hi, poste die logs der analyse, eröffne dazu einen thread im passenden unterforum

Zwei vor, einen zurück...

Soooderle... also die Version "1 1/2" ("3KB zerschossen am Dateianfang") konnte ich derweil "zurückdrehen" - nur "leider" scheint der Trojaner nicht mehr wirklich im Umlauf zu sein. Die ersten 2KB waren wie gehabt, im dritten KB war ein XOR auf das erste, dritte, fünte (...) byte.

Das "4GB-Problem" konnte ich so leider noch nicht beobachten, werde mir das ganze in der nächsten Woche genauer ansehen.

Ein Update erfolgt gegen Donnerstag/Freitag - vielleicht hilfts ja doch noch wem. Aktuell komme ich in meiner knappen kleinen freien Zeit nicht wirklich so weit dazu, wie ich dem ganzen nach gehen möchte.

Von der 6-KB-Version gibts anscheinend eine neue/alte Version, die ich nicht mal mehr ansatzweise geknackt bekomme.

Somit stehe ich erneut vor der "6KB" und "12KB zerschossen am Dateianfang"-Version.



Derweil scheinen die Biester öfter ihre Verbindung nach Hause nicht mehr zu bekommen -
auch scheint sich da irgendwas in der Kommunikation zu tun -
die geht scheinweise nun nichts mehr so transparent durch die Welt.
Befindet sich der PC z.B. in einem privaten LANbereich, dann verschlüssen einige der mir zugesendeten Trojaner oft garnichts -
vielleicht dachte da jemand beim Programmieren, dann könne man keinen Proxy zum Lauschen einschmuggeln.
(Kann das wer bestätigen?)


Ich möchte nochmals darauf hinweisen, dass hier verschiedene Entwickler für verschiedene Tools am Werk sind -
und es kein "Universaltool" für alle derweil aufgetauchten Variationen gibt und nur ein "kann man mal ausprobieren" bleibt.

Und ich möchte auch noch mal darauf hinweisen, dass zumindest meine Wenigkeit kein Geld dafür annimmt, die Biester zu entschlüsseln -
und man mir hier auch gern noch mehrmals 1000 Euro bieten kann, damit ich etwas entschlüssele - dadurch geht's weder schneller, noch besser, noch priorisiere ich deswegen irgend eine Anfrage... Das klingt nun etwas barsch, aber es ist teilweise schon echt der Hammer, mit was für wirklich unverschämten eMails man hier zu tun hat, wenn mann irgendwann morgens um 2 Uhr das Handtuch wirft.... Angefangen von wüsten Beschimpfungen was man denn da für einen Müll programmiert habe (weil man zu dumm war mal den Haken "Sicherheitskopie" drin zu lassen und mal die Anleitung zu lesen), bis hin zu eMails mit !!!au!1!1!srufezeichen und Forderungen, man möge doch mal schneller antworten und was man doch für eine ver*zensiert*e Firma man doch wäre, war bisher wirklich alles dabei...

Danke ausserdem an die Menschen, die mir eine Postkarte für meine Korktapetenwand geschickt haben -
das hält dann die Motivation doch noch oben.

Beste Grüße,

Oliver

moin moin Oliver,
erstmal meinen Respekt und meine Hochachtung vor Deiner Arbeit mit den Plagegeistern.
Manche scheinen zu vergessen, dass sie fuer den Zustand ihres Rechners selbst verantwortlich sind.
Ich hoffe, Du laesst Dich von Anfeindungen nicht beeindrucken.

Zitat:

Zitat von BITFOX

...
Derweil scheinen die Biester öfter ihre Verbindung nach Hause nicht mehr zu bekommen -
auch scheint sich da irgendwas in der Kommunikation zu tun -
die geht scheinweise nun nichts mehr so transparent durch die Welt.
Befindet sich der PC z.B. in einem privaten LANbereich, dann verschlüssen einige der mir zugesendeten Trojaner oft garnichts -
vielleicht dachte da jemand beim Programmieren, dann könne man keinen Proxy zum Lauschen einschmuggeln.
(Kann das wer bestätigen?)

...

Beste Grüße,

Oliver

Deine Vermutung bezueglich des LAN kann ich nicht bestaetigen.
Ein absichtlich infizierter Testrechner war im LAN eingebunden.
Es wurden trotzdem beide NTFS-Partitionen verschluesselt.
Das war am Montag, den 21.5.2012.
Anschliessend habe ich Partition C recoverd.
Partition D habe ich mit den verschluesselten Daten so belassen.

Heute habe ich auf D die Daten nochmal im Original kopiert, sodass beide Varianten vorhanden waren und den gleichen Dropper wie am Montag nochmal auf das saubere System losgelassen.
Er hat wie ueblich, den Rechner dicht gemacht.

HKLM Winlogon: UserInit - (C:\Windows\system32\D0426A96A226142D4237.exe) - D:\Windows\System32\D0426A96A226142D4237.exe (We bello comè?)

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1

Allerdings hat er die Verschluesselungsroutine nicht gestartet.
Keine einzige Datei wurde verschluesselt.
Es wurde auch keine verschluesselte Datei entschluesselt. *kleiner Scherz*

Ich glaube aber, das liegt eher an der Verbindung als am LAN.
In mir reift immer mehr der Gedanke, dass entweder der Startschuss oder ein Teil des Schluessels nachgeladen werden muss.

Ich schreibe das hier auf dem infizierten Rechner waehrend ReaToGo lauft, desshalb auch die fehlenden Umlaute.

Gruss und noch schoene Pfingsten, Volker

Zitat:

Zitat von BITFOX

Zwei vor, einen zurück...

Soooderle... also die Version "1 1/2" ("3KB zerschossen am Dateianfang") konnte ich derweil "zurückdrehen" - nur "leider" scheint der Trojaner nicht mehr wirklich im Umlauf zu sein. Die ersten 2KB waren wie gehabt, im dritten KB war ein XOR auf das erste, dritte, fünte (...) byte.

Ein Update erfolgt gegen Donnerstag/Freitag - vielleicht hilfts ja doch noch wem. Aktuell komme ich in meiner knappen kleinen freien Zeit nicht wirklich so weit dazu, wie ich dem ganzen nach gehen möchte.

Hallo Oliver,

Ich habe seit dem 10.05. die locked-Dateiname-sddsf.doc Version und hoffe weiterhin auf eine Lösung. Die betroffene HDD liegt im Regal bis es etwas neues gibt. Ich gehe davon aus, dass man das angekündigte Update sobald verfügbar im Service Bereich von Bitfox24 laden kann oder wird dies nur auf Anfrage zur Verfügung gestellt ?

Vielen Dank für deine Arbeit

Chris

Ich habe gestern an einem vom Verschlüsselungstrojaner befallenem Rechner WIndows neu installiert. Vorher habe ich alle verschlüsselten eigenen Dateien gesichert. Die verschlüsselten Dateien haben alle kryptische Dateinamen ohne Dateiendung.
Mit dem neuen WIndows habe ich dann mit dem ScareUncrypt Tool versucht die Dateien zu entschlüsseln. Den Schlüssel hat das Tool auch berechnen können. Dazu habe ich einfach ein MP3 File von dem eine unverschlüsselte Kopie vorhanden ist anhand der Dateigröße einer verschlüsselten Datei zugeordnet.
Das Tool hat auch eine Schlüsseldatei angelegt.
Im nächsten Schritt kann man dann ja einen Ordner auswählen der entschlüsselt werden soll. Das habe ich auch gemacht. Dann kommt im Statusfenster direkt die Meldung mit dem Spendenhinweis. Ich habe nicht den Eindruck, dass das Tool irgendetwas macht.

Frage: Ist das ein Bedienungsfehler meinerseits? Woran kann es liegen, dass das Tool nicht entschlüsselt?

Zitat:

Zitat von LordExcalibu

Ich habe gestern an einem vom Verschlüsselungstrojaner befallenem Rechner WIndows neu installiert. Vorher habe ich alle verschlüsselten eigenen Dateien gesichert. Die verschlüsselten Dateien haben alle kryptische Dateinamen ohne Dateiendung.
Frage: Ist das ein Bedienungsfehler meinerseits? Woran kann es liegen, dass das Tool nicht entschlüsselt?

Für diese Art gibt es noch keine Hilfe!! Die Tools greifen nur bei der Variante "locked_deinbild.jpg.eght" steht aber mittlerweile mehrfach beschrieben. Bitte lest doch erstmal im Forum, denn meistens ist da alles schon erklärt auch wenn es schwer fällt als Betroffener

moin moin,
wenn es sich ausschließlich um MP3-Dateien handelt, dann kann man die verschlüsselten Dateien kurzerhand mit der Extension .mp3 versehen.
Sie sollten sich dann abspielen lassen.
Da der Virus nur die ersten 4 - 12kB einer Datei verschlüsselt, was bei anderen Dateien schlimm genug ist, stört das den MP3-Decoder weniger, denn der synchronisiert sich auf den Datenstrom automatisch.
Die Arbeit ist dann, den Dateien manuell wieder erkennbare Namen zu geben.

Gruß Volker

@Libertad80
nicht vergessen:
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
markusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

Hallo Markusg, ich wuerde mich freuen, wenn Du mir mehr Informationen zu dem Ransom-Teil, welches die Dateinamen mitverschluesselt zukommen lassen koenntest. Interessieren wuerde mich vor allem, ob es schon verschiedene Versionen davon gibt und ob Du mir mal was debug-faehiges zukommen lassen koenntest.
Gibt es dafuer schon Identifizierungen (Namen) von verschiedenen AV-Anbietern?
Oder gar eine, die haeufig verwendet wird?
PM ist offen fuer alle, wobei ich fast davon ausgehe, dass Du hier Admin bist.

Danke

Hallo,

danke für die Antworten. Es ist "schön" zu lesen, dass man nicht der Einzige mit diesem Problem ist. Ich hoffe, es wird möglichst bald ein brauchbares Entschlüsselungstool gefunden.

Leider sind alle Dateien auf meinem Rechner betroffen, nicht nur mp3 Dateien.

Die von mir verdächtigte Mail (übrigens eine mit einer Mahnung im Anhang) habe ich aber bereits gelöscht, verbannt und verflucht.

Schönes Wochenende an alle.


MfG Roger

Hi,

also ich komme leider nicht weiter, dein Programm ist das einzigste was Schlüssel bei mir erstellen kann und die Dateien auch entschlüsselt und zwar alle (jpg-doc-pdf-xls usw.). Das Problem ist nur das ich danach die Dateien nicht benutzen kann weder Doc/XLS da nur wirrwar herrscht, oder jpg´s die man zwar öffnen kann aber dann scheinbar kein Inhalt darin ist.

Was läuft bei mir falsch? Hatte die loocked Dateien alle auf einen Stick gesichert und den PC neu aufgesetzt da er schnellstens wieder laufen musste..

Meine Dateien sehen im grunde so aus:

locked-2011-Unterschriften.pdf.rlku
locked-Dietrich.tif.orpf

dannach sehen Sie so aus:

2011-Unterschriften
Dietrich

Sie haben auch die richtige Dateigrößen.
Hab es auch schon mit mehreren Schlüsseln versucht.

Aktuell kommt ich nicht mehr weiter hat jemand einen Rat?

!!!!Trotzdem möchte auch Ich mich herzlich für die Hilfe und das Prog. bedanken!!!!

Gruß Alex

Hallo, also ich hatte von einem Befall auch einige Daten die danach Müll waren, habe sie aber mit http://www.trojaner-board.de/114709-...32-rannoh.html

noch mal entschlüsselt, dann ging alles wieder.
Versuch einfach mal

die Anke

@007Alex007,
welches Original benutzt Du zum generieren des Schlüssels und wieviel Paare stehen Dir insgesamt zur Verfügung?

Volker

Hallo, bin heute um Hilfe gefragt worden bei einem Ransom-Fall. Leider sind meine Informationen sehr duerftig. Weder habe ich eine exakte Identifizierung
noch ein Exemplar zur Analyse.
Das gute Stueck ist wohl relativ neu. Es verschluesselt die Dateinamen mit.
Wobei sich die Dateinamenslaenge auch aendert.
Am liebsten wuerde ich das Teil mal selber ansehen. Aber die Email ist geloescht und den Rest hat Kasperskys BootCD ins Nirvana geschickt.
Und ich habe keine Moeglichkeit auf physischen Zugriff zum Rechner.
Hat jemand schon mehr Informationen oder kann mir ein Exemplar zukommen lassen? Offensichtlich entschluesselt der Trojaner bei Aktivitaet die Dateinamen in Echtzeit. Zudem hatte ich Zugriff auf Dateipaerchen. Der Dateiname muss Teil des Schluessels sein. Da zwei fast identische Dateien von Anfang an unterschiedlich sind ausser die Blocklaenge waere sehr gross.
Zudem ist nur unterhalb 3000h verschluesselt.

Zitat:

Zitat von Undertaker

@007Alex007,
welches Original benutzt Du zum generieren des Schlüssels und wieviel Paare stehen Dir insgesamt zur Verfügung?

Volker

Guten Morgen ;-)

also ich habe es mit JPG/PDF/doc/tif Originalen versucht.

Paare sind es eineige die ich habe, da es der PC von meinem Opa war und ich noch eine alte HDD mit Daten gefunden hab. Die Paare die ich bilden kann sind dateien aus 2011 o. später, sollte aber doch eigentlich egal sein?!

Gruß Alex