Papperlapp Markus, ihr seid nur faule Hunde und weil ihr den Fehler nicht nach zwei Minuten gefunden habt, kommt jetzt diese Schutzbehauptung, es gäbe ja keine Fehler in der Implementierung :rofl:

Pah zu faul zum Suchen sag ich da! :lach:
Wer Ordnung hält ist bloß zu faul zum Suchen :D
Und wer Backups macht und ist nur zu faul die Daten nochmal zu erstellen bzw. zu entschlüsseln....ja so siehts nämlich aus! ;)

:uglyhammer:

Ueber die Verschluesselung haette ich doch gerne geredet. An welchem Punkt seid ihr ausgestiegen? Welche Ansaetze habt ihr verfolgt? Vielleicht finden mehrere Augen ja doch noch was?

nicht nur "wir" sind ausgestiegen, sogar sämmtliche hersteller von av-software analysen etc gibts zuhauf
vllt suche ich sie bei gelegenheit mal raus, aber google müsste dir da schon weiter helfen

Naja, ich glaube nicht, dass mir Google hilft, eure Ansaetze zu finden. Das war ernst gemeint, dass ich mir das gerne mit Euch anschauen wuerde.
ich habe zu dem Thema mehr Ideen als Zeit, aber vielleicht habt ihr ja auch das schon probiert und es lohnt sich nicht fuer mich?

kannst dir ja mal zum anfang das hier:
Verschlüsselungs-Trojaner, Hilfe benötigt - Delphi-PRAXiS
durchlesen

Dann wuerde ich mal bis zum Ende gehen von diesem Thread.

Zwischen rein lesen koennte es auch tun.

Woher wisst Ihr eigentlich so genau dass der Trojaner überhaupt noch verschlüsselt ?

Angesichts des Verlaufs "der Epidemie" habe ich folgenden Verdacht:

Die Gauner hatten ursprünglich vor bei Bezahlung die Dateien zu entschlüsseln und den Rechner freizugeben (immerhin hatte jeder Trojaner den Entschlüsselungsschlüssel auf der Platte platziert). Dann scheint irgendetwas mit dem Entschlüsselungsmechanismus schief geganen zu sein (jedenfalls habe ich von keinem Fall gehört in dem der Trojaner selbst entschlüsselt hätte), aber die Bezahlungen kamen trotzdem rein.

Irgendwann bemerkten sie dass die AV Hersteller und auch Ihr Entschlüsselungsprogramme zur Verfügung stelltet...

Wer sagt dass der Trojaner- da anscheinend genügend Opfer eh bezahlen- nicht die ersten Kbytes einfach mit Zufallszahlen überschreibt ?

Diese "Verschlüsselung" wäre dann wirklich unknackbar.

Mein "Backup" System ist übrigens wie folgt: USB Platte immer eingesteckt, aus Energiespargründen aber per Schalter vom Stromnetz getrennt (mal sehen wie ein Trojaner das knacken will).

Wenn wichtige Daten anfallen schalte ich die Platte ein, kopiere die Daten drauf, schalte sie wieder aus, fertig ist.

Das unter Linux... ich glaube so lange mir nicht gerade die Bude abbrennt langt das...

welchen post meinst du, du könntest den schlüssel zwar bruteforcen das würde aber wohl einige jahre dauern.

Allgemein.. wenn die Gauner eh nicht vorhaben die Daten zu entschlüsseln- selbst wenn das Opfer bezahlt.. dann können sie statt zu verschlüsseln doch einfach Zufallszahlen über die Dateien schreiben...

Merkt man eh nicht.. solange nicht jemand den Trojaner "reverse engineered"...

Das stelle ich mal als falsch hin. Generell ist jede Verschluesselung, die Du mit einem handelsueblichen PC erzeugst nichts anderes als eine Kette von Pseudozufallszahlen.
Nur eben dass Algorithmen wie RC4 oder AES das eben erheblich besser machen als uebliche Zufallsgeneratoren.
Waere ein ueblicher Generator verwendet worden, waere das gute Stueck laengst geknackt.

Einen großrechner benutzen, Gray, Mainframe rechner, Cluster, oder wie immer sie auch heißen, und damit diesen Code brechen.

Dieser Code, oder auch ein anderer Code, mußt doch irgendwie hinterlegt sein, um ihn zu verstehen, bzw. einen Text, Programm zu verschlüßeln, und da muß es doch auch Wege zurück geben, also der Code muß doch irgendwie bekannt sein. Ich gehe von diesen Weg aus, ich tuhe was verschlüßeln, dan kann ich das ganze auch wieder zurück führen.

Ok, da steckt höhere Mathematik dahinter, nehem ich an.

Nun ja, vielleicht ein bischen sehr naiv gedacht von mir, aber ich wollte halt auch was dazu einbringen. Wahrscheinlich was dummes.

THN

Ich wuerde es ja gerne mal versuchen. Sollte einer der Betroffenen einen Intel Prozessor (nicht i3/5/7) haben kann er sich gerne bei mir melden.

Generell richtig, die Problematik ist nicht das Entschluesseln sondern die dafuer benoetigte Zeit. Wenn diese absehbar einen bestimmten Rahmen ueberschreitet, wird das ganze als unknackbar angesehen. Bei hochsicheren Verschluesselungen reicht das allerdings nicht. Weil ja doch jemand einen Zufallstreffer landen koennte. Dort muss dann mit zusaetzlichen Methoden sichergestellt werden, dass auch ein Zufallstreffer nicht ausreicht.

@
bombinho

Noch einmal, derjenig der das uns eingebrokt hat weiß genau wie dieser Code funktoniert, ich nehme nicht an das er den selber erfunden hat. Somit muß man das irgendwie rückgaännig machen können. Verschlüßeln geht schnell, aber der andere Weg....???

THN

Davon darfst Du ausgehen, dass er weder den verwendeten Zufallsgenerator erfunden hat noch RC4. Rein theoretisch ist das auch ohne Bruteforcen zu knacken, leider ist das nichts, was ich mir alleine zutraue. Schon zeittechnisch nicht. Da waere eine MatheSpezi gefragt. Vielleicht kann ja Shadow aushelfen.
Es sind alle Vorzeichen gesetzt, wer sich mal ein wenig mit RC4 beschaeftigt hat, weiss das auch. (Es sind keine sicheren Parameter im Zufallsgenerator gesetzt. am rande) Auch wurde RC4 nicht nach gaengigen Sicherheitsrichtlinien implementiert. Soviel mal dazu.
Die Frage ist, wie man das ausnutzen kann. Einige Sachen konnte ich noch nicht an original verschluesselten Sachen ausprobieren. Bei anderen musste ich feststellen, dass die offensichtlichen Luecken nicht ausreichen oder ich die Parametrisierung vergurkt habe. Generell kann man aber eben auch Glueck haben auch wenn die Chance klein ist. Je mehr Lottospieler, desto hoeher die Wahrscheinlichkeit auf Gewinner.

@bombinho: das verstehst du falsch. Wenn ich die ersten 12 K deiner Dateien mit irgendeinem Schlüssel verschlüssele hast du mindestens prinzipiell die Chance diese Dateien wiederherzustellen. Sei es jetzt wenn ich dir den Schlüssel gebe, oder vielleicht in 20 Jahren wenn die Rechner so schnell sind dass "brute force" auf heutige Verschlüsselungsverfahren anwendbar sind.

Wenn ich die Daten einfach überschreibe.. mit Nullen, oder zur Tarnung mit Pseudo Zufallszahlen die allerdings mit dem Originalinhalt der Datei rein gar nichts zu tun haben.. dann kannst du bis ans Jüngste Gericht versuchen die Daten zu "entschlüsseln", dann sind sie schlichtweg gelöscht.

Ich gebe mal meinen Link zu den Gebrauchtlizenzen an.. außerdem ist da gleich der zweite Anbieter solcher OEM Lizenzen genannt:

Gebrauchtsoftware: Politik der Nadelstiche | heise resale

Jupp, gebe ich zu, hatte ich einen Haenger. Du hast recht.
Wissen wir aber in dem Fall dass dem (noch) nicht so ist.

Der Malware-Autor braucht nur mit einer sicheren Implementation zu antworten und den Zufallsgenerator abdichten, ein paar Bits und Bytes aendern und schon hat sich das Thema ohnehin erledigt fuer zukuenftige Betroffene. Da macht es herzlich wenig Unterschied ob das bloss mit Nullen ueberschrieben wird oder mit einer ausgereiften Verschluesselung.

Allerdings duerfte bei Bekanntwerden, dass nur ueberschrieben wird auch die "Zahlungsmoral" deutlich abnehmen.

Eines finde ich interessant, der vorliegende Code enthaelt einige Massnahmen fuer eine hoehere Schluesselsicherheit welche nicht aktiviert sind. Keine Ahnung ob das ein Programmierfehler oder Absicht ist.

Niemand, der mir zur Hand gehen mag? :uglyhammer:
Oder noch alle beschaeftigt, die alten Ergebnisse rauszukramen?

Wieder jemand ohne Backup?

Schick ihn gleich zu einem neuen Thread, so dass ihm weitestgehend geholfen werden kann.

Vllt kannst einem TO ohne Backup ja auch bei der indivuellen Entschlüsselung helfen. Willst du der neue persönliche Kryptohelfer werden? Sind Sie der Kryptochef (persönlich!) :pfeiff: :rofl:

hab keine daten mehr momentan
musst halt mal in ner vm selbst so ein sample starten

Hab ich doch schon laengst gemacht. Was ich auf der VM verschluessele bekomme ich auch wieder. Wenn ich mit dem Nachbau verschluessele, komme ich sehr schnell auf Ergebnisse.

Hast du auch VOLLBIT VERSCHLÜSSELT? :blabla: :rofl:

Schick, ich gehe den selben Weg ueber MD5/RC4. Ich weiss nicht wass daran "Vollbit" sein soll. Aber vielleicht hast Du ja voellig andere Implementationen? Schick mal rueber.

Edit: Selbstverstaendlich den Zufallsgenerator nachgebaut zur Erzeugung.

Vielleicht nur posten, wenn man weiss wovon man redet?

hattest du dich bei Delphi-PRAXiS
angemeldet, ich weis das da einige an dieser methode gearbeitet haben, gab da aber nichts neues in der richtung.

Du verstehst den Insider halt nicht du Kryptochef :rofl:
Google mal nach Kryptochef oder nach "vollbit verschlüsselung" :applaus:

Ich weiss ja nicht, wieviel Du ueber Vollbit weisst aber nichts davon hat im Entferntesten mit der vorliegenden Verschluesselung zu tun.
Bisher habe ich hier noch nichts sinvolles gehoert uber diese Verschluesselung. Ausser "geht nicht", ohne Begruendung.
Und Kryptochef und Vollbit ist nicht Insider sondern schlichtweg Crackpot. Das das als witzige Einleitung einer nun erfolgenden Kommunikation ueber diese Verschluesselung gemeint war ist dann schon ziemlich schraeg. Aber bitte, :rofl:

Meine Ironie-Tags haste wohl überlesen :rolleyes:

Was meinst du jetzt? Das vom Kryptochef oder das vom Verschlüsselungstrojaner? :D
Falls es um den Letzteren gehen soll, wie oft soll man es dir eigentlich noch wiederholen?

Ich dachte erst du wärs der Kryptochef :pfeiff:
Aber vllt kannst du ihn ja mal so ein Sample vom Verschlüsselungstrojaner schicken, vllt kriegt er das ja raus wo wir armen Würstchen ja alle versagt haben :rolleyes:

Ich habe keine Zeit mehr gehabt daran zu arbeiten.
Deswegen dachte ich ja, dass jemand hier vielleicht unterstuetzen koennte.

Ich bzw. meine Mutter wurde erneut damit infiziert, bitte um Hilfe.

Sehr Aussagekräftig....

Die Sachen die über dem Thread stehen schon probiert ?

Wo kann man sich so was einfangen ich würde den gern mal auf ner virtuellen Maschine laufen lassen. An alle die in haben.

mfG
Der kleine Linuxuser Jo**** ***t :crazy:

PS: Schickt den Gemavirus mit. :crazy:

Die bösen scheinbar nur per Spam Mails während die harmlosen auf manche Pornowebseiten zu finden sind.

moin moin,
dann weißt Du ja was zu tun ist.
Beim 3. oder 4. mal wird's dann Routine.

Hallo

der Rechner meiner Freundin hat sich heute damit infiziert aber das "Titelbild" sieht anders aus...die Webcam wird aktiviert und man sieht sich selber...es wird mit Bundespolizei gedroht...
Ich habe gehört über den abgesicherten Modus könnte man rein...vielleicht mit einem Virenprogramm zu bekämpfen?

Gruß

Falscher Bereich. Richtigen Bereich wählen, (Plagegeister&Co), aber vorher mal die festgepinnten Threads lesen.

Ich denke, das ist nicht der Verschlüsselungs Trojaner, sondern GVU ransom ware.

Hallo

Mein Rechner wurde seit heute gesperrt und ich sollte 100 Euro zahlen.

Laut der Seite kommt die Sperrung von der Gesellschaft zu Verfüngung von Urherberrechtsverletzung e.V.
Mein Computer sei aus einem oder mehrern Gründen gesperrt


Kann mir jemand helfen??

Danke
Luusmaidl

Ja, aber Du bist hier im falschen Unterforum.
Du brauchst zuerst individuelle Hilf zur Bereinigung Deines Rechners.

Zuerst lies Dir mal durch was unter Anweisungen für alle Hilfesuchenden steht.
Lade Dir dann die dort aufgeführten Tools runter.

Anschließend erstelle Dein individuelles Hilfethema hier.

Wenn Dein Rechner dann sauber ist und Du eventuell Probleme mit verschlüsselten dateien haben solltest, dann diskutieren wir hier weiter.

Gruß Undertaker

Hallo erst einmal

Habe eine aussergewöhnliche frage, könnt ihr mir den neuen verschlüsselungs trojaner einmal eingepackt auf eine email schicken.
ich habe hier drei rechner mit verschlüsselten dateien .
wo leider schon der trojaner beseitigt wurde. Da die daten sehr wichtig sind suche ich nun den trojaner.
bilder sind nicht das Problem die habe ich schon wieder:
es geht um exel und word dateien.
mit den hexeditor erkenne ich sie und kann sie zuordnen, mehr aber noch nicht
also hilfe wäre zum endschlüsseln der trojaner.
danke im vorraus.

Zum Thema Verschlüsselungstrojaner haben wir oben extra einen Hinweis angepinnt!

Eine Entschlüsselung ist unwahrscheinlich bis unmöglich!

Wenn das keine einfache Verschlüsselung mit "locked-" im Dateinamen ist, sollte man sich um Datenrettung und nicht um Entschlüsselung kümmern!
Wenn Vista oder Win7 im Einsatz sind, den ShadowExplorer testen! Aber keine unnötige Zeit mit Entschlüsselungsversuchen verschwenden

Und in Zukunft willst du sicher mal an ein besseres Backupkonzept denken. Hier ein Denkanstoß => http://www.trojaner-board.de/115678-...r-backups.html

Möglich ist das schon.
Frage:
Was erhoffst Du Dir davon?

Der Code des Trojaners wurde bereits zerpflückt und es ist genau bekannt wie die Verschlüsselung der ersten 12k einer Datei erfolgt.
Siehe dazu die hier und in Delphi-Board geposteten Beiträge.

Hast Du eine bessere Idee an den Schlüsselstring zu gelangen als eine Brute-Force Attacke, die statistisch länger dauert als die erwartete Lebensdauer unseres Sonnensystems?

Undertaker

-----------------------------------------------------------
Hi,
habe dieses RanSomLock.G bzw -.P problem (ca. 46 mal gefunden und deleted) seit ca. 14 Tagen.
Win7, ACER Laptop - user war als ADMIN angelogged . . .!
ca. 1.850 JPG files encrypted
e.g.: ytEXLesTUryvoDeQrdeQa]


JPEGsnoop, Version 1.5.2-TO
bis jetzt kein erfolg.
bekomme Meldung - egal ob mit file-extention 'JPG' or 'JPEG' oder ohne:
Start Offset: 0x00000000
NOTE: File did not start with JPEG marker. Consider using [Tools->Img Search Fwd] to locate embedded JPEG.
Dieser Tools-Tip resultiert auch mit Meldung: Not found . . .

Bin hier in diesem 'DiskussionsForum' seit Tagen am lesen.
Was ist hier der aktuelle (Lösungs-) Stand?
Können die encrypted files mit 'JPEGsnoop' gefixed werden?
Benutze ich in 'JPEGsnoop' falsche parameter (die sind ja zuhauff!)?

Danke im Voraus für jeden Tip, Hinweis!

Hallo Alfons,
bist Du sicher, dass Du JPEGSnoop auch tatsächlich verschlüsselte JPG-Dateien anbietest?
Nächste Frage, wie groß sind Deine Bilddateien und weißt Du, ob sie EXIF-Informationen enthalten?

Ich schicke Dir mal eine Mailadresse per PN.
Sende mir mal 3, 4 oder 5 dieser verschlüsselten Bilder per Mail.
Ich schau mal ob da was anderes geht.

Wir hatten aber tatsächlich Fälle, bei denen eine Rekonstruktion gänzlich versagte.

Gruß Undertaker

[QUOTE=Undertaker;1036490]Möglich ist das schon.
Frage:
Was erhoffst Du Dir davon?

Ich bin ein tüftler mit viel erfolg, da ich oft sehr ausssergewöhnliche wege gehe!
des weiteren ist es der ergeitz und der sport es doch hinzukriegen.

An den daten die ich wieder herstellen soll, sind zwei parteien am arbeiten einmal ich hier in gladbeck und die andere in Düsseldorf,

Natürlich möchte ich schneller sein, mir ist die zeit schon bekannt ,nur mein Problem ist der trojaner ,ich bekomme ihn nicht ,

gruss
be-part

Und warum willst Du diese Wege hier nicht diskutieren?
Was ist Dir denn bereits von dieser Malware bekannt?
Hast Du die Beiträge hier im Board gelesen?
Kennst Du diesen Thread, Verschlüsselungs-Trojaner, Hilfe benötigt - Seite 3 - Delphi-PRAXiS ?
Welche Version interessiert Dich?
Nach einem Jahr ist der Hype durch.

Wenn Du genau weißt welche Version der Malware Dich interessiert, setze Dich mit @markusg in Verbindung.

hallo UnderTaker,
Thx für deine hilfe.
mit dem
jpeg recovery pro 5.0
war es dir möglich jpg's mit auflösung 4000 x 3000 wieder herzustellen.
diese info hilft sicher auch anderen mit diesem RansomLock Trojaner problem.
bin sicher daß mein übeltäter ein "donate" an euch gibt.
ansonsten: sandte eine verschlüßelte datei auch an den "DrWeb - russia"
drotz gross angekündigter hilfe, seit ca, 4 (vier) wochen keine antwort!
mfg
macht weiter so - ihr seit sxx gut!