Mit dem JPEG recovery tool lassen sich die locked Bilder wieder "entschlüssen" aber leider sind es bei mir dann nur kleine Vorschaubilder und nicht zugebrauchen da diese zuklein sind und in einer Schlechten qualität sind.

Hallo nochmal,wollte noch mal höflichst anfragen,woran ihr erkannt habt,das es sich um eine AES 256 bit-Verschlüsselung handelt.
Zwar stand das auch auf meinem Bildschirm,ist für mich aber kein Beweis,das es auch so ist.

Oder wollt ihr nicht darüber reden.Wäre nett,wenn ich mal eine Antwort bekomme,da meine anderen Fragen auch nicht beantwortet wurden.
Wie man jpegs wieder hinbekommt,ist ja nun lang und breit diskutiert worden.
Aber wir wollen ja nicht nur Bilder wieder herstellen.
Gruss Rainer

Zitat:

Zitat von thalon05

Oder wollt ihr nicht darüber reden.

Wenn meine Kollegen und ich mehr Infos hätten würden wir schon all deine Fragen beantworten oder meinst du nicht

Zitat:

das es sich um eine AES 256 bit-Verschlüsselung handelt.

Lies doch mal dieses Posting oder ist das auch schon überholt => http://www.delphipraxis.net/1169769-post147.html

Zitat:

Zitat von Marcu

Es tut mir leid. Kein Happy End!

Es gibt kein Hintertürchen im Programm, keine nennenswerten Programmierfehler, keine logischen Fehler, keine Schwachstelle in der Parametrierung der Verschlüsselungsfunktionen und keine Schwäche in der Zufallsfunktion. Ich habe die relevanten Funktionen der Malware zurückübersetzt und im Detail nachvollzogen. Es ist keine Vermutung mehr von mir und ich kann mit Sicherheit sagen: Das benötigte Passwort ist nicht mehr auf den betroffenen Computern. Es gibt keinen Weg dieses Passwort zu berechnen. Es gibt keinen Weg das Passwort zu Lebzeiten zu erraten. Es ist diesmal nicht möglich mit einem Vergleich zwischen Originaldateien und verschlüsselten Dateien eine Entschlüsselung für alle Dateien abzuleiten. Es bleibt nur zu hoffen, dass ein Polizist das Passwort zurückbringt.

Benötigt wird das Passwort für eine Datei in der zu jeder verschlüsselten Datei der Originalname, der zufällige neue Dateiname und das zufällige Passwort steht mit der die Datei verschlüsselt wurde. Der Virus speichert diese Katalogdatei im Temp-Verzeichnis mit der Dateierweiterung ".$02" ab. Z.B: 1C7F90CE4148555A5355.$02
Eigentlich wäre es sehr einfach ein Programm zu schreiben welches die Daten restauriert. Man muss lediglich das Programm unter #138 mit der Funktion unter #41 koppeln und seine entschlüsselte $02-Katalogdatei als Eingabe bereitstellen. Daraus wird leider nichts solange das Passwort zum Entschlüsseln der $02-Datei nicht herbeigeschafft ist.

Es gibt eine einzige kleine Schwachstelle im Virenprogramm, die aber nicht reicht um die Daten zu entschlüsseln. Während der Verschlüsselungsphase legt der Virus eine Datei mit der Endung ".$03" im temp-Verzeichnis an. In dieser Datei steht für jede verschlüsselte Datei die Zuordnung zwischen dem Originaldateinamen und dem neuen zufälligen Dateinamen. Diese Datei wird nach der Verschlüsselung mit einem simplen kernel32_DeleteFileA gelöscht. Man hat also tatsächlich eine Chance diese Datei wiederherzustellen.
Mit der $03-Datei ist es möglich den verschlüsselten Dateien ihren Originalnamen zurückzugeben. Jedoch bleibt es weiterhin nicht möglich die Dateien vollständig zu reparieren, da in der $03-Datei nicht das Passwort für die Verschlüsselung steht. Die $03- Datei lässt sich mit dem Programm unter #138 entschlüsseln. Das zu machen hat aber wahrscheinlich für Niemanden einen Sinn.


pcnberlin hat Recht wenn er sagt, dass man den Opfern dieser Malware nicht hilft wenn man schweigt.
Es ist allen dringend zu raten eine Anzeige zu erstatten. Wenn viele Anzeigen bei der Polizei vorliegen, erhöht das sicher die Bereitschaft zu ermitteln. Vielleicht ist der Täter nicht in Deutschland. Es kann lange dauern bis die Passwörter beschlagnahmt sind. Deswegen sollten die Opfer eine Sicherungskopie anfertigen und jetzt eine Neuinstallation durchführen.

Ich möchte mich noch bei allen bedanken. Der konstruktive und freundschaftliche Umgang bei der Analyse der Malware war echt klasse. Vielen Dank an pcnberlin und Michael und Markusg und an alle anderen.
Falls sich bei mir mehr als drei Interessierte melden, werde ich ein Paper machen in dem die Funktionsweise dokumentiert ist. Bitte PM an mich.

Noch ein letztes Wort an die Opfer - falls die hier mitlesen:
Es gibt keinen Grund mit sich selbst böse zu sein, weil man dieses blöde Zip-File angeklickt hat. Der Gebrauch von E-Mailanhängen so wie er heute üblich ist, ist leider schrecklich kaputt. Die Regeln die empfohlen werden sind ein Armutszeugnis der EDV. Wenn man sich bei dieser Sache Selbstvorwürfe macht, dann richtet man seinen Zorn an den falschen.

Viele Grüße
Marcu

Zitat:

Zitat von cosinus

Wenn meine Kollegen und ich mehr Infos hätten würden wir schon all deine Fragen beantworten oder meinst du nicht



Lies doch mal dieses Posting oder ist das auch schon überholt => hxxp://www.delphipraxis.net/1169769-post147.html

Danke für die schnelle Antwort.Es ist nur so,das ich Sachen gefunden habe ( das merkwürdige Erstellungsdatum oder die mit ?gekennzeichnete Benutzerkonto)die mit Sicherheit was mit dem Trojaner zu haben,aber keine Reaktion kam.Ich habe jetzt 8 solcher E-Mails und ein Ende ist nicht abzusehen.
Und meine Recherchen im Netz sind auch sehr widersprüchlich.
Trotzallem grosses Dankeschön an Alle,die daran gearbeitet haben. Ich werde weiter forschen und wenn ich was weiss,lass ich es euch wissen.
Ihr wisst ja,die Hoffnung stirbt zuletzt.
Gruss Rainer

Hallo zusammen, ich glaube bin in der falschen Rubrik gelandet, aber vielleicht wüßte jemand doch Antwort.

Habe noch XP, zudem Kaspersky 2012 und jetzt das eigentl. Problem:
Unten rechts in der Leiste neben der Uhr, wurde signalisiert, dass ein Update zur Verfügung steht, drauf geklickt, neues fenster öffnete sich - grau unterlegt ... also alles wie sonst bisher auch, bin dann auf benutzer Installation gegangen, da erschien dann auch "Download erfolgreich".
Danach habe ich den PC ordnungsgemäß runtergefahren und bin dann wieder auf Neustart, erfolgte dann auch reibungslos, es kam neues fenster mit so wie in der Anzeige hier oben links .. zu zahlen bla bla bla 100 US$ mit UKASH.

Hab ich natürlich nicht gemacht !

Bei mir sind alle Word + Excel Dateien locked, Beispiel: locked080612H9crjxydocs ZUDEM hats den KAS12 komplett aus den Angeln gehoben!!!


Also, ich habe keine mails geöffnet.


Weiß jemand Rat ?

Zitat:

Also, ich habe keine mails geöffnet.

Die vorherigen Erpresser-Trojaner haben sich nicht per Mail verbreitet. Man (wir) haben Lücken in Java, Flash und AdobePDF vermutet. Die ganzen Browserplugins also, die bieten eine riesige Angriffsfläche.
Edit: Ich denke die Masche mit der Mail ist jetzt zu offensichtlich, jetzt verteilen die Erpresser ihre Schädlinge so wie die damals harmlosere RansomWare, also die die nichts verschlüsselt (oder soll man besser jetzt sagen Dateien zerstört?) hat?

Zitat:

Weiß jemand Rat ?

Lies doch bitte ERSTMAL ALLE VORHANDENEN HINWEISE bevor du fragst. Und ja, es gibt nicht immer ein Happy End. Die aktuellen Trojaner zerstören quasi deine Dateien. Dann hilft nur noch ein Backup oder der ShadowExplorer. Aber naja, ich weiß, nur Beckenrandschwimmer machen Backups

@all: Wollen wir nicht einen Neuen Fred aufmachen, wos nur um die Wiederherstellung von Jpgs geht? hier wirds zu heftig unübersichtlich.

Lieber Rainer, kämpfe nicht gegen Windmühlen
So wie es aussieht haben "unsere" Trojanerprogrammierer ganz Arbeit geleistet. Bei den Algorithmen hat man ohne den vollständigen Schlüssel keine reelle Chance etwas zurückzurechnen.

falscher Thread

Hallo,

ich habe geschafft einige Dokumente wieder zu beschaffen. Allerdings habe ich es bisher nur mit *.doc probiert. Die Namen sind alle nur noch numerisch, man kann sie aber an Hand der Größe einigermaßen identifizieren. Ob es sich um alle Dokumente kann ich nicht beurteilen, da es sich nicht um meinen Rechner handelt.

So, nun genug zurück gerudert:
Funktionieren tut es mit dem forensischen Tool "foremost" unter Linux.
Ich habe aus der CT die desinfeC'T - Ubuntu Version genommen, die ich bereits auf einem USB-Stick habe. Das nur am Rande, mit knoppix usw. geht es identisch gut. Ich kann hier nochmal unetbootin (UNetbootin - Homepage and Downloads) empfehlen, was einem simpel einen bootbaren Linux USB Stick zaubert, Anleitung auf der entspr. Seite.
1. Linux booten (Mit Kabel am WLAN Router, da ein paar Sachen herunter geladen werden müssen)
2. eine Console auf machen und folgendes eingeben

Code: Alles auswählenAufklappen

ATTFilter

sudo su -
apt-get update
apt-get install aptitude
aptitude update
aptitude search foremost
         

3. Wenn hier foremost gefunden wird, folgendes eingeben

Code: Alles auswählenAufklappen

ATTFilter

aptitude install foremost
         

Und bei Punkt 5 weiter machen

4. wenn nicht, dann müssen wir uns eine Version selber aus den Sourcen bauen und installieren einen Compiler

Code: Alles auswählenAufklappen

ATTFilter

aptitude install gcc make
         

Quellcode runterladen:
hxxp://foremost.sourceforge.net/pkg/foremost-1.5.7.tar.gz

mit der Console in das Verzeichnis wechseln, wo das heruntergeladene Paket "foremost-1.5.7.tar.gz" liegt. Was wir mit

Code: Alles auswählenAufklappen

ATTFilter

tar -xzvf foremost-1.5.7.tar.gz
         

entpacken

nun in das entpackte Verzeichnis wechseln "foremost-1.5.7" und folgende Befehle ausführen

Code: Alles auswählenAufklappen

ATTFilter

make
make install
         

Nun sollte das Programm compiliert und installiert sein.

5. Ich habe eine eine andere Platte angeschlossen, um dort meine Dateien drauf zu speichern. Die Syntax sieht folgermaßen aus:
foremost -t doc -i /dev/hda3 -o /media/meineplatte/recovery
-t gibt den Filetype an (im Link sind noch ettliche mehr beschrieben)
-i das Device, wie Linux die Partition anspricht
-o wo der Output gespeichert werden soll

Ein Link, der hilft:
https://help.ubuntu.com/community/DataRecovery


Evtl. sollte man jemanden Fragen, der sich mit Linux etwas auskennt.

Hier muss man auch Geduld mitbringen. Der Rechner, bei dem ich es gerade mache ist schon eine Weile bei der Arbeit.
Ich hoffe, dass ihr einiges retten könnt!!

Gruß
Keks5

Hallo einmal wieder,

die Untersuchung der HDD mit dem forensischen Programm war mehr oder weniger erfolgreich. Es wurden alle *.doc Dateien in ein Verzeichnis extrahiert. Ich habe dann mit einem Skript einen Grössenvergleich mit den originalen, verschlüsselten gemacht und die Kandidaten, die in Frage kommen in ein Unterverzeichnis des Ursprungsverzeichnisses kopiert.
Ebenfalls habe ich ein grep auf Schlagwörter, wie Namen etc. gemacht, und diese dann ebefalls in ein Verzeichnis kopiert. Es sind definitv Dateien dabei, die verschlüsselt sind/waren. Also ich konnte nun einen Großteil der Daten wieder herstellen. Wie im anderen Beitrag erwähnt, habe ich es mit DOCs gemacht.

EDIT:
Die Dateien sehen nach der Wiederherstellung wie folgt aus:
16768530.doc

Gruß
Keks5

Zitat:

Zitat von Keks5

Hallo,

ich habe geschafft einige Dokumente wieder zu beschaffen. Allerdings habe ich es bisher nur mit *.doc probiert. Die Namen sind alle nur noch numerisch, man kann sie aber an Hand der Größe einigermaßen identifizieren. Ob es sich um alle Dokumente kann ich nicht beurteilen, da es sich nicht um meinen Rechner handelt.

So, nun genug zurück gerudert:
Funktionieren tut es mit dem forensischen Tool "foremost" unter Linux.
Ich habe aus der CT die desinfeC'T - Ubuntu Version genommen, die ich bereits auf einem USB-Stick habe. Das nur am Rande, mit knoppix usw. geht es identisch gut. Ich kann hier nochmal unetbootin (UNetbootin - Homepage and Downloads) empfehlen, was einem simpel einen bootbaren Linux USB Stick zaubert, Anleitung auf der entspr. Seite.
1. Linux booten (Mit Kabel am WLAN Router, da ein paar Sachen herunter geladen werden müssen)
2. eine Console auf machen und folgendes eingeben

Code: Alles auswählenAufklappen

ATTFilter

sudo su -
apt-get update
apt-get install aptitude
aptitude update
aptitude search foremost
         

3. Wenn hier foremost gefunden wird, folgendes eingeben

Code: Alles auswählenAufklappen

ATTFilter

aptitude install foremost
         

Und bei Punkt 5 weiter machen

4. wenn nicht, dann müssen wir uns eine Version selber aus den Sourcen bauen und installieren einen Compiler

Code: Alles auswählenAufklappen

ATTFilter

aptitude install gcc make
         

Quellcode runterladen:
hxxp://foremost.sourceforge.net/pkg/foremost-1.5.7.tar.gz

mit der Console in das Verzeichnis wechseln, wo das heruntergeladene Paket "foremost-1.5.7.tar.gz" liegt. Was wir mit

Code: Alles auswählenAufklappen

ATTFilter

tar -xzvf foremost-1.5.7.tar.gz
         

entpacken

nun in das entpackte Verzeichnis wechseln "foremost-1.5.7" und folgende Befehle ausführen

Code: Alles auswählenAufklappen

ATTFilter

make
make install
         

Nun sollte das Programm compiliert und installiert sein.

5. Ich habe eine eine andere Platte angeschlossen, um dort meine Dateien drauf zu speichern. Die Syntax sieht folgermaßen aus:
foremost -t doc -i /dev/hda3 -o /media/meineplatte/recovery
-t gibt den Filetype an (im Link sind noch ettliche mehr beschrieben)
-i das Device, wie Linux die Partition anspricht
-o wo der Output gespeichert werden soll

Ein Link, der hilft:
https://help.ubuntu.com/community/DataRecovery


Evtl. sollte man jemanden Fragen, der sich mit Linux etwas auskennt.

Hier muss man auch Geduld mitbringen. Der Rechner, bei dem ich es gerade mache ist schon eine Weile bei der Arbeit.
Ich hoffe, dass ihr einiges retten könnt!!

Gruß
Keks5

Endschuldigung für Rechtschreinfehler hab den Beitrag schnell geschrieben und war Aufgeregt..

Zitat:

Ist ja klasse das ist der Firmensitz in Bremen
Lach mich schlapp :-)

Ja voll witzig, ich kann morgen drüber lachen ja?
Was wie wo irgendwelche auch tw. erfundenen Firmen ihren Firmensitz haben könnte ja auch frei erfunden sein könnte man denken wenn man so nen SPAM-Schmarrn bekommt

Zitat:

schon die nerven liegen eben überall blank. :-)

Bei allen, die keine Backups machen, richtig?

es hieß ja ein teil des schlüssels sei wieder auf einen server gewandert und ohne dem geht nix. Weiters hieß es, jede datei sei extra verschlüsselt.

Dumme Frage aber:

Hat schon mal wer dran gedacht, dass der Buchstabensalat einer jeden Datei der "fehlene"Teil ist?

Is nur so ein Gedanke, vielleicht denken alle zu kompliziert;-)