|
DirtyDecrypt - Verschlüsselungs-Trojaner Liste der Anhänge anzeigen (Anzahl: 2) DirtyDecrypt - Verschlüsselungs-Trojaner seit einigen Tagen ist ein neuer "Verschlüsselungstrojaner" im Umlauf. Verschlüsselt werden u.a Dokumente, Bilder etc. Betroffene sollten hier im Forum ein Thema eröffnen. Man bekommt beim Aufruf folgende Meldung: Zitat:
http://www.trojaner-board.de/attachm...1&d=1369215218 |
Zitat:
Falls man die dirty...exe auf seinem Computer drauf hat, kann man sich es sparen die zu starten (sollte man so oder so): Zitat:
|
moin, ich habe mir mal ein paar "verschlüsselte" JPEG-Bilder angesehen. Alle haben eins gemeinsam. Von 0x0000h bis 0x64f9h sind alle gleich. http://due-m.de/dirtydecrypt.jpg Bei diesen 25850 Bytes handelt es sich um ein PNG-Picture und beinhaltet genau das oben gezeigte schwarze Bild.. Der Rest der Dateien ist für die Darstellung ohne Belange und enthält wahrscheinlich die Originaldatei, wobei allerdings ab 0x64fa nichts auf einen JPG-Header hindeutet. Da ich kein Vergleichsoriginal habe, kann ich nicht einschätzen, ob diese 25k komplett mit dem PNG überschrieben, oder ob es nur eingehangen wurde. Falls der Rest der Datei tatsächlich das Original ist, wurde zumindest der Header komplett zerstört. Undertaker |
Eine JPEG Datei sollte mit Zitat:
|
DirtyDecrypt ich habe im Quarantäne Verzeichnis von Avira noch einiges von diesem Trojaner. Ich habe 3 Screenshots von meinem Avira Quarantäne Verzeichnis gemacht und diese mit einer MAil ans Board gesendet. Ferner habe ich hier verschlüsselte und bestimmt das eine oder andere Bild, Dokument, xls-, pdf-Datei dazu unverschlüsselt passende Datei. Kann jemand damit etwas anfangen? Wenn ja dann schreib mir bitte wie und wohin ich sowas hochladen kann. Grüße markus320 |
uns würde ein verschlüsseltes und ein unverschlüsseltes zum vergleichen helfen. Du kannst einen Hoster (mag ich nicht so gerne) nutzen oder es direkt hier anhängen. |
FF Marken findet man zuhauf, allerdings fast keine JPG-typischen FF Dx. Von einer Quantifizierungstabelle ist weit und breit auch nichts zu sehen. Nichtmal etwas was annähernd danach riecht. @Markus, ich schicke Dir einen FTP-Link zu meinem privaten Server. |
ich würde mich (auch) drüber freuen zwei Dateien zu vergleichen... |
Ich seh schon mort hat um einiges mehr ahnung als ich (undertaker sowieso) :) mort guck mal wir haben schon voll viele Sterne gesammelt :D mfg HardStylerx3 |
20 Min Internet Ausfall :kloppen: |
Zitat:
|
Welchen Hex Editor nutzt du? :) |
Zitat:
HxD, da Freeware, gelegentlich auch UE und UC von IDM. |
Ok, dann habe ich das gleiche |
Hallo, Zitat:
Bei anderen Formaten pappt ein RTF vor den verschlüsselten Daten. - Das sind nur einige Bytes. Das Teil ist mehr als 200-1000 mal langsamer als andere Varianten, also begnügt sich der Kappes nicht mit 2k oder 12k einer Datei. - Der verschüsselt scheinbar die ganze Datei. Tschau |
Zitat:
Leider wurde bis jetzt noch nichts hoch geladen. Undertaker |
er hat mir auch gemailt, je nach dem ob ichs schneller hab, stell ichs dir natürlich zur verfügung. |
@Undertaker ist das selbe Sample was ich dir schon geschickt hatte sind halt noch n paar bilder datei, kann ich dir hochladen falls gewünscht |
Zitat:
|
Bei mir verschlüsselt er die Dateien nicht. Was soll man machen, damit er einem die Dateien verschlüsselt? :D |
glaub nich das der noch verschlüsselt, der server is offline |
Das DirtyDecrypt PNG endet beim Offset 64FA. |
Tach zusammen, kann jemand ein paar www - Adressen gebrauchen wo vieleicht der Trojaner sich befindet? Ich habe gerade in meinen Verlauf vom IE gesehen, da sind noch einige Adressen gespeichert auch welche die ich nicht kenne. Können sich Seiten einfach im Verlauf speichern? Grüße markus320 |
glaub zwar nich, dass die noch online sind, aber send sie mir mal per privater nachicht. |
Zitat:
ich bin neu hier im Forum und suche immer noch nach einer Lösung des DirtyDecrypt Trojaner, da dieser bei mir sehr großen Schaden an ca. 4 bis 6 tausend Bilder (JPG) und auch an PDF Dateien (nicht so wichtig für mich) sowie Office Dateien verursacht hat. Ich weiß das ich zu arglos war und keine regelmäßige Sicherung / backup durchgeführt habe. Ich schau regelmäßig hier im Forum vorbei ob sich neue Erkenntnisse zum o.g. Trojaner ergeben haben. .. zu o.g. Frage: Ich könnte 2 Bilder, ein verschlüsseltes und ein original Bild, zur Verfügung stellen. Besteht da noch Interesse? Und wenn JA soll ich die hier einfach als Anhang posten? Denn eins ist klar, mit meinen bescheidenen Fähigkeiten werde ich das Problem niemals lösen können. Gruß Hannes |
Gibt es mittlerweile eine Lösung um die verschlüsselten Dateien zu entschlüsseln ? |
nope. |
Ich schließ mich hier mal an. Ich soll für eine Bekannte Dateien wieder herstellen, die von einem Trojaner verschlüsselt wurden. Leider hat sie keinen blassen Schimmer, welcher TR das war, sie hat ihn bereits gekillt. Die Dateien hat sie mir auf einer externen HDD überlassen. Originaldateien hat sie mangels nicht gemachtem Backup natürlich auch nicht. Die Kaspersky-Scanner habe ich alle drüberlaufen lassen, keine Resultate. Im Hex-Editor (MX) ist allerdings auffällig, dass alle verschlüsselten Dateien -egal, ob jpg, doc, docx, xlsx, pdf usw. - in der ersten Zeile die selben Werte stehen haben, nämlich: 6C:AF:A3:45:2D: D8:CD:A9:81:04:31:98:0F:49:61:CC Alle weiteren Werte sind unterschiedlich. Weiß zufällig einer von euch, welcher TR dahintersteckt? Oder hat ggf. sogar Lösungsvorschläge? |
welche Dateiendung haben die Files jetzt? |
Erstaunlicherweise keine andere als vorher. Nur der Inhalt ist komplett verändert. Sie hat mir gerade eine xls-Datei zugeschickt, die sie zufällig noch auf einem Stick hatte. Im Hex unterscheiden sich die gecryptete und die originale vollständig. |
Afaik gibt es da immer noch keinen Weg zum Entschlüsseln. |
Hi, bringt es euch noch was wenn man eine Infizierte und die dazugehörige original Datei hat? |
Nee. Die Server mit den Keys sind down. Von daher bringt das leider nix. |
Gute Verschlüsselung ist durch normale Anwender nicht zu hacken sofern man die Schlüssel nicht hat. Daher muss man die Verschlüsselung unterbinden. Virenscanner sind notwendig aber nicht unbedingt ausreichend. Mehrere denzentrale, zeitnahe Backups (z.B. USB-Festplatten) sind wichtig, durch die Notwendigkeit sie beschreiben zu können jedoch auch durch den Verschlüsselungs-Trojaner gefährdet. Alternative Betriebssysteme wie Linux würden das Problem wohl lösen. Sinnvoll ist die direkte Übertragung (USB-Kabel/Anschluss bzw. WLAN) von der Kamera/Smartphone auf ein NAS bzw. in die Cloud ohne den Einsatz von Windows. Auch kann man auf nur einmal schreibbare Medien wie z.B. CD-ROM oder DVD sichern, wodurch mal maximal die letzten Bilder vor der Sicherung verliert. Bilder nur auf dem Windows-PC zu verwahren ist dumm. Bei einem Festplatten-Crash wären die Daten genauso weg. Dagegen ist ein Verschlüsselungs-Trojaner sogar noch harmlos. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:59 Uhr. |
Copyright ©2000-2025, Trojaner-Board