Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)

Undertaker

moin moin,
am 2.5. brachte mir ein Kunde seinen Sony VAIO, nachdem er eine Lieferschein .zip öffnete und die exe ausführte. Das Ergebnis kennt ihe ja.
Nach der "Säuberung", bzw. nachdem das System wieder bootfähig war, waren auf den beiden Partitionen C und D etwa 20 000 Dateien locked-.
Obwohl vom Schädling selbst nichts mehr zu scannen war, war der Rechner noch kompromitiert.
Beim Booten, zwischen dem Bootscreen "Windows wird gestartet und dem Bootscreen "Willkommen" hat sich noch folgendes Bild eingenistet:





Die kryptischen Zeichen waren bei jedem Bootvorgang andere.
Nach klick auf OK, wurde der Bootvorgang dann abgeschlossen.

Das System war zumindest etwas strukturiert.
So war die Partition D die Datenpartition, auf die auch die "Eigenen Dateien" des Benutzers gelinkt war.
Auf Partition C waren einige Anwendungen in den Root, also direkt auf C und nicht in \Programme\ installiert.
Die Daten auf Partition D waren neben einigen Word- und Excel-Dateien hauptsächlich Bilder im JPG-Format.
Wärend auf D Dateien in allen Ordnern locked- waren, waren auf C ausschließlich Dateien betroffen, deren Folder im Root lagen.
Im Ordner \Windows und \Programme gab es keine locked- Dateien.
Erwähnenswert ist vielleicht noch, dass AVAST den Datenstand Oktober 2008 hatte !!!!
Ein Zeichen, welchen Stellenwert Virenschutz und Firewall bei vielen Anwendern genießt.

Nach Rücksprache mit dem Kunden, auch wegen des o. g. Screens, wurde entschieden, das System letztendlich zu recovern (F10).
Damit musste ich mich nur noch mit der Wiederherstellung von ca. 12000 Dateien auf Partition D befassen, haupsächlich JPGs.

Nachdem ich mir die Bilderverzeichnisse nochmals genauer angesehen habe stellte ich fest, dass beginnend mit \Axxxxx bid \Oxxxxx alle Dateien locked- waren.
Im Verzeichnis \Pxxxxx waren nur ein Teil locked- und ab \Rxxxxx waren alle Dateien im Originalzustand.
Warum auch immer, aber ca. 8000 Dateien ließ der Trojaner unbehelligt.

Nun zur Wiederherstellung:
Da der Kunde einige DVDs mit Bildern hatte, die auch auf dem Rechner waren, gab es genügend Dateien zur Paarbildung.
Angefangen habe ich mit dem Avira-RansomFileUnlocker und einem Schlüsselpaar, angewendet auf D:\ mit Unterverzeichnissen.
Im Ergebnis wurden alle 12000 Dateien bearbeitet und als "Entschlüsselt" zurück geschrieben.
Tatsächlich waren aber nur ca. 3000 Dateien brauchbar.
Ein Versuch mit zwei weiteren Schlüsselpaaren blieb erfolglos.
Dabei fiel mir auf, dass der Avira-RansomFileUnlocker bei den weiteren Bearbeitungsgängen recht schnell fertig war.
Warum?
Am Ende musste ich feststellen, dass der Avira-RansomFileUnlocker mit dem neuen Schlüsselpaar bestehende, angeblich entschlüsselte Dateien nicht überschreibt, sondern überspringt.
Meines Erachtens ein gravierender Fehler.
Wer will schon tausende Dateien löschen, bevor mit einem neuen Durchlauf begonnen werden kann.
Dann habe ich mir den RannohDecryptor von Kaspersky angesehen und schnell wieder verworfen.
Da ich beim Kaspersky lediglich HDDs, ohne die Selektion einzelner Verzeichnisse auswählen konnte, war das Tool für mich uninteressant.

Kurze Rede langer Sinn, mit dem scareuncrypt-Tool habe ich bis auf einen Rest von 5 Dateien, 8000 weitere wiederherstellen können.
Dazu benötigte ich vier Schlüsselpaare.
Diese Schlüsselpaare bestanden aus Bilddateien verschiedener Jahre (2008 bis 2012).
Schlüsselpaare aus Dateien des gleichen Verzeichnisses lieferten auch dsas gleiche Ergebnis.
Das heißt, mit diesen Schlüsselpaaren konnten nicht mehr Dateien entschlüsselt werden.

Ich hoffe, mein kleiner Bericht findet Euer Interesse.
Mein Kunde hat jetzt wieder ein sauberes Systen, fast alle Daten zurück und den festen Willen den Virenschutz aktuell zu halten ab und zu ein Image des Systems zu ziehen.
Das Neuaufsetzen und aktualisieren des Systems mit der Neuinstallation der Anwendungen und Treiber dauert allemal länger als das Rückspielen eines Images.

Gruß und gutesw Gelingen, Volker