Hallooo,

also ich habe jetzt alle tools ausprobiert, und alle funktionieren (nachdem einer unserer alten Fileserver teilweise davon befallen wurde). Aber: keines dieser tools funktioniert bei Excel files die mit einem Passwort geschützt waren, durch Excel 2007, also mit der eingebauten Passwortfunktion in Excel.
Ich konnte eine original Datei aufspüren und dadurch einen Decrypt key erzeugen. Wie gesagt, alle tools funktionieren für alle Dateien, aber eben nicht für Passwort geschützte Excel Files.

Irgendjemand der mir damit helfen kann und eine Lösung hat?

Vielen vielen Dank

-Martin

moin moin bombinho,

Du schreibst da nichts Neues.
Schau Dir mal den Blog von @pcberlin an.

Wenn Deine Euphorie dann nicht gedämpft ist, wende Dich an @markusg, der ist Sammler der Dropper und stellt Dir gern verschiedene Versionen zur Verfügung.

Gruß Volker

Huebsche Zusammenfassung aber die Call Routine ist interessant, nicht der Call selber. Viel Text, wenig konkrete Information.
Kein Wort ueber den Hook fuer die Dateinamen.
Kurz: Informationen, die man schon vor der Analyse kennt.

Nun dann hättest Du ja ein Betätigungsfeld.
Kannst ja auch mal bei Delphi Praxis reinsehen.

Und wie gesagt, Dropper gibt's bei @markusg.

Danke erst mal fuer die Links, da ist ein wenig Lesestoff. Leider muss auch ich mein Geld legal verdienen und habe familiaere Verpflichtungen. Aber es waere mal interessant reinzuschauen.
Ein Augenpaar mehr.

Ok, würde mich freuen, wieder von Dir zu hören.

Ja, es gibt mehrere Versionen, angefangen im April mit einer Version, die die Datei von 000h bis fffh RC4 verschlüsselt hat.
Auf diese Version haben auch die AV-Anbieter reagiert, nachdem Matthias die Schlüsselroutine gefunden hatte.
Dann ging es eigentlich sehr schnell, 6kB Verschlüsselung und jetzt 12k, wobei auch die Dateinamen keine Zuordnung mehr ermöglichte.
Von den neuen Varianten kenne ich die 1.04.1 und 1.05.1.
Momentan gibt's die 1.07.1 aber @markusg weiß das ganz genau.
Auf diese Versionen gibt es Seitens der AV-Hersteller nur insofern Reaktionen, als dass die Scanner anschlagen.
Um die Entschlüsselung scheinen sie sich nicht weiter zu kümmern.
Ist halt Sache des Users, wenn er Anhänge öffnet und keine Backups hat.

Auch ist nicht sicher, ob alle Dropper aus der gleichen Feder stammen.
Ich hatte hier zu Testzwecken schon VB und Delphi Varianten.

Aber, wie gesagt, unterhalte Dich mal mit @markusg, der hat Stoff zum debuggen.

Gruß Volker

PS:
Oh, ich sehe gerade, Du hast markusg schon angesprochen, dann war dieses Post nicht nötig.

Hat jemand ein dir Listing von einem Verzeichnis, verschluesselt und unverschluesselt?

Ich habe hier ein Verzeichnis mit Unterverzeichnissen und Dateien, einmal im Original und einmal nach "Behandlung durch den Virus".
Den Bösewicht selbst habe ich auch hier.
Der kam als Registrierung.pif daher und ist in VB geschrienben.

Ich kann alles zusammenpacken und zum Download auf Webspace legen.

jupp, waere nett. Danke.

Ich packe das mal zusammen, schubse es hoch und schicke Dir den Link per PM

Ich habe wohl zu lange gewartet, scheinen alle cc server dicht zu sein, er will einfach nix tun der sack. Verschluesselt nicht sitzt nur und rattelt dns abfragen und fehlgeschlagene verbindungen durch. 7 Stueck an der Zahl, einer antwortet gelegentlich, erlaubt aber keine Verbindung.

Edit: Ich bin ein ... hab mir mal den Verkehr angeschaut, meine Appliance hat den Inhalt vom CC geblockt!

Lösung wäre auch für mich interessant; Dateien (doc, exe, jpg, jpeg,...) wurden unter XP "nur" umbenannt. Leider ist kein Schema erkennbar:

- JLpfNqssuoTUOjDGJnpVN = Blaue Berge.jpg
- LpfNqssuoaUgjlGJnp = Sonnenuntergang.jpg
- TdgADxvLXfrqesQoaUO = Wasserlilien.jpg
- DxvLXfrqesQoaUOjlGJ = Winter.jpg

Der Inhalt wurde nicht verschlüsselt, LOG Dateien sind auch nicht verfügbar (Bei mir sinds Kundensystem; Vorrang hat hier das entfernen der Scareware);

Danke für die Anleitungen und die Tools; Die Scareware wurde zur Gänze entfernt, allerdings die verschlüsselten Dateinamen sind ein echtes Problem, da es auch keine Datensicherung gibt ;(
Danke im Voraus!

moin moin, 007Alex007,

nö, egal ist das nicht.
Auch der Virus der "alten Variante" hat ja eine Evolution hinter sich.
Wärend die, Mitte April infizierten Rechner, noch mit einem Paar auskamen, wobei sogar ein Beispielbild reichte, haben die nächsten schon die Beispielbilder nichtmehr nutzen können, weil sie suber blieben.
Beim ersten Rechner den ich die Hände bekam, erfolgte die Infizierung am 2.5.2012.
Zur Entschlüsselung von 12000 JPGs brauchte ich insgesamt vier Paare aus einer Auswahl von mehreren hundert.
Auffällig war, dass die Originale aus verschiedenen Jahren jeweils Teilmengen entschlüsselten.

Wenn Du kein passendes Paar findest, bin ich mit meinem Latein auch fast am Ende.
Ich kann Dir nur raten, alle Tools auszuprobieren und auch mal nach Schattenkopien zu sehen.

http://www.trojaner-board.de/115551-...e-version.html

Gruß Volker

Hi Volker,

aber hattest Du das Problem auch, das Du die Dateien entschlüsseln konntest aber Sie danach trotzdem nicht benutzen, da die Datei anscheinend defekt ist?

LG Alex