Hallo Jkj und :hallo:

du befindest dich leider im falschen Unterforum. Was durchaus leicht zu erkennen wäre. :kaffee:

Bitte lies folgende verlinkte Anleitung vollständig durch => Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?
und erstelle anschließend dort => Plagegeister aller Art und deren Bekämpfung ein neues Thema.

@Jkj

Ja. super.. dich hats auch erwischt... Anmelden bekommen wir hin.. Lesen aber nicht ?

Überhaupt mal die Mühe gemacht, und etwas gelesen ?
Vorallem den netten Hinweis Text der über dem Thread steht ?

Mehr möglichkeiten hast du im moment leider nicht...

Hallo,
ich bräuchte auch mal einen Rat von euch Spezialisten.
Auch ich hab mir den Verschlüsselungs Trojaner eingefangen und die Dateien haben die Form locked-{Dateiname}.{Ext}.{4Zeichen} .
Mir ist das passiert als ich mit meinen Festplatten von dem alten XP Rechner auf den neuen Win7 umgezogen bin. Währen einer ungeschützten Zeit bei Win7 Rechner aufsetzten hat der Trojaner die Dateien verschlüsselt.
Das war im Mai dieses Jahres , seither verfolge ich die Diskussionen hier im Board.
Mein PRoblem ist, ich schaffe es nicht ein Dateipäärchen zu finden mit dem ein Schlüssel erzeugt werden kann. Die Dateien mit denen ich versucht haben den Schlüssel zu machen, z.B. mit dem Tool DecryptHelper0.5.3, haben die selbe Dateigröße und ich bin mir sicher, daß es die gleiche Datei ist, trotzdem krieg ich nur die Meldung -> Schlüssel konnte nicht erzeugt werden.
Jetzt meine Frage: Wie finde ich ein Dateipäärchen mit dem ein Schlüssel erzeugt werden kann?
Darf ich hier ein Dateipäärchen hochladen mit je 16kB, damit jemand die Datei anschaut?

Hallo nochmal,
ich hab da noch eine Frage an euch.
Bei meinen Dateipäärchen stammt die verschlüsselte Datei vom Win7 Rechner und die Originaldatei aus der XP-Zeit.
Hat das einen Einfluß beim Schlüssel Erzeugen? Ich hab nämlich nur solche Päärchen .

moin moin,

wieviel Pärchen hast Du denn insgesamt und sind die unterschiedlichen Jahres-Datums?
Eventuell hast Du auch eine der wenigen Varianten der 6k-Verschlüsselung.
Hast Du einen Hexeditor?
Wenn ja, dann vergleiche mal ein Pärchen von dem Du sicher bist, dass es die gleiche Datei ist und schau nach wieviele Hexwerte vom Anfang der Datei unterschiedlich sind.

Vom XP oder Win7 ist das unabhängig, da Win7 die unter XP erstellte Datei nicht umschreibt.
Etwas Anderes wäre es , wenn Du eine Datei, beispielsweise unter Offoce2003 erstellst und mit Win7 auf Office2012 umsteigst, diese Datei dann öffnest und neu absoeicherst.

Falls Du keinen Hexeditor hast, hänge doch mal ein Pärchen als Anhang an.
Es muß aber die gleiche Datei sein, verschlüsselt und als Original.

Volker

Hallo,
ja ich hab sehr viele Dateipäärchen in recht unterschiedlicher Dateigröße und auch mit unterschiedlichem Datum. Davon hab ich sicher schon ein Dutzend durchprobiert.
Wo krieg ich so einen Hexeditor her?
Wäre in dem Fall nicht ein Scanprogramm praktisch der mir aus 2 Verzeichnissen die passenden Päärchen raussucht. Gibt es sowas?

Ich versuche mal hier 2 Dateien anzuhängen.

moin moin,
so kann ich leider die beiden Dateien nicht vergleichen.
Du hättest schon das Original mit in die ZIP packen sollen.
Die Miniansicht hat nicht die gleiche Größe wie die locked-.

Volker

Ich probiers nochmal die Dateien anzuhängen.
Beide sind jetzt im ZipOrdner.
Kannst Du bitte nochmal schauen?

Ralf

moin moin,
Deine beiden Dateien (igel und locked-igel) unterscheiden sich von 001h bis 27ffh.
Die acht Tools sind lediglich für die 3k-Verschlüsselung gedacht.
Das heißt, dabei erfolgt die Verschlüsselung nur von 001h bis fffh.

Unabhängig davon habe ich mit ScareUncrypt einen Schlüssel erzeugen können.
Das Ergebnis taugt aber nicht viel, weil die Hexwerte von 1000h bis 27ffh durch das Tool nicht beeinflusst werden.
Wenn also alle Dateien bis 27ffh verschlüsselt wurden, dann hast Du nur die Möglichkeit, die Tools zu nutzen, die auch bei der 12k-Verschlüsselung vorgeschlagen werden.

Noch etwas wundert mich.
Was sind das für Originale?
Ein 16k großes JPEG ist eher ein Thumbnail als ein Foto.

Volker

Vielen Dank für die Infos!
Das hilft mir auf jeden Fall weiter, ich werd mir also einen Hexeditor/viewer besorgen und mich ins Thema 12k Verschlüsselung einlesen.
Ralf

Hallo,
wir haben uns folgenden Trojaner eingefangen:

Sehr geehrter Kunde,

Ihr Anmeldekonto wurde aktiviert.
654,92 Euro Jahresbeitrag ist ab sofort zu bezahlen.

Die Zahlung wird innerhalb 2 Tagen abgeschrieben
Sie werden in kürze angerufen und ein Termin wird ausgemacht.
Rechnungsauflistung und Widerspruch Hinweise finden Sie im zugefügten Zip C

Auto-Löpper GrnbH
Blostwiete 23
26225 Hamburg

Telefon..................
Gesellschaftssitz ist Keiserlauter
Umsatzsteuer-ID: DE887004631
Geschäftsfuehrer: Lisa Schmitz

Der Trojaner ist entfernt.
Die Dateinen haben folgendes Format: locked-<DATEINAME>.<ENDUNG>.wxyz
Nun meine Frage. Verschlüsselt dieser Trojaner einmal die ersten 4Kb und andere Dateien die ersten 8KB ???

Ich habe nämlich Dateien wo die ersten 4KB verschlüsselt sind und welche wo die ersten 8KB verschlüsselt sind. Keine der hier aufgeführten Decrypter helfen.

Kann es sein das die Datei mehrmals geöffnet wurde oder verschlüsselt er in einem Durchlauf mit 4 KB bzw. 8 KB.

Danke für die Hilfe !

@matkuni
Habe heute dein Tool ausprobiert - versuche grade das Notebook von einem Kumpel zu entschlüsseln. Funktioniert jedoch leider nicht - habe es mit den Windows XP Sample Bildern / Sample Musik probiert, jedoch lässt sich kein Schlüssel daraus generieren. Weitere Tools von Avira / Kaspersky brachten auch nicht den gewünschten Erfolg.

Die folgenden beiden Tierchen wahren auf dem Notebook zu finden:
TR/Trojan.UN , TR/Yakes.AM
Wer die Organe des Tierchen sezieren möchte, PN an mich.

Im Anhang habe ich mal die verschlüsselten Sample Dateien angehängt, vielleicht weis jemand Rat.

Grüße
Opfer1

hi
lies doch bitte mal nach, unter welchen voraussetzungen die hier genannten tools funktionieren

hi leute,
auch ich wurde opfer vom bundestrojaner...
anscheinend gibt es aber eine neue version.
alle meine datein sind verschlüsselt, allerdings kann man dabei noch nichtmal mehr erkennen, um welches dateiformat es sich gehandelt hat. der name der datei wurde inkusive endung komplett geändert in bspw. ein buchstabenwirwa wie "xhkdhfksjdhfsdjh".

wie immer, die dateien sind wichtig und ich möchte sie gerne verschlüssen.
da es sich aber anscheinend um eine neue variante handel, funktionierten sämtliche bisher bekannte lösungstipps zur wiederherstellung nicht. habe schon ales mögliche probiert.
verfüge auch über zahreiche originaldateien, um päarchen usw zu bilden....

kann es evtl auch möglich sein, dass sich der nette trojaner auf mein iphone 4 geschlichen hat? zeitgleich mit dem befall meines computers entstanden aufeinmal probleme mit dem mobilen internet. hab 3g, kanns aber kein stück mehr nutzen. lt O2 liegt hier in der ecke keine störung vor...

wäre sehr dankbar für jegliche ernst gemeinte hilfe!!!!

@chanjeala
Das ist doch keine neue Version..
Die ist bekannt und die bekommst du nicht entschlüsselt. Zumindest gibt es bis jetzt noch nix dazu.
Was dein Iphone betrifft kann ich nichts zu sagen.

Hallo chanjeala, wenn bei dir der Volumenschatten-kopie Dienst läuft hast du recht gute Chancen deine Daten wieder herzustellen. In einigen Fällen konnten einige Daten auch durch Recovery-Programme wieder hergestellt werden. Deine Daten aber zu entschlüsseln ist nicht möglich. Belies dich mal im Board.

Hallo,kann Nach einem Trojaner keine Bilder und Dokumente öffnen!
Was kann ich jetzt noch tun???

Naja..
Lesen wäre ein Anfang..

Die Sachen die oben unter Punkt 3 stehen schon befolgt ?

ja hab ich,geht nicht wirklich!!!!!!!!!!

Kein Backup, keine Dateien mehr. So ist das leider. Den Fehler hast du selbst begangen durch den Verzicht auf Datensicherung.

Und das hat überhaupt nichts mit Trojanern zu tun, auch Festplatten gehen mal so kaputt.

Ich hatte einen BKA-Trojaner drauf,der ist jetzt gelöscht aber kann keine Bilder und Dokumente mehr öffnen da diese überschrieben sind.
Daher wollte ich gerne wissen ob ich diese noch retten kann bzw wie öffnen.

Wird doch zig mal im Forum behandelt. Was anderes als die genannten Tools wie jpeg-Recovery etc. gibt es nicht.

Naja..
Wenn du das oben gelesen hast, dann macht es doch evt auch Sinn, mal mitzuteilen wie deine Dateinamen jeztzt aussehen ?
Ich meine, die Kristallkugel befindet sich grad in der Reinigung...

EdvAxNLDQypOosvjasLl
so zb

wenn das hier genannte nicht klappt, sind deine Daten verloren.
in zukunft halt Datensicherungen anlegen

Jup
Ist so wie markusg schreibt..
Wenn die Sachen unter Punkt 3 nicht helfen, hast du dann momentan leider Pech gehabt.

Nicht nur momentan, es wird keine entschlüsselung geben

Hallo zusammen,

weil ja heute der 1. April ist dachte ich das es passt allerdings ist es die Wahrheit:

ich habe seit Donnerstag einen Rechner von einem Kunden der !!! leztes Jahr im Mai !!! diese Mail erhalten hat. Natürlich war alles locked. Ein "sich auskenneder" wollte dann das regeln. Doch hat das natürlich nicht funktioniert. Er hat es gerade mal so geschafft ein weiteres Benutzerkonto zu erstellen. :-)) Der Junge hatte wirklich Ahnung. :-(( Tausende von Bildern und Dateien sind locked. Alle versuche zu entschlüsseln sind gescheitert. Ich konnte zwar diverse Schlüssel generieren allerings ohne Erfolg. Ich habe mit PC Inspektor noch abertausende Bilder und Daten gefunden allerdings fehlen dann die Locked Dateien dazu so das ich weitere Schlüssel generieren kann. Nun werde ich dem Kunden wie vorher schon gesagt " es gibt fast keine Aussicht auf Erfolg"eine Rechnung schreiben.

Wäre er im letzten Jahr gekommen hätte noch was gehen können.

:lach:
Wenn der Kunde ein Jahr ohne die Dateien auskam, braucht er sie auch nicht.
Im Übrigen, es gab kurzzritig eine Variante der Malware v.1 (locked-), die mehr als 3k verschlüsselte.
Bei der waren die Tools auch machtlos.

Undertaker

Hallo Zusammen,
seit gestern habe ich auch ein Problem mit verschlüsselten Dateien :-(
1. Mit MBAM den Schädling entfernt
2. Mit DecryptHelper 0.5.3 versucht einen Schlüssel zu erstellen
3. Mit ScareUncrypt versucht einen Schlüssel zu erstellen
EDIT: beides ist fehlgeschlagen

Ich habe viele Original-Dateien nur das alle Verschlüsselten Dateien größer sind als die Originalen :-(

Nun weiß ich nicht mehr weiter........

Daten aus dem Backup oder den Schattenkopieren wiederherstellen
Kein Backup? Keine Schattenkopien? Dann würd ich sagen Pech gehabt! :(

Hi!

Ich sag gleich, dass ich kein Experte bin in Sachen PC et.al. ect...pp... Nur hat mir das "Personal" hier vor 2 Jahren sehr dabei geholfen, einen Verschlüsselungstrojaner von meinem Rechner zu entfernen. Meine zerschredderten Dateien waren verloren auf
nimmer-wiedersehen. Eines habe ich dadurch gelernt: NIEMALS - aber wirklich NIEMALS (!!!!!!!) irgendwelche Anhänge von Dateien in einer eMail anklicken, entpacken oder öffnen! Wenn da steht "Sie haben eine Rechnung... von 966,74.-€ ..." sofort löschen und ja nicht öffnen oder mit unzip entpacken!!!!!

In den letzten 'Monaten werden es immer mehr, die mir solche Nachrichten schicken, und ich weiß überhaupt nicht, wo die überhaupt meinen ganzen Namen her haben. Jedenfalls werde ich meine Paßwörter auch nicht mehr automatisch speichern.

Da hätte ich auch eine Frage an die Experten hier: Ist es sinnvoll oder nützt es überhaupt etwas, wenn man die Absender einer solchen mail meldet? Und wenn ja, wo oder bei wem?

Schön und gut, soche stinken Mails gleich ungelesen löschen. Aber: was ist mit dem Backup? Machst du die regelmäßig?

Lass es sein, es bringt nichts wenn Laien irgendwelche gefälschten Absendeadresse melden, das stiftet nur noch mehr Verwirrung und kann für böses Blut sorgen!

Spammer verwenden im Prinzip niemals ihre echten Adressen als Absender. Stell dir vor du hast einfach mal Pech und die nehmen deine Mailadresse als gefälschte Absendeadresse, irgendein Schlaumeier meint dann du wärst der Spammer.

Nein, eher nicht...:daumenrunter: habe lediglich hin und wieder meine mir wichtrigen Dateien auf externer Festplatte gespeichert

moin Bytesniffer,

Seit gestern?
Woher kommt der Schädling?
Wo ist das Logfile von MBAM?

Wenn die Dateien größer sind, handelt es sich nicht um den Trojaner der Variante 1 aus 2012.
Die Tools helfen dann ohnehin nicht.

Gruß Undertaker

Bestimmt per Diskette übertragen :D

Den Ausdruck hat der Hund gefressen...Logs von MBAM sind gelöscht! :applaus:

:dankeschoen:

Edit: Ich sehe mich gleich die Festplatten PLATTMACHEN :killpc:
....vorher noch Retten was zu Retten ist
so sieht es wohl aus :rolleyes:

:pfui::pfui::pfui::pfui:

Sry bytesniffer, das Thema mit der Verschlüsselung ist so ernüchtern wie traurig. Das ist aber schon seit fast 2 Jahren so bekannt. Daher die Frage: warum bist du jetzt erst betroffen? Einzelplatz-Unfall? Was anderes kann ich mir nicht vorstellen außer grobfahrlässiger Handlung.

Ich hatte noch nie Probleme, bis gestern und bekannt war es mir nicht da ich ja noch nie ein Problem hatte.
1996 war das letzte mal auf WIN95 aber seit dem nimmer.
Ja mal so´n Bundespolizei Quatsch aber auch nur einmal..... letztes Jahr, den hatte sich meine Frau auf einer
Textilseite (Meterware Stoff) eingefangen....
Aber das gestern war der Hammer :kloppen:
hätte nicht gedacht das es mir mal den ANTIVIR aushebelt :confused:

Welches Virenprogramm sollte ich denn benutzen?

Wir haben nun schon lange keine W95 Zeiten mehr und eigentlich sollte man denken können, dass du als so langer Computer-Benutzer

1. weißt wie wichtig Backups sind
2. dass man von Mails von unbekannten Absendern die Finger lässt

Deine Frage:

ist da leider nur folgerichtig. Du hast dich mit Computern beschäftigt, aber nie mit deren Sicherheit im Internet. :(

[QUOTE=cosinus;1282955]Wir haben nun schon lange keine W95 Zeiten mehr und eigentlich sollte man denken können, dass du als so langer Computer-Benutzer

ja Backups sind wichtig, aber ich hatte bisher nie Probleme gehabt!
Zum Glück habe ich ja die wichtigen Dinge auf Externe Festplatten, von denen aber kein Backup!
Nun werde ich mich damit Beschäftigen müssen, Das Betriebssystem will ich aber "Spiegeln das ich im Notfall wieder auf eine formatierte Festplatte kopiere.
FRAGE: Welches Backup-Programm ist Sinnvoll und einfach zu bedienen?
(Ich hatte früher Norton Ghost, damit war ich zufrieden)

So etwas habe ich nie geöffnet! Ich denke die Nichte hat es verbockt!
Die bekommt nacher eine "Schulung" was Sie öffnen darf und was nicht!

FALSCH gedeutet, nochmal, da ich nie Probleme (bis auf 2-mal wie oben schon erwähnt!) hatte in den letzten Jahren, habe ich bis auf Backup´s alles richtig gemacht.
Ich habe zwar extern die Daten auf FSTPL aber mehr auch nicht
Viele Feunde hatten immer Probleme, weil die meinten die bräuchten kein Antivirprogr.
Meine Frage war ausserdem :
Welches Virenprogramm sollte ich denn benutzen?

Die Fragen nach
sind in diesem Forum gefühlt etwa zwanzig Millionen mal gestellt worden.

Gestatte mir eine Gegenfrage: Wenn Du ein gelegentlicher bis regelmäßiger Besucher dieses Forums wärst, wäre es Dir dann recht, wenn eben diese Fragen etwa zwanzig Millionen mal beantwortet werden würden?

Herz :daumenhoc lichen Dank !!!!!

auch wenn danach so oft gefragt wurde.....
es hat nicht wehgetan.... oder :heilig:

Ich poste mal unsere Standardbausteine dazu, die stehen hier im Board zu selten :blabla: :lach:

Thema Backup von Undertaker => http://www.trojaner-board.de/115678-...tml#post833432

Thema Virenscanner:

Körperlich nicht, geistig bin ich - als langjähriger Mitleser - so einiges gewohnt.

Ja das wäre mir recht.
Ansonsten wäre mein Verhalten sehr unfreundlich!!!

Diese Frage von mir hat sich so ergeben , aus der Diskussion heraus.
Wenn ich nun einfach so mich hier angemeldet und diese Frage gestellt hätte, in ein Thema hineingeplatzt wäre, dann kann auch ich verstehen das so etwas nicht in Ordnung ist

Dir sage ich nochmals Danke :party:

[QUOTE]
:dankeschoen: auch Dir!


So neues aus Uhlenbusch :-)
AVIRA ist gekündigt, das Geld bekomme ich zurück:taenzer:
Die empfohlene Softwäre wird umgehend Inst. MBAM habe ich ja schon, SPYBSD habe ich ja auch drauf :daumenhoc

Vielleicht handelt es sich garnicht um den alten Trojaner sondern um CryptoDefense.
Ich gebe dir hier einen Link zu einem aktuellen Fall.

http://www.trojaner-board.de/152306-...ml#post1282851

Hol dir das Tool von Emsisoft und lese die Hinweise auf bleepingcomputer.
Das wäre eine letzte, wenn auch minimale Chance.

Das wird hier vom Board allgemein NICHT empfohlen. Es erkennt zuwenig "echte" Malware und ist eher Ballast. Außerdem, falls du es nutzt, dann hoffentlich nicht ständig laufend sondern nur als On-demand-tool. Besser wäre es, es zu deinstallieren und nur MBAM neben deinem AV-Programm zu nutzen.

Da hast Du recht, Emisoft hat noch mehr gefunden, Antivir hingegen hatte bei seiner Suche versagt...

SPYBSD habe ich auch wieder entfernt weil nach MBAM nichts gefunden wurde.

EMISOFT hingegen hat noch mehr gefunden als MBAM, also ergänzen sich die beiden sehr gut :-)

hier nochmals ein Dank an COSINUS

MBAM hat folgendes gefunden:
Trojan.Winlock.CP
PUP.Optional.MySearchDial.A

Die MBAM Meldung "WinLock" hört sich, wie Undertaker schon bemerkte, nach einem älteren Trojaner an, der als "Ransomware" bekannt ist (also Erpressungssoftware) aber keine Daten verschlüsselt. Da er das aber offenbar doch tut ist es wohl eher eine Variante des Cryptolocker.

MySearchDial ist "nur" Adware (Toolbar/Addon) und entweder durch simple Deinstallation oder Einsatz des Adwcleaner zu entfernen.

Ich würde aber entweder alles in dem adäquaten Thread "Plagegeister..." unter Aufsicht beheben oder den Rechner direkt neuaufsetzen.

Beim Cryptolocker hat man aber doch nur ein paar Tage Zeit sich von den Erpressern den Schlüssel zur Entschlüsselung zu kaufen oder? Wenn ich mich recht erinnere hat BC ja sogar empfohlen das zu "kaufen" von den Erpressern wenn die Daten wichtig sind :confused: :wtf:

Hey Cosinus. Das ist mir auch aufgefallen, das BC auf deren Seite indirekt Werbung für CL macht, indem sie die komplette Anleitung der Ganoven veröffentlichen.
Äußerst fragwürdig.:zzwhip:

Na ja, Werbung macht BC nicht. Allerdings scheint die Kapitulation gegenüber den Gangstern, bei eine Infizierung mit einer Trojaner-Variante nach dem 1.4.14, die einzige Chance zu sein, seine Daten wieder zu bekommen.
Symantec hat ja die Klappe nicht halten können, sonst wäre es für viele vielleicht einfacher gewesen.

Wie vor zwei Jahren, ist hier weider der Beweis für eine richtige Datensicherung, vor allem, wenn man auf diese angewiesen ist.

Deshalb schrieb ich auch "indirekt". Ich halte es für fragwürdig und gefährlich, auf die Methode der Gangster zu verweisen, weil man z.Zt. den aktuellen CL nicht entschlüsseln kann, da dies Trittbrettfahrer auf den Plan ruft. Es ist auch nie garantiert, dass man den Schlüssel für seine Daten auch wirklich bekommt.

Wenn es wirklich wichtige Daten sind (und ich meine nicht Urlaubsvideos o.ä.) dann hat man i.d.R. auch eine Sicherung und der Schaden ist nicht ganz so groß.

Blöde Frage: Wie kommt der Trojaner an die Information, welche und vorallem wie viele Dateien in einem Verzeichnis liegen?
Er wird ja wohl auch irgendwann einmal eine Verzeichnisabfrage starten müssen?
Annahme 1: Trojaner ermittelt, ob es ein Verzeichnis "Bilder" o.ä. gibt:
-> Könnte man diese Abfrage nicht irgendwie abfangen und verändern, so dass z.B. die Ordner "Bilder" oder "Dokumente" für den CL nicht mehr sichtbar sind? (Gewollter Patch von "NtQueryDirectoryFile")

Annahme 2: Die Pfade von "Bilder" und "Dokumente" sind im Trojaner hardcodiert und er fragt nicht nach, ob die Pfade existieren. Sieht er das Verzeichnis "Bilder" nicht, kann er trotzdem herausfinden, wie viele Dateien darin sind, und sie alle verschlüsseln.
-> Man verschiebt/kopiert alle seine Sachen in einen unauffälligen Ordner wie z.B. "Neuer Ordner", oder benutzt "Neuer Ordner" direkt von Anfang an als Speicherort für das neue Word-Dokument oder die Ferienbilder.
Anschliessend verändert man die Verzeichnisabfrage, so dass "Neuer Ordner" nicht mehr im Ordnerlisting (des CLs) auftaucht, so sieht dieser den Ordner und somit die wertvollen Dateien gar nicht erst.

Vorteil gegenüber Datei-Backup / Virensignatur vom CryptoLocker:
- Man muss sich nicht lange mit Backup-Lösungen befassen (ich z.B. hasse Backups) und man muss nur einen einzigen Namen im Verzeichnis-Listing ausblenden,
- Man hätte automatisch einen wirklich heuristischen Schutz, da ja jede Variante, egal wie neu, immer noch irgendwann mal eine grundlegende Verzeichnisabfrage starten muss.

Nachteile:
- Verleitet vielleicht dazu, Backups für immer zu ignorieren, obwohl es auch irgendwann mal die Festplatte selber treffen könnte (kein malwarebedingter Schaden)
- Findet der CL das "verborgene" Verzeichnis doch irgendwie (RAW-Lesezugriff?), hat man verloren.
- Wie soll ein 0815-DAU die von Cryptolocker gemappte ntdll.dll zuverlässig verändern?

Was haltet ihr von meinen Überlegungen?


Grüsse - Microwave

moin Microwave,
hast du die im Link und dem dazugehörigen Forumsthread gemachten Informationen gelesen?

Habe ich zwar nicht, aber da steht ja, dass der CL den Computer "scannen" würde.
Dies wiederum bedeutet für mich eine rekursive Abfolge von Verzeichnis-Auflistungen, bis der gesamte PC gescannt wurde.
Und somit müsste mein Vorschlag doch zumindest theoretisch tauglich sein zur Präventation?
Ich probiere vermutlich mal, an so ein Teil zu kommen, und versuche es dann mit und ohne Patching.
500 Dollar sind schon ziemlich viel Holz....


Grüsse - Microwave

Mhh, du schreibst, er scannt nach Pfaden.
Ich kenne den Code zwar nicht, denke aber, er scannt nach Extensions und die Pfade sind ihm dabei wurscht.

Das ist soweit schon klar, dass er primär nach einschlägigen Dateierweiterungen sucht.
Jedoch müsste er ja zumindest wissen, ob es im Verzeichnis "X" ausser den Ordnern "A" und "B" noch einen weiteren Ordner "C" gibt, der Dateien mit "ge-blacklisteten" Erweiterungen enthalten könnte.
Das geht meiner Meinung nach nur über FindFirstFile/FindNextFile-Aufrufe, die dann irgendwann in NtQueryDirectoryFile münden, oder aber über direkten RAW-Lesezugriff (eher unwahrscheinlich) auf das zu durchsuchende Volume.
Und mein Ansatz war es halt, zu verändern, was Windows dem Trojaner zurückgibt, so dass Ordner B für diesen nicht mehr sichtbar wäre. Also kann er gar nicht erst den Versuch machen, den Ordner zu traversieren, weil er ja überhaupt nicht weiss, dass es diesen Ordner gibt.
Da der Ansatz nicht signaturbasiert ist, würde man auch gegen CryptoDefense und CryptorBit und Crypto-Schlagmichtot geschützt sein, wenn die Theorie aufgeht.


Grüsse - Microwave

Habe nun einen funktionierenden CryptoLocker gefunden und einige Versuche gemacht:
Wenn ich ihn einfach so laufen lasse, beginnt er nach dem nächsten Neustart damit, alle Dateien zu verschlüsseln. Das ganze ist übrigens kaum zu ignorieren, da plötzlich eine extreme Festplattenaktivität und eine höhere CPU-Auslastung vorhanden sind.
Der Vorgang ist recht fix, und nach 10min waren etwa 10GB durchsucht und je nach Endung verschlüsselt (interessant ist, dass JPG-Dateien mit nur genau 8.3-Namen verschlüsselt wurden?!).
Danach erschien ganz normal das CryptoLocker-Fenster, wo mir gezeigt wurde, welche Dateien verschlüsselt worden waren, und dass der Spass halt 400€/$ in Form von BitCoins (oder via MoneyPak) kosten würde. Auf dem Desktop wurde zudem ein Wallpaper hinterlassen, wie ich vorgehen müsse, wenn Antiviren-Software den CryptoLocker bereits gelöscht hätte.

Da der Trojaner laut Process Hacker auf die user32.dll angewiesen war, konnte ich bei einem neuen Versuch via AppInit_DLLs zur Startzeit des Trojaners eine DLL in ihn injizieren, die bei jeder Ordner-Anfrage geschaut hat, ob der Trojaner gerade ein Verzeichnis mit "cryptprv" im Namen öffnen möchte, um die Dateien darin zu scannen. Falls eine Anfrage diesen Namen enthielt, führte ich in der DLL absichtlich eine verbotene Operation durch und der Trojaner wurde von Windows beendet.
(Da es einen Hilfsprozess gibt, hat der den Trojaner natürlich wieder neu gestartet, dieser hat weitergemacht, wo er aufgehört hatte, es hat wieder eine Zugriffsverletzung gegeben, er ist wieder beendet worden, und das ganze hat sich von vorne wiederholt.)

Der zweite Versuch bestand dann darin, im Ordnerlisting des CryptoLockers bestimmte Einträge auszublenden.
So wusste der CL gar nicht erst, dass ein bestimmtes Verzeichnis existiert.

Beide Methoden haben wie erwartet 100%ig funktioniert. Alle Dateien in geschützten oder unsichtbaren Ordnern waren vollkommen intakt, während bestimmte Dateien ausserhalb der Ordner unbrauchbar gemacht worden waren.
Die Wirksamkeit ist natürlich unabhängig vom Startort des Trojaners (vgl. CryptoPrevent)
und unabhängig vom Vorhandensein eines Überwachungstreibers (GryptoGuard von HitmanPro.Alert).

Es kann also (zumindest heuer) auch ohne Backups oder Signaturerkennung funktionieren...

Hoffe, meine Erkenntnisse bringen euch etwas.


Grüsse - Microwave

Hab noch nie sowas bekommen :)

OT @ K1ramox: Ich hab' noch ungefähr nie Malware im Allgemeinen bekommen, ausser wenn ich sie versuchsweise installiert bzw. danach gesucht habe.
Und beim Browsen war das Höchste der Gefühle, auf einer einschlägigen Seite eine schlecht programmierte Version des GEMA-Trojaners einzufangen. Das Teil bekam man sogar ohne abgesicherten Modus wieder los.. :crazy:
Dies, obwohl ich mir vorher richtig Mühe gegeben hatte, den Browser (Firefox) unsicher und outdated zu machen -.-


Grüsse - Microwave

russische porn-seiten, und to-seiten, dauert keine 3 minuten. so gebe ich den livelogs immer die letzte würze :D

Crypto Locker kann mittlerweilen mit etwas Glueck bei https://decryptcryptolocker.com/ entschluesselt warden.

Mit seeeeeeeehr viel Glück hoch 10. :kloppen:

Bombinho, du hast mathematisch anscheinend keinen Plan und nicht kapiert was exponentiell bedeutet.

Ich war mir nicht bewusst, dass die Anwendung einer Datenbank etwas mit 2er-Potenzen zu tun hat? Aber die Erklaerung wird sicherlich gleich folgen?

Manchmal schaeme ich mich schon regelrecht fuer mein Halbwissen.

Allein das zeigt schon, dass du nicht sonderlich viel Glück beim Nachdenken hast :party:

Macht nichts, aber vielleicht kann ich Dir ja noch Nachhilfe beim Lesen erteilen: Zitat "Gegenüber Forscher Brian Krebs erklärten die beteiligten Sicherheitsanbieter, dass das Entschlüsselungswerkzeug öffentliche Schlüssel nutzt, an die Fox-IT im vergangenen Monat kam, als die Autoren von Cryptolocker sich einer Verhaftung entzogen."

Oh man du musst ja echt verzweifelt sein. Ich wünsche dir eine gute Besserung.

Vielen Dank auch fuer Dein fundiertes Fachwissen. Und natuerlich die guten Wuensche.

Es freut mich immer wieder, wenn ich das Fachwissen anderer erweitern kann. Noch mehr freut es mich wenn das weitervermittelte Wissen auch mal genutzt würde. Und nicht schon wieder nach 1 oder 2 Jahren ein verzweifelter Hilfeschrei von bombinho käme, denn das wäre peinlicher als peinlich, schon jetzt sehen dich die meisten als Idiot Troll.

:daumenhoc Dann wird es Dich freuen, zu hoeren, dass ich das nur aus Interesse mache und bisher noch nicht persoenlich betroffen war. Und sicher wird es Dich noch mehr freuen, dass ich regelmaessige Backups mache. Also deine Worte haben echt etwas bewirkt. Okay, habe ich vorher schon gemacht. Aber nun bin ich mir sicher, dass es eines Tages etwas nutzen kann. :lach:

Du siehst, Du machst wirklich einen Unterschied fuer die Leute. Speziell in einen so praeventiven Forum wie Trojaner-Board.
Es ist mir immer wieder eine grosse Ehre, mit derartig viel praezisem Fachwissen bis an die Grenze des Erstaunens gebracht zu werden.

Ah schon klar.

Finde ja ich schön, dass du Backups machst.

Aber verrat mir mal, was du diesem Forum vorwirfst. Ich hab dir deine Mathematikschwäche ja schon mal gezeigt. Wäre schön von dir zu lesen, wie du das alles widerlegst.

Aber ich denke da kommt nichts Substantielles von dir und eigentlich täte man es besser damit : DFTT!

Aber wo wir gerade den Crypto Locker diskutieren, haben sich schon viele Betroffene Mac-User gemeldet? Witzigerweise ist der einzige Fall in meinem Umkreis ein(e) Mac-NutzerIn gewesen. Verschluesselt wurden afaik Dateien im Userspace und! Dateien in der Dropbox.

Bekomme ich einen Hinweis, wann?

Lass mich raten. Deine Betreuerin?

Und da war es wieder, das fundierte Fachwissen, ich habe den Eindruck, wir sollten die Diskussion dem Thread zuliebe woanders fortfuehren, PN mir doch bitte mal, wann und wie Du mir mathematische Schwaechen aufgezeigt hast.

Deine mathematischen Schwächen hab ich dir im mittlerweile gesperrten Thread erläutert.

Ich wünsche dir viel Spaß beim Nachrechnen.

Aepfel und Birnen?

Dankeschoen, aber gehen wir mal logisch ran. Um ganz sicher zu sein beim Lotto, benoetigst Du ungefaehr 1305913864 Jahre. Um RSA1024 unsicher zu machen, haben wir etwa 15 Jahre gebraucht. Bei den Lottozahlen kannst Du erstmal nicht tricksen. Also diese Zeit steht fest. Mal angenommene Entwicklungen bei Quantencomputern ausschliessend, muessen wir nicht einmal RSA2048 innerhalb von 1305913864 Jahren brechen sondern nur AES256. Das sollte wohl drin sein, denkst Du nicht?

Ganz zu schweigen, dass mir diese Zeit fuer den Aufbau einer Rainbowtable fuer RSA2048 mehr als ausreichend erscheint.

Liest du dich eigentlich selber?

FULL ACK! :)

Ich zitier diesen Müll nurmal für Archivierungszwecke :applaus:

Darf ich Dich dazu zitieren?

Gerne :)

Aber ein Matheschwächling wie du wird es nicht kapieren

Für die Liste?

Es gibt nur die Liste :abklatsch:

The RSA algorithm is not necessarily out of date, but the key size is important. It is still used regularly all over the place. An RSA key length of 3072 bits should be used if security is required beyond 2030. This is just a function of the improvements in computing power and not a weakness in the algorithm.

Das muss doch echt Weh tun. Lieber bombinho, wenn du glaubst da sei eine realistische Chance Schlüssel zu knacken, dann mach dein eigenes Projekt dazu auf. Hier im TB wirst du keinen finden, weil wir nicht nur mit anderen Dingen beschäftigt sind, sondern auch wissen wie aussichtslos dein Vorhaben ist. Ich wünsche dir eine gute Besserung. :headbang:

Bitte ignorieren bzw. entfehrnen. Danke und noch einen angenehmen Abend :)

Das ist jetzt nicht dein ernst oder :wtf:

:stirn: Tut mir leid, logge mich jetzt lieber aus
(nicht geschlafen :kaffee: )

Schon ok. Hast bis morgen Zeit ne Torte auf die Fresse vom bombinho Troll zu werfen, danach sperre ich den Thread :lach:

Okay, der Abend ist gerettet. LMA
Danke nochmal :D

Abend vor allem. :rofl:

Deine Fresse hast du schon genügend hingehalten :rofl:

Ist dir das bewusst was du abgesondert hast? :D

Wie auch immer immer, wenn du das echt ernst meinst was du schreibst :rolleyes::rofl:

http://www.trojaner-board.de/154748-...op1-net-2.html

Dann gilt für dich der letzte Satz der zweiten Seite. :rofl:

Haben wir schon ein Zoo-Gelände für solche Leute?

1) hat Chip da null Aktien dran, einfach was kopiert und gepostet
2) ist das rein theoretisch echt ne Option, für ungefähr 2 Minuten. Ein paar Jungs aus der Community haben einen privat server gehackt, und die privat keys organisiert.
also eine Datei hinschicken, Master Key erhalten, alles entschlüsseln. Soweit die Theorie.

Ok, die Menge der geklauten Schlüssel entspricht ungefähr 0,0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000001 % der verwendeten Schlüssel, aber wer zählt schon :D

Soweit ich weiss wurden alle privaten Schluessel der Cryptolocker-Truppe recovered und somit sollten (Betonung auf sollten) auch alle Dateien zu entschluesseln sein.

Mir ist noch kein Fall (von Cryptolocker) bekannt, wo das nicht geklappt haette. Ne ganze Reihe gluecklicher User, die ihre Daten jetzt doch noch entschluesselt bekommen haben findet man hier: http://www.bleepingcomputer.com/foru...ram/?p=3441254

klappt anscheinend doch nicht bei jedem :)

Und wer hat jetzt nun Recht?

es klappt bei jedem (bei bc), hier gibt es anscheinend 2 oder 3 (wenn ich mich recht erinnere) bei denen es nicht geklappt hat.

ich dachte es wäre nur ein server gewesen, mit wenig keys. die info dass nahezu alle keys recovered wurden ging an mir vorbei.

passiert bei so viel internen themen an so vielen boards :)

Mal ne doofe Frage, meine Daten wurden im Mai 2012 verschlüsselt nach dem Motto:
assssdfacvcsdreeeedd.sff, dateigröße gleichgeblieben.
Bin nun schon soo lang nicht mehr im Bilde, ist das die art gewesen, zu der es nun neue Entwicklungen gibt?
Ich gleibe es wurden die ersten 12KB der Datei verschlüsselt.