection does not properly clear the shadow copies, so you may want to use the instructions below to see if you can restore from them.
• Scan your computer and encrypt data files such as text files, image files, video files, and office documents.
• Create a screenshot of your active Windows screen and upload it their Command & Control server. This screen shot will be inserted in your payment page on their Decrypt Service site, which is explained further in this FAQ.
• Creates a How_Decrypt.txt and How_Decrypt.html file in every folder that a file was encrypted. The HTML and TXT files will contain instructions on how to access a payment site that can be used to send in the ransom.
• Creates a HKCU\Software\<unique ID>\ registry key and stores various configuration information in it. It will also list all the encrypted files under the HKCU\Software\<unique ID>\PROTECTED key.

Habe ich zwar nicht, aber da steht ja, dass der CL den Computer "scannen" würde.
Dies wiederum bedeutet für mich eine rekursive Abfolge von Verzeichnis-Auflistungen, bis der gesamte PC gescannt wurde.
Und somit müsste mein Vorschlag doch zumindest theoretisch tauglich sein zur Präventation?
Ich probiere vermutlich mal, an so ein Teil zu kommen, und versuche es dann mit und ohne Patching.
500 Dollar sind schon ziemlich viel Holz....


Grüsse - Microwave

Mhh, du schreibst, er scannt nach Pfaden.
Ich kenne den Code zwar nicht, denke aber, er scannt nach Extensions und die Pfade sind ihm dabei wurscht.

Das ist soweit schon klar, dass er primär nach einschlägigen Dateierweiterungen sucht.
Jedoch müsste er ja zumindest wissen, ob es im Verzeichnis "X" ausser den Ordnern "A" und "B" noch einen weiteren Ordner "C" gibt, der Dateien mit "ge-blacklisteten" Erweiterungen enthalten könnte.
Das geht meiner Meinung nach nur über FindFirstFile/FindNextFile-Aufrufe, die dann irgendwann in NtQueryDirectoryFile münden, oder aber über direkten RAW-Lesezugriff (eher unwahrscheinlich) auf das zu durchsuchende Volume.
Und mein Ansatz war es halt, zu verändern, was Windows dem Trojaner zurückgibt, so dass Ordner B für diesen nicht mehr sichtbar wäre. Also kann er gar nicht erst den Versuch machen, den Ordner zu traversieren, weil er ja überhaupt nicht weiss, dass es diesen Ordner gibt.
Da der Ansatz nicht signaturbasiert ist, würde man auch gegen CryptoDefense und CryptorBit und Crypto-Schlagmichtot geschützt sein, wenn die Theorie aufgeht.


Grüsse - Microwave

Zitat:

Zitat von Microwave

Ich probiere vermutlich mal, an so ein Teil zu kommen, und versuche es dann mit und ohne Patching.

Habe nun einen funktionierenden CryptoLocker gefunden und einige Versuche gemacht:
Wenn ich ihn einfach so laufen lasse, beginnt er nach dem nächsten Neustart damit, alle Dateien zu verschlüsseln. Das ganze ist übrigens kaum zu ignorieren, da plötzlich eine extreme Festplattenaktivität und eine höhere CPU-Auslastung vorhanden sind.
Der Vorgang ist recht fix, und nach 10min waren etwa 10GB durchsucht und je nach Endung verschlüsselt (interessant ist, dass JPG-Dateien mit nur genau 8.3-Namen verschlüsselt wurden?!).
Danach erschien ganz normal das CryptoLocker-Fenster, wo mir gezeigt wurde, welche Dateien verschlüsselt worden waren, und dass der Spass halt 400€/$ in Form von BitCoins (oder via MoneyPak) kosten würde. Auf dem Desktop wurde zudem ein Wallpaper hinterlassen, wie ich vorgehen müsse, wenn Antiviren-Software den CryptoLocker bereits gelöscht hätte.

Da der Trojaner laut Process Hacker auf die user32.dll angewiesen war, konnte ich bei einem neuen Versuch via AppInit_DLLs zur Startzeit des Trojaners eine DLL in ihn injizieren, die bei jeder Ordner-Anfrage geschaut hat, ob der Trojaner gerade ein Verzeichnis mit "cryptprv" im Namen öffnen möchte, um die Dateien darin zu scannen. Falls eine Anfrage diesen Namen enthielt, führte ich in der DLL absichtlich eine verbotene Operation durch und der Trojaner wurde von Windows beendet.
(Da es einen Hilfsprozess gibt, hat der den Trojaner natürlich wieder neu gestartet, dieser hat weitergemacht, wo er aufgehört hatte, es hat wieder eine Zugriffsverletzung gegeben, er ist wieder beendet worden, und das ganze hat sich von vorne wiederholt.)

Der zweite Versuch bestand dann darin, im Ordnerlisting des CryptoLockers bestimmte Einträge auszublenden.
So wusste der CL gar nicht erst, dass ein bestimmtes Verzeichnis existiert.

Beide Methoden haben wie erwartet 100%ig funktioniert. Alle Dateien in geschützten oder unsichtbaren Ordnern waren vollkommen intakt, während bestimmte Dateien ausserhalb der Ordner unbrauchbar gemacht worden waren.
Die Wirksamkeit ist natürlich unabhängig vom Startort des Trojaners (vgl. CryptoPrevent)
und unabhängig vom Vorhandensein eines Überwachungstreibers (GryptoGuard von HitmanPro.Alert).

Es kann also (zumindest heuer) auch ohne Backups oder Signaturerkennung funktionieren...

Hoffe, meine Erkenntnisse bringen euch etwas.


Grüsse - Microwave

Hab noch nie sowas bekommen

OT @ K1ramox: Ich hab' noch ungefähr nie Malware im Allgemeinen bekommen, ausser wenn ich sie versuchsweise installiert bzw. danach gesucht habe.
Und beim Browsen war das Höchste der Gefühle, auf einer einschlägigen Seite eine schlecht programmierte Version des GEMA-Trojaners einzufangen. Das Teil bekam man sogar ohne abgesicherten Modus wieder los..
Dies, obwohl ich mir vorher richtig Mühe gegeben hatte, den Browser (Firefox) unsicher und outdated zu machen -.-


Grüsse - Microwave

Zitat:

Zitat von Microwave

OT @ K1ramox: Ich hab' noch ungefähr nie Malware im Allgemeinen bekommen, ausser wenn ich sie versuchsweise installiert bzw. danach gesucht habe.
Und beim Browsen war das Höchste der Gefühle, auf einer einschlägigen Seite eine schlecht programmierte Version des GEMA-Trojaners einzufangen. Das Teil bekam man sogar ohne abgesicherten Modus wieder los..
Dies, obwohl ich mir vorher richtig Mühe gegeben hatte, den Browser (Firefox) unsicher und outdated zu machen -.-


Grüsse - Microwave

russische porn-seiten, und to-seiten, dauert keine 3 minuten. so gebe ich den livelogs immer die letzte würze

Crypto Locker kann mittlerweilen mit etwas Glueck bei https://decryptcryptolocker.com/ entschluesselt warden.

Zitat:

Zitat von bombinho

Crypto Locker kann mittlerweilen mit etwas Glueck bei https://decryptcryptolocker.com/ entschluesselt warden.

Mit seeeeeeeehr viel Glück hoch 10.

Bombinho, du hast mathematisch anscheinend keinen Plan und nicht kapiert was exponentiell bedeutet.

Zitat:

Zitat von cosinus

Mit seeeeeeeehr viel Glück hoch 10.

Bombinho, du hast mathematisch anscheinend keinen Plan und nicht kapiert was exponentiell bedeutet.

Ich war mir nicht bewusst, dass die Anwendung einer Datenbank etwas mit 2er-Potenzen zu tun hat? Aber die Erklaerung wird sicherlich gleich folgen?

Manchmal schaeme ich mich schon regelrecht fuer mein Halbwissen.

Zitat:

Zitat von bombinho

...dass die Anwendung einer Datenbank etwas mit 2er-Potenzen zu tun hat?

Allein das zeigt schon, dass du nicht sonderlich viel Glück beim Nachdenken hast

Zitat:

Zitat von cosinus

Allein das zeigt schon, dass du nicht sonderlich viel Glück beim Nachdenken hast

Macht nichts, aber vielleicht kann ich Dir ja noch Nachhilfe beim Lesen erteilen: Zitat "Gegenüber Forscher Brian Krebs erklärten die beteiligten Sicherheitsanbieter, dass das Entschlüsselungswerkzeug öffentliche Schlüssel nutzt, an die Fox-IT im vergangenen Monat kam, als die Autoren von Cryptolocker sich einer Verhaftung entzogen."