ScareUncrypt - Tool für verschlüsselte Dateien
 

Hallo,

bei einem Kunden hatte ich den gleichen Trojaner vor ca. einer Woche schon als Fund und hatte ebenfalls schon angefangen, was zu programmieren.
Finde ich toll, dass anscheinend mehrere Menschen im Netz die gleichen Ideen haben ;-)

Ich bin grade dabei einen "universellen" Unlocker zu bauen -
unter XP kann ich derweil den Schlüssel automatisch erstellen, ohne dass irgendwelche alten und neuen Dateien gebraucht werden.
( hxxp://startseite.bitfox24.de/2012/04/sie-haben-sich-mit-einen-windows.html )

Bin grade dabei ein Image mit VISTA und WIN7 absichtlich zu infizieren, um das ganze dort auch einmal nachzustellen.

Eine neue Verision von dem Trojaner ist ausserdem so dreist und sucht die Network-Shares ab - also Vorsicht, wenn wer in einer Virtuellen Maschine etwas nachstellt oder ihr euch mit einer infizierten Maschine im Netzwerk befindet!

Kind Reguars,

Oliver

Wichtiger Hinweis:


Es ist bereits eine neue Variante im Umlauf, die sich nicht mehr einfach entschlüsseln lässt. Daher folgende Hinweise:

• Arbeitet immer mit Backup-Dateien
• Meldet Euch, wenn es Probleme gibt, denn nur so können neue Lösungen erarbeitet werden.

Download: scareuncrypt.zip

Hallo,

habe heute bei einem Emergency-Call wohl die "nummer Drei" sehen dürfen:

Im Gegensatz zu der Variante mit 4 Buchstaben nach der Extension scheint der "große Bruder" 6 stellen nach der Extension zu nutzen (locked-datei.ext.123456) und geht geringfügig anders vor:
Er besitzt 3 Blöcke zu 4K bzw. 6 Blöcke zu 2 K am Anfang der Datei.


BlockA ist wie gehabt zu entschlüsseln.

BlockB low ist BlockA low xor BlockB low.
BlockC high ist BlockA high xor BlockB high.

BlockB high und BlockC low scheinen unverändert.


Der Bildschirm hat sich etwas geändert:
Es handelt sich neuerdings um ein kostenpflichtiges Update von TrueCrypt...

Die italiensichen Kommentare im Programmheader und die schlechte Grammatik sind immer noch gleich.

Hab den neuen "Kumpel" auch mal mit in mein Programm gepackt.
Für Win7 und XP arbeitet die "Schlüsselsuche" allein - man benötigt dort also keine 2 Dateien mehr.

@BITFOX
kannst du mir die variannte zur verfügung stellen?

Hey Markus -


von Nummer drei kann ich dir leider nur noch die "Auswirkungen" präsentieren -
da hatte sich schon wer am System versucht... :-(
Das einzige was ich noch finden konnte, waren Einträge in der Registry:
Der Shell-Eintrag vom Explorer ware mal wieder verdreht worden.

Die Nummer zwei kann ich dir Mittwoch geben, wenn ich wieder in der Firma bin.

Hab ausserdem grade mal getestet -
Unter 2K3, Win7, WinXP läufts fehlerfrei ohne zwei Schlüsseldateien und automatisch.
Unter 2K8 und 2K werde ich das ganze dann ebenfalls am Mittwoch testen.

ScareUncrypt-Download.

Hi

Mir hat dann das Tool ScareUncrypt geholfen (http://www.trojaner-board.de/114548-...e-dateien.html).
Als Datei habe ich zwei verschiede Windows Wallpaper benutzt, einem dritten wollte ich dann keine Chance geben. Beim ScareUncrypt konnte gleich von Anfang an ein Schlüssel erstellt werden und alle Dateien konnten wieder entschlüsselt werden.
Danke eurem Forum :applaus::applaus:

Gruß Ede

Hallo Bitfox.
da ich keine alt/neu-Dateien habe. bzw. es damit mit decrypthelper leider nur bei txt-dateien gefunzt hat habe ich jetzt dein Tool verwendet. Leider fkt. es bei mir auch nicht viel besser:
txt ok
pdf oben verscrambelt
docx nur ein paar wilde zeichen

Please help!

Hallo Bitfox,
auch bei mir nur Datenmüll bei "jpg" Dateien mit und ohne eigenen Dateien

kannst du mir mal das sample schicken, mit dem du dich infiziert hast, es gibt welche, wo das mit den paaren nicht mehr funktioniert
schau mir das dann mal an, nenne in der mail, deinen nutzernamen
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann mail an:
http://markusg.trojaner-board.de
dort die soeben erstellte datei anhängen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.

auch in zukunft, unbekannte mails mit anhang weiterleiten.

Hallo Markus,

hast von mir vorhin schon per Mail bekommen ;o) kanntest es aber leider schon.

sag mir mal deine mail adresse per privater nachicht.

hi, du bist wie gesagt einer der glücklichen mit dem trojaner, bei dem es mit paaren nicht mehr klappt.
abwarten und tee trinken heißts da.
und natürlich mails weiterleiten, sodas wir schnell reagieren können

naja zum "glück" bin es ja nicht ich sondern kundschaft von mir, aber böse ist es trotzdem. hatte vorige woche 2 Rechner da hat es wenigstens noch geklappt ;)

ja, und da die leute uns das leben nicht einfacher machen wollen, haben sie das schnell geendert :p
wie gesagt, hoffnung nicht aufgeben, das teil gibts ja erst seit gestern, und es wird drann gearbeitet vllt haben wir bald wieder was im angebot

Hey Bitfox, habe mit deinen Tool den ersten Erfolg unter Vista erzielt, kein weiteres Tool hat den Schlüssel generieren können.

Jedoch läuft dein Programm noch recht instabil.

Wenn man ganz C:\ entschlüsseln will, legt er anfangs gut los und springt dann auf "Keine Rückmeldung"

Manchmal sagt er auch "Dateizugriff verweigert".

Wäre schön wenn du diese Probleme irgentwie beheben könntest, damit ich weitere Bereinigungen durchführen kann und nicht jedes Verzeichniss auswählen muss.

Gruß Maas1337

Hallo,

das mit dem "Dateizugriff verweigert" ist eine Macke bei Win7 auf Grund der neuen Berichtigungsstrukturen in den Verzeichnissen.

Ich werde nachher mal einbauen, dass das Tool solche Dinge geflissentlich ignoriert.
Auch das Speichermanagement werde ich noch mal durchdenken müssen -
denn zwar ist nun das ScareUncrypt-Tool schneller als andere, aber streikt dann bei Systemen mit wenig Speicher bzw. kann man nicht wirklich sehen, dass es noch arbeitet.
("keine Rückmeldung" bedeutet nur "keine Rückmeldung" - nicht unbedingt gleich, dass er nicht mehr arbeitet.)

Daher hier nun etliche Tools bestehen die alle technisch das gleiche tun, habe ich mich aber darauf verlagert, einen "universellen" Unlocker zu bauen, der Schlüssel ohne ein Zutun von draussen baut -
also wenn mal wirklich gar keine Originaldateien da sind, denn es scheinen etliche genau das Problem zu haben, was ich schon mal angesprochen habe:
Da wurden verschiedene Schlüssel auf der Platte benutzt, was im ersten Augeblick dagegen spricht, dass der Schlüssel aus fixen Systemdaten generiert wird.
Ob das nun mit verschiedenen Laufwerksnamen oder Einschaltzyklen zusammen hängt, lässt sich nicht so wirklich ausmachen.
Ich persönlich gehe immer noch davon aus, dass irgend ein INode als Komplement genutzt wird.


Whatever. So lange es ein simples XOR bleibt scheint es mir, als hätte ich da derweil einen Weg.

Nur leider ist meine Freizeit im Moment etwas rar gestrickt, weil ich zwischen Stuttgart, Frankfurt, Essen und Hamm herum gondel.


Apropos neue Seuche: Geht es da um den neuen Typen den ich hier neulich schon beschrieben hatte? 3x2 Blöcke a 2K bzw 3x4K? Wenn nicht: Wenn mir mal jemand das noch neuere Biest schicken kann, wäre nett.

Danke, Bitfox wäre echt toll wenn man bei den älteren Viren die komplette Platte reinigen(entschlüsseln) lassen könnte

Hallo Bitfox,

wohin möchtest Du denn die eml haben dann schick ich sie Dir gerne ¿

Maas: Erledigt... nun für alle Verzeichnisse, Anzeige des Dateifortschritts, Ignorieren von bösen Verzeichnissen, etc. pp.
Wenn das nicht reicht, dann weiss ich auch nicht ;-)
Version 2012-05-05 14:57 Uhr

Nasshund: Du hast Post :-)


Betonung bitte ausserdem noch einmal:
Spenden für mein Tool bitte nicht an mich, oder auf unser Geschäftskonto -
Bitte wirklich an den gemeinnützigen Verein "AK Jugendhilfe Ahlen e.V." (Siehe Liessmich-Datei.)
Die stellen auch gern eine Spendenquittung für das Finanzamt aus.

Ich selbst könnte sicherlich das Geld auch gebrauchen, aber freue mich schon über eine simples "Danke" auf einer Postkarte....! ;)

Wer ausserdem Viren, Spam, Trojaner hat, kann das ganze ungefragt an spamdb@bitfox24.de schicken;
In den nächsten Tagen werde ich mir da auch mal was einfallen lassen, wie man die "gesammelten Werke" (inkl. Mailheader inkl. Binaries) online stellen kann; so dass sich jeder daran bedienen kann.

Danke dir Bitfox werde es beim nächsten Virenkunden mal austesten :-*

Bist echt ein Schatz :P

Gruß Maas1337

Hab gerade die neue Version probiert. Ich kann einen Schlüssel generieren und auch die Dateien entschlüsseln, sie lassen sich jedoch nicht öffnen. IrfanView bringt "Kann Dateiheader nicht lesen"
In .doc und .xls Dateien stehen nur kryptische Zeichen.

@Halbschnabel
bitte zitat lesen.
wird uns evtl. helfen die fehlerquelle zu finden.
entschlüsselt hast du ja hoffendlich an nem backup

Hab nochmal mit anderen Dateien einen neuen Schlüssel generiert, jetzt funktioniert es problemlos, vielen Dank.

Habe jetzt auch noch mal eine Anleitung als DOC und PDF dabei gepackt, wie das Tool zu benutzen ist -
vielleicht ist damit die Fragerei im Forum etwas entschärft.

Ich freue mich ausserdem auch über _kleine_ verschlüsselte Dateien (nach Möglichkeit bitte je Datei bitte nicht mehr als 2MB) vom Dateitypen mp3, jpg, png, pif, exe, com, avi und den jeweis (falls vorhandenen) Gegenstücken an spamdb@bitfox24.de

Das hilft wirklich ungemein weiter!

Danke.


ScareUncrypt-Tool

Guten Abend,

danke für das nette Prog.
Es ist bis jetzt das einzige was bei mir funktioniert, nur leider
kann ich die Dateien (alle) nach der Entschlüsselung nicht lesen.
Windows7 32

Habe mir den Virus gestern eingefangen.

MfG.
AD65

Bitte beachten, dass es mehrere Trojaner-Versionen gibt und es Probleme gibt, wenn der Rechner zwischenzeitlich neu gestartet wurde.
(Das ist bekannt und kein Fehler.)

Ich habs mal mit diesem Tool probiert..."ScareUncrypt - Tool für verschlüsselte Dateien"..........................Entschlüsselung hat auch geklappt.
Allerdings erhalte ich beim starten der betroffenen Programme folgende Meldung:
:confused:

danke schön für das tool. entschlüsseln ging aber die bilder lassen sich leider nicht öffenen trotz der guten beigelegten anleitung.

warum das so sein könnte, steht ja n paar mal hier.
bestätigen können wir das halt auch nur, wenn ihr, wie beschrieben, die mails weiterleitet, mit eurem nutzernamen.
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann mail an:
http://markusg.trojaner-board.de
dort die soeben erstellte datei anhängen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

Servus miteinander im Forum.
An mich ist ebenfalls in der Not herangegangen worden.
Der PC wurde von jemand bereits neu aufgesetzt und die kryptisierten Daten wieder installiert (was natürlich nichts bringt). Die Externe HD habe ich nun bei mir und versuche mit den bisher bekannten Tools zu decrypten, allerdings schlagen alle Tools bisher fehl.
Entweder sie entschlüsseln falsch, oder erstellen von vornherein keinen Schlüssel.
Nachdem ich feststelle, dass hier in diesem Forum Profis am Werk sind, lade ich mal die beiden Windows-XP-Dateien Wasserlilien. Einmal chiffriert und im Original hoch.

Die Dateien wurden auf einem XP SP3 PC infiziert, mein System ist ein W7 64, mit dem ich zu entschlüsseln probiere.
Die Virensvanner-Software Ikarus hat mehrere Trojaner und Würmer gefunden. Den Report habe ich hier eingefügt.
Vielleicht kann ja jemand weiterhelfen - hoffentlich
:party:

Ach ja und noch was.
Die Dokumente wurden am, 4.5.2012 vom Trojaner verschlüsselt

Leider dito!

Sofenr möglich ist es immer prima, wenn mir wer das jeweilige "Biest" als eMail an spamdb@bitfox24.de zusenden kann -
so ist es für mich am einfachsten zu sehen, ob ich die variante schon kenne, ob diese sich geändert hat - und vor allem das ganze in einer VM mal nachzustellen.
mit dem "traurigen ergebis" der verschlüsselung lässt sich meist eher weniger anfangen -
damit lässt sich leider meist nur noch testen, ob das jeweilige "entschlüsselung"sprogramm dann funktioniert.

na vllt hatts ja mehr sinn, wenn du das sagst, ich hab ja schon häufiger angemerkt, dass wir nur dann aussagen treffen können, wenn man uns die samples zukommen lässt :d

Leider hat bei mir das Tool (und auch andere) nicht gewirkt. Ich konnte zwar ein Schlüssel generieren und dann auch diese verschlüsselte Datei(also mit der ich den Schlüssel generiert habe) entschlüsseln, jedoch andere Dateien nicht.
Die Datei die ich entschlüsseln konnte hatte jedoch auch noch Fehler ( die Bildvorschau war z.B. nicht richtig).
Die Dateien heißen wie üblich locked-DateiName.Endung.wxyz (wxyz = Zufallsbuchstaben)

Kann es daran liegen, dass ich die "neuere" Variante mir eingefangen habe?
Bei Interesse kann ich den Trojaner (zumindest den Teil aus den Appdata) euch zusenden (Mail hab ich leider nicht mehr).
Es hat komischer Weise nur die Einstellungen von Programmen (u.A. Thunderbird / MSN ) und ein paar Daten der externen Festplatte verschlüsselt ( Eset hatte die Datei zu schnell gelöscht? Meldung kam trotzdem, dass ich nen Verschlüsselungstrojaner hab und Geld zahlen soll).

//Edit: Sorry hätte wohl eher bei "Wiederherstellung der verschlüsselten Dateien" reingesollt, verklickt

Es handelt sich um eine Variante des Trojan-Dropper.Win32.Dapato
Mail mit dem Biest gesendet :)

Jede Software erkennt ihn anders.
btw. wie sendet man nun den Virus an spamdb@bitfox24.de

e-mail in eine zip-datei packen und ein passwort versehen. natürlich teile ihm das pw mit ;)

(Zitat aus dem decrypthelper-Thread)

Wäre das nicht eine Möglichkeit dass man für jede Datei einen neuen Schlüssel generiert? Würde zwar wahrscheinlich länger dauern (kann's zum Glück grad nicht testen), wäre aber bei Erfolg ein Schritt in die richtige Richtung, oder?

Korrigiert mich bitte wenn ich etwas falsch verstanden habe.

hi
naja, wenn er für jede verschlüsselte datei die entschlüsselte vor liegen hätte um sie zu entschlüsseln, dann bräuchte er doch kein entschlüsselungsprogramm mehr.

Ok, Denkfehler, hatte das so verstanden, dass der User nen automatisch generierten Schlüssel genommen hat.
Mit Vergleichsdateien wärs tatsächlich sinnlos ;)

na vllt hab ich ja auch nen denk fehler, aber ich denke er meint er hat den schlüssel aus dateien erstellt.

Hi miteinander, gibt es schon Erkenntnisse betreffend der neuesten Bösewichte bzw. der Fileentkryptisierung?

Hallo,
bei mir hats leider auch einen Rechner erwischt. Leider kann ich, nachdem ich die Ordner mit den verschlüsselten Dateien verschoben habe, auf selbige nicht mehr zugreifen - "Zugriff verweigert". Somit kann ich auch keine Vergleichsdatei suchen um einen Schlüssel zu generieren.

Weiß hier jemand Rat?

XP/SP3

Vielen Dank!

Hallo,
nachdem es einen Rechner von einem Bekannten erwischt hat, hab ich den schon wieder flott, und bin nun dabei, die Dateien wieder zu entschlüsseln. Klappt auch soweit, nur bei Dateien größer 4 GB streikt das Programm.

Ist das Problem schon woanders aufgetaucht und gibts dafür einen Lösung?

VG
Christian

hallo :)



also bei mir klappte es bis zum entschlüsselt :)
als ich dann ordner anklickte usw häckchen war in kopie und unterverzeichniss drinnen passierte leider nix mehr.
steht zwar hoffe wir konnten helfen usw.
aber weiss weder wo die entschlüsselten mp3 sind noch ob sie überhaupt da sind. im kaputten ordner tat sich leider nichts.
hoffe es hat wer ne lösung

gruss karin

warum nenne ich mich dau??

wie blöd die Neugier siegen zu lassen, und offensichtliches zu ignorieren...


... und sich den Verschlüsselungstrojaner zu fangen1

der Rechner läuft wieder ( win 7 / 64) - sonst wäre ich nicht hier.

Die dateiennamen sehen z.B.so aus:

ETdxNEDoenGVrsNQy


KEINE . Endung!!!

und lassen sich mit decrypter oder scareuncrypt leider nicht
reparieren.

somit laufen z.b. outlook nicht - es gibt ja keine .pst

einige (.mp3 wmv) gibt es noch ( hope&pray)

wer kann helfen bittebittebitte

moin moin Peter,
es tut mir Leid, dass ich jetzt gerade Dich anspreche.
Das trifft auch für @Racheengel und viele andere Poster zu.

Hier wird wild durcheinander geschrieben, unabhängig ob der Thred der Richtige ist.
Aus dem Geschriebenen kann man vermuten, dass die vorangegangenen Postings nicht oder kaum gelesen wurden.
Normalerweise kannst Du Deine Fragen aus dem bisher Geschriebenen selbst beantworten.
So sollte Dir klar sein, dass die hier erwähnten Tools nur bei Verschlüsselungen der Form

locked-xxxxxxx.yyy.zzzz

zu großen Teilen zum Erfog führen.
Bei Verschlüsselungen der Form

DfrtEfgDsERtg

gibt es noch kein probates Mittel, da ist Abwarten angesagt.
Einer hat geschrieben, dass er durch bloßes Anfügen der Extension JPG, seine Bilder wieder hatte. Woanders läuft da garnichts.
In einer Variante des Trajaners werden die Dateien verschlüsselt, ohne dass man es ihnen ansieht (ohne Umbenennung).

Warte am besten mal ab, was sich die großen Antivirus-Anbieter einfallen lassen.

Du schreibst, dass der Rechner wieder läuft.
Wie hast Du den weider zum Laufen gebracht?
Bist Du sicher, dass er er sauber ist?

Gruß Volker

Du triffst schon den Richtigen :stirn: sieh Kommentare:

@Peter,
ganz oben steht:
Hinweise
Vorgehen beim Verschlüsselungstrojaner
Zuerst Punkt 1.
Dann abwarten.
Format C ist die letzte Variante.
Sie macht nur dann sofort Sinn, wenn Du Backups Deiner wichtigen daten hast und auf den Rest verzichten kannst.

Gruß Volker

normalerweise sollte es ok sein zu formatieren, man kann aber sicherheitshalber nen image des systems erstellen, mit true image zb

ok, es gibt eine enderung, wenn ihr uns dateien senden wollt:
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
makrusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

Hi,

verstehe ich richtig, dass ScareUncrypt auch nicht unbenannte Dateien entschlüsselt?

Bei dem Rechner (Win Vista), der unter Beschüss stand sind nämlich alle Eigene Dateien verschlüsselt aber nicht unbenannt. Ich habe das noch nie gesehen und bin deswegen am verzweifeln. ScareUncrypt generiert der Schlüssel und macht weiter nichts. Keine Dateien werden entschlüsselt. Als Paar habe ich die verschlüsselte und originale Hintergrunddatei genommen.

Problem ist auch, dass das Programme von Kaspersky (rannochdecryptor) und von Avira und te94decrypt passen.

Der Rechner habe ich mit AVClean gesäubert und der läuft einwandfrei. Die nachträgliche Scans mit Kaspersky und DRWeb BootCD finden keine Virensignaturen mehr. Ich kann deswegen keine verseuchte Datei an euch schicken.

Richtig, Scareuncryp und die anderen Tools helfen nur bei Dateien, bei denen die ersten 4kByte modifiziert wurden und in der Form

locked-xxxxxxxx.yyy.zzzz

vorliegen.

Ich kenne noch kein Tool, das dateien der Form DgFRzUIOPHJV oder verschlüsselte, nicht umbenannte Dateien rekonstruiert.

.eml geht nicht -
weiterleiten ok?

Hey leider hat mir dein programm nichts genutzt das was bei mir passiert ist ist die neuste version von dem trojaner bei mir zeigts nur noch buchstaben überall an zb. DLAufvdoXApjQynlVgEn war mal ein lied das lied geht noch aber es sehen alle daten so aus und bilder oder filme und dokumente gehen nich mehr was soll ich nun tun ????

Hat alles geklappt!
Nach Infizierung mit dem Windows Verschlüsselungstrojaner unter Windows XP via E-Mail.

Typ war wie folgt: locked-dateiname.endung.(4 random buchstaben)

Bisher klappts mit .doc .pdf. jpeg Dateien - mehr noch nicht getestet, bin aber optimistisch.

es ist mir aufgefallen, das in "Datei" Eigenschaften" das Erstellungsdatum der
Dateien die z.B. vpyulLsaAfayOX heißen, 13. Februar 1601 ist...

... lang vor Bill´s Zeit :singsing:

wenn´s beim Entschlüsseln hilft? "hope"

Ja und in den Dateieigenschaften der ca. 80kb großen Hauptscaredatei steht neben dem Begriff 'Aqua Minerale' auch noch etwas aus Kyrillisch...? Kann jemand russisch?! :-)

hi, das einsenden von mails an uns klappt wieder.

an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
makrusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.
wer noch probleme mit der entschlüsselung hatt, mal dies probieren:
http://www.trojaner-board.de/115496-...tml#post831090

Hallo nochmal,
hat keiner eine Lösung für mein Problem?

Grüße

Gibts jetzt schon ne Lösung für die DgFRzUIOPHJV Verschlüsselten dateien ???

nein, ich hab noch keines gefunden.
Leute schickt alles an infos und die betrügermails samt dem trojaner als anhang an das forum hier:

hxxp://markusg.trojaner-board.de/

Je mehr infos die Pro bekommen ,desto eher gibts einen decrypter dafür. Vorerst abwarten und Tee trinken, kann laut meinung hier auch noch Wochen dauern, aber werft die files NICHT weg, Kof hoch, ich warte jedenfalls auf den decrypter, werdea uch ordentlich spenden, wenn das was kommt, die daten sind immens wichtig für mich

hi,
der link noch mal klickbar:
makrusg - trojaner-board.de
und, wenns ne info gibt, könnt ihr euch sicher sein das die hier gepostet wird, so das sie keiner übersieht.

Hallo Zusammen, ich kann mich bei Mynti einreihen. Meine nicht schreibgeschützten Dateien sehen dank des Trojaners jetzt z.B. so aus: UOlQXglUqtEdyluTOlQ Die Buchstabenkominationen und die Länge ist jedoch von Datei zu Datei verschieden. Ebenfalls scheint der Virus neben Namen, die Größe geändert zu haben. Die kodierten Dateien scheinen kleiner geworden zu sein. :wtf: Heute habe ich noch festgestellt, dass der Trojaner auch gezippte Dateien auf einer externen Festplatte entpackt und verschlüsselt hat.

Zur der infizierten Mail kann ich leider nichts sagen. Wir hatten zwar eine per Mail versandte Zip-Datei entpackt, allerdings haben wir mit dem Absender gesprochen und sein Rechner ist sauber. Die anderen Adressaten der Mail haben auch keine Probleme. :confused:

Ich könnte Euch allerdings einen Scan und ggf. eine Kopie der Lies-mich Datei schicken, die von dem Trojaner ausgeworfen wurde. Und ich könnte Euch einen Ordner verschlüsselter Bilddateien zur Verfügung stellen, wenn es Euch helfen würde. :confused: Ich versuche Euch gleich den Virus zu schicken.

Vielleicht habt Ihr ja schon Neuigkeiten! Danke für Eure Mühe!:dankeschoen:

also meine betroffenen files sehen auch so aus aber eine veränderte größe konnte ich bisher noch nicht feststellen, bei einigen stickproben bisher alle aufs byte genau gleich groß. kansnt nochmal überprüfen? als mit rechsklick eigenschaften und die exakte größe?

hallo, leider kann ich mit keinem der tools meine dateien wiederherstellen, da meine veränderten dateien in den tools nicht erkannt bzw. sichtbar sind....ich kann also keine paar erstellen die die programme zur wiederherstellung benötigen...was kann ich tun?
lg
Sebastian

liegt nicht daran, sondern dass die tools mit der neuen Verschlüsselung noch nicht umgehen können.

ok vielen dank...werd also noch warten müssen...glücklicherweise sind auf dem betroffenen rechner nicht allzuviele dateien drauf...lg Sebastian

@benton18: So, ich bin jetzt noch einmal alle gesicherten Dateien durchgegangen und nehme alles zurück. Vom Mac aus habe ich jetzt wohl die richtige kodierte Datei zum dazugehörigen Original gefunden. Größe passt jetzt auch!

Ich kann Euch beide Dateien gerne zur Verfügung stellen! Ich weiß ja nicht, ob es helfen würde???

schon mal gut, aber leider ich bin nur Betroffener der geschichte und versuche hier Hifestellung zu geben;-)

Der letzte Satz war allgemein verfasst! ;-) Und sollte nur zur Info dienen. Ich bin immer noch verwundert, dass mir die kodierten Dateien auf dem Mac als exec-Dateien / ausführbare Unix-Dateien angezeigt werden.

Zudem ist der neue Dateiname um 4 Zeichen länger als der alte Dateiname inkl. Punkt und Dateiform!!!

Ich mag nicht mehr! :-( Leider hat sich das Muster nicht bestätigt! Hab gerade noch weitere kodierte Dateien mit Originalen verglichen und jetzt mag ich gar nicht mehr!

Da haben sich diese Verbrecher wirklich was nettes ausgedacht!!!!

hi, der dropper wäre interessant:
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
makrusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

Den hab ich nicht mehr! Ich weiß leider auch nicht wie er auf den Rechner gelangt ist! Mails die wir am 17.5 abgerufen haben sind nicht mehr da. Sie liegen leider auch nicht mehr auf dem Server!!! Alles weg! ;-(

Vom Rechner gelöscht habe ich folgenden Trojaner cujemsxuj.pre bzw. TR/Skelf.A !! Vll. könnt Ihr damit ja was anfangen?! Ansonsten kann ich Euch nur die Originaldatei und die kodierte zur Verfügung stellen. Sorry!

hi, poste die logs der analyse, eröffne dazu einen thread im passenden unterforum

Zwei vor, einen zurück...

Soooderle... also die Version "1 1/2" ("3KB zerschossen am Dateianfang") konnte ich derweil "zurückdrehen" - nur "leider" scheint der Trojaner nicht mehr wirklich im Umlauf zu sein. Die ersten 2KB waren wie gehabt, im dritten KB war ein XOR auf das erste, dritte, fünte (...) byte.

Das "4GB-Problem" konnte ich so leider noch nicht beobachten, werde mir das ganze in der nächsten Woche genauer ansehen.

Ein Update erfolgt gegen Donnerstag/Freitag - vielleicht hilfts ja doch noch wem. Aktuell komme ich in meiner knappen kleinen freien Zeit nicht wirklich so weit dazu, wie ich dem ganzen nach gehen möchte.

Von der 6-KB-Version gibts anscheinend eine neue/alte Version, die ich nicht mal mehr ansatzweise geknackt bekomme.

Somit stehe ich erneut vor der "6KB" und "12KB zerschossen am Dateianfang"-Version.



Derweil scheinen die Biester öfter ihre Verbindung nach Hause nicht mehr zu bekommen -
auch scheint sich da irgendwas in der Kommunikation zu tun -
die geht scheinweise nun nichts mehr so transparent durch die Welt. :(
Befindet sich der PC z.B. in einem privaten LANbereich, dann verschlüssen einige der mir zugesendeten Trojaner oft garnichts -
vielleicht dachte da jemand beim Programmieren, dann könne man keinen Proxy zum Lauschen einschmuggeln.
(Kann das wer bestätigen?)


Ich möchte nochmals darauf hinweisen, dass hier verschiedene Entwickler für verschiedene Tools am Werk sind -
und es kein "Universaltool" für alle derweil aufgetauchten Variationen gibt und nur ein "kann man mal ausprobieren" bleibt.

Und ich möchte auch noch mal darauf hinweisen, dass zumindest meine Wenigkeit kein Geld dafür annimmt, die Biester zu entschlüsseln -
und man mir hier auch gern noch mehrmals 1000 Euro bieten kann, damit ich etwas entschlüssele - dadurch geht's weder schneller, noch besser, noch priorisiere ich deswegen irgend eine Anfrage... Das klingt nun etwas barsch, aber es ist teilweise schon echt der Hammer, mit was für wirklich unverschämten eMails man hier zu tun hat, wenn mann irgendwann morgens um 2 Uhr das Handtuch wirft.... Angefangen von wüsten Beschimpfungen was man denn da für einen Müll programmiert habe (weil man zu dumm war mal den Haken "Sicherheitskopie" drin zu lassen und mal die Anleitung zu lesen), bis hin zu eMails mit !!!au!1!1!srufezeichen und Forderungen, man möge doch mal schneller antworten und was man doch für eine ver*zensiert*e Firma man doch wäre, war bisher wirklich alles dabei...

Danke ausserdem an die Menschen, die mir eine Postkarte für meine Korktapetenwand geschickt haben -
das hält dann die Motivation doch noch oben.

Beste Grüße,

Oliver

moin moin Oliver,
erstmal meinen Respekt und meine Hochachtung vor Deiner Arbeit mit den Plagegeistern.
Manche scheinen zu vergessen, dass sie fuer den Zustand ihres Rechners selbst verantwortlich sind.
Ich hoffe, Du laesst Dich von Anfeindungen nicht beeindrucken.

Deine Vermutung bezueglich des LAN kann ich nicht bestaetigen.
Ein absichtlich infizierter Testrechner war im LAN eingebunden.
Es wurden trotzdem beide NTFS-Partitionen verschluesselt.
Das war am Montag, den 21.5.2012.
Anschliessend habe ich Partition C recoverd.
Partition D habe ich mit den verschluesselten Daten so belassen.

Heute habe ich auf D die Daten nochmal im Original kopiert, sodass beide Varianten vorhanden waren und den gleichen Dropper wie am Montag nochmal auf das saubere System losgelassen.
Er hat wie ueblich, den Rechner dicht gemacht.

HKLM Winlogon: UserInit - (C:\Windows\system32\D0426A96A226142D4237.exe) - D:\Windows\System32\D0426A96A226142D4237.exe (We bello comè?)

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1

Allerdings hat er die Verschluesselungsroutine nicht gestartet.
Keine einzige Datei wurde verschluesselt.
Es wurde auch keine verschluesselte Datei entschluesselt. *kleiner Scherz*

Ich glaube aber, das liegt eher an der Verbindung als am LAN.
In mir reift immer mehr der Gedanke, dass entweder der Startschuss oder ein Teil des Schluessels nachgeladen werden muss.

Ich schreibe das hier auf dem infizierten Rechner waehrend ReaToGo lauft, desshalb auch die fehlenden Umlaute.

Gruss und noch schoene Pfingsten, Volker

Ich habe gestern an einem vom Verschlüsselungstrojaner befallenem Rechner WIndows neu installiert. Vorher habe ich alle verschlüsselten eigenen Dateien gesichert. Die verschlüsselten Dateien haben alle kryptische Dateinamen ohne Dateiendung.
Mit dem neuen WIndows habe ich dann mit dem ScareUncrypt Tool versucht die Dateien zu entschlüsseln. Den Schlüssel hat das Tool auch berechnen können. Dazu habe ich einfach ein MP3 File von dem eine unverschlüsselte Kopie vorhanden ist anhand der Dateigröße einer verschlüsselten Datei zugeordnet.
Das Tool hat auch eine Schlüsseldatei angelegt.
Im nächsten Schritt kann man dann ja einen Ordner auswählen der entschlüsselt werden soll. Das habe ich auch gemacht. Dann kommt im Statusfenster direkt die Meldung mit dem Spendenhinweis. Ich habe nicht den Eindruck, dass das Tool irgendetwas macht.

Frage: Ist das ein Bedienungsfehler meinerseits? Woran kann es liegen, dass das Tool nicht entschlüsselt?

Für diese Art gibt es noch keine Hilfe!! Die Tools greifen nur bei der Variante "locked_deinbild.jpg.eght" steht aber mittlerweile mehrfach beschrieben. Bitte lest doch erstmal im Forum, denn meistens ist da alles schon erklärt auch wenn es schwer fällt als Betroffener

Hallo zusammen,

auch mir ist es jetzt passiert. Ich habe mir diesen "BKA" bzw. "UKash" Trojaner eingefangen.

Ich konnte ihn mit dem Avira DE Cleaner entfernen und habe auch noch mal den "Malwarebytes" durchlaufen lassen. Soweit, so gut.

Nun sind aber alle meine Dateien verändert worden. Leider konnte ich zu der Art der Verschlüsselung meiner Dateien keine Information im Netz finden. Kein Programm (weder Avira Ransom File Unlocker, Dr.Web, Decrypthelper usw.) können die Dateien entschlüsseln.

Meine Dateien sehen auch anders aus, wie überall beschrieben, Beispiel: EALqTsyJlElqolXJ so sieht eine veränderte Datei bei mir aus. Das war vorher eine mp3 Datei, also ein Lied. Es steht kein "locked" vor der Datei und es gibt auch keine Dateiendungen. Nur die wilde Buchstabenanordnung.


Kann mir jemand helfen, oder ist zumindest Hilfe in Sicht ?


Vielen lieben Dank


LG Roger

Genau das habe ich auch. Schau mal einen Beitrag weiter oben. Momentan gibt es dazu offenbar noch keine Lösung.

moin moin,
wenn es sich ausschließlich um MP3-Dateien handelt, dann kann man die verschlüsselten Dateien kurzerhand mit der Extension .mp3 versehen.
Sie sollten sich dann abspielen lassen.
Da der Virus nur die ersten 4 - 12kB einer Datei verschlüsselt, was bei anderen Dateien schlimm genug ist, stört das den MP3-Decoder weniger, denn der synchronisiert sich auf den Datenstrom automatisch.
Die Arbeit ist dann, den Dateien manuell wieder erkennbare Namen zu geben.

Gruß Volker

@Libertad80
nicht vergessen:
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
markusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

Hallo,

danke für die Antworten. Es ist "schön" zu lesen, dass man nicht der Einzige mit diesem Problem ist. Ich hoffe, es wird möglichst bald ein brauchbares Entschlüsselungstool gefunden.

Leider sind alle Dateien auf meinem Rechner betroffen, nicht nur mp3 Dateien.

Die von mir verdächtigte Mail (übrigens eine mit einer Mahnung im Anhang) habe ich aber bereits gelöscht, verbannt und verflucht.

Schönes Wochenende an alle.


MfG Roger

Hi,

also ich komme leider nicht weiter, dein Programm ist das einzigste was Schlüssel bei mir erstellen kann und die Dateien auch entschlüsselt und zwar alle (jpg-doc-pdf-xls usw.). Das Problem ist nur das ich danach die Dateien nicht benutzen kann weder Doc/XLS da nur wirrwar herrscht, oder jpg´s die man zwar öffnen kann aber dann scheinbar kein Inhalt darin ist.

Was läuft bei mir falsch? Hatte die loocked Dateien alle auf einen Stick gesichert und den PC neu aufgesetzt da er schnellstens wieder laufen musste..

Meine Dateien sehen im grunde so aus:

locked-2011-Unterschriften.pdf.rlku
locked-Dietrich.tif.orpf

dannach sehen Sie so aus:

2011-Unterschriften
Dietrich

Sie haben auch die richtige Dateigrößen.
Hab es auch schon mit mehreren Schlüsseln versucht.

Aktuell kommt ich nicht mehr weiter hat jemand einen Rat?

!!!!Trotzdem möchte auch Ich mich herzlich für die Hilfe und das Prog. bedanken!!!!

Gruß Alex

Hallo, also ich hatte von einem Befall auch einige Daten die danach Müll waren, habe sie aber mit http://www.trojaner-board.de/114709-...32-rannoh.html

noch mal entschlüsselt, dann ging alles wieder.
Versuch einfach mal

die Anke

@007Alex007,
welches Original benutzt Du zum generieren des Schlüssels und wieviel Paare stehen Dir insgesamt zur Verfügung?

Volker

Hallo, bin heute um Hilfe gefragt worden bei einem Ransom-Fall. Leider sind meine Informationen sehr duerftig. Weder habe ich eine exakte Identifizierung
noch ein Exemplar zur Analyse.
Das gute Stueck ist wohl relativ neu. Es verschluesselt die Dateinamen mit.
Wobei sich die Dateinamenslaenge auch aendert.
Am liebsten wuerde ich das Teil mal selber ansehen. Aber die Email ist geloescht und den Rest hat Kasperskys BootCD ins Nirvana geschickt.
Und ich habe keine Moeglichkeit auf physischen Zugriff zum Rechner.
Hat jemand schon mehr Informationen oder kann mir ein Exemplar zukommen lassen? Offensichtlich entschluesselt der Trojaner bei Aktivitaet die Dateinamen in Echtzeit. Zudem hatte ich Zugriff auf Dateipaerchen. Der Dateiname muss Teil des Schluessels sein. Da zwei fast identische Dateien von Anfang an unterschiedlich sind ausser die Blocklaenge waere sehr gross.
Zudem ist nur unterhalb 3000h verschluesselt.

moin moin bombinho,

Du schreibst da nichts Neues.
Schau Dir mal den Blog von @pcberlin an.

Wenn Deine Euphorie dann nicht gedämpft ist, wende Dich an @markusg, der ist Sammler der Dropper und stellt Dir gern verschiedene Versionen zur Verfügung.

Gruß Volker

Huebsche Zusammenfassung aber die Call Routine ist interessant, nicht der Call selber. Viel Text, wenig konkrete Information.
Kein Wort ueber den Hook fuer die Dateinamen.
Kurz: Informationen, die man schon vor der Analyse kennt.

Nun dann hättest Du ja ein Betätigungsfeld.
Kannst ja auch mal bei Delphi Praxis reinsehen.

Und wie gesagt, Dropper gibt's bei @markusg.

Danke erst mal fuer die Links, da ist ein wenig Lesestoff. Leider muss auch ich mein Geld legal verdienen und habe familiaere Verpflichtungen. Aber es waere mal interessant reinzuschauen.
Ein Augenpaar mehr.

Ok, würde mich freuen, wieder von Dir zu hören.

Hallo Markusg, ich wuerde mich freuen, wenn Du mir mehr Informationen zu dem Ransom-Teil, welches die Dateinamen mitverschluesselt zukommen lassen koenntest. Interessieren wuerde mich vor allem, ob es schon verschiedene Versionen davon gibt und ob Du mir mal was debug-faehiges zukommen lassen koenntest.
Gibt es dafuer schon Identifizierungen (Namen) von verschiedenen AV-Anbietern?
Oder gar eine, die haeufig verwendet wird?
PM ist offen fuer alle, wobei ich fast davon ausgehe, dass Du hier Admin bist.

Danke

Ja, es gibt mehrere Versionen, angefangen im April mit einer Version, die die Datei von 000h bis fffh RC4 verschlüsselt hat.
Auf diese Version haben auch die AV-Anbieter reagiert, nachdem Matthias die Schlüsselroutine gefunden hatte.
Dann ging es eigentlich sehr schnell, 6kB Verschlüsselung und jetzt 12k, wobei auch die Dateinamen keine Zuordnung mehr ermöglichte.
Von den neuen Varianten kenne ich die 1.04.1 und 1.05.1.
Momentan gibt's die 1.07.1 aber @markusg weiß das ganz genau.
Auf diese Versionen gibt es Seitens der AV-Hersteller nur insofern Reaktionen, als dass die Scanner anschlagen.
Um die Entschlüsselung scheinen sie sich nicht weiter zu kümmern.
Ist halt Sache des Users, wenn er Anhänge öffnet und keine Backups hat.

Auch ist nicht sicher, ob alle Dropper aus der gleichen Feder stammen.
Ich hatte hier zu Testzwecken schon VB und Delphi Varianten.

Aber, wie gesagt, unterhalte Dich mal mit @markusg, der hat Stoff zum debuggen.

Gruß Volker

PS:
Oh, ich sehe gerade, Du hast markusg schon angesprochen, dann war dieses Post nicht nötig.

Hat jemand ein dir Listing von einem Verzeichnis, verschluesselt und unverschluesselt?

Ich habe hier ein Verzeichnis mit Unterverzeichnissen und Dateien, einmal im Original und einmal nach "Behandlung durch den Virus".
Den Bösewicht selbst habe ich auch hier.
Der kam als Registrierung.pif daher und ist in VB geschrienben.

Ich kann alles zusammenpacken und zum Download auf Webspace legen.

jupp, waere nett. Danke.

Ich packe das mal zusammen, schubse es hoch und schicke Dir den Link per PM

Ich habe wohl zu lange gewartet, scheinen alle cc server dicht zu sein, er will einfach nix tun der sack. Verschluesselt nicht sitzt nur und rattelt dns abfragen und fehlgeschlagene verbindungen durch. 7 Stueck an der Zahl, einer antwortet gelegentlich, erlaubt aber keine Verbindung.

Edit: Ich bin ein ... hab mir mal den Verkehr angeschaut, meine Appliance hat den Inhalt vom CC geblockt!

Hallo Oliver,

Ich habe seit dem 10.05. die locked-Dateiname-sddsf.doc Version und hoffe weiterhin auf eine Lösung. Die betroffene HDD liegt im Regal bis es etwas neues gibt. Ich gehe davon aus, dass man das angekündigte Update sobald verfügbar im Service Bereich von Bitfox24 laden kann oder wird dies nur auf Anfrage zur Verfügung gestellt ?

Vielen Dank für deine Arbeit

Chris

Lösung wäre auch für mich interessant; Dateien (doc, exe, jpg, jpeg,...) wurden unter XP "nur" umbenannt. Leider ist kein Schema erkennbar:

- JLpfNqssuoTUOjDGJnpVN = Blaue Berge.jpg
- LpfNqssuoaUgjlGJnp = Sonnenuntergang.jpg
- TdgADxvLXfrqesQoaUO = Wasserlilien.jpg
- DxvLXfrqesQoaUOjlGJ = Winter.jpg

Der Inhalt wurde nicht verschlüsselt, LOG Dateien sind auch nicht verfügbar (Bei mir sinds Kundensystem; Vorrang hat hier das entfernen der Scareware);

Danke für die Anleitungen und die Tools; Die Scareware wurde zur Gänze entfernt, allerdings die verschlüsselten Dateinamen sind ein echtes Problem, da es auch keine Datensicherung gibt ;(
Danke im Voraus!