Trojaner-Board - Bitcrypt II RSA-2048

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Bitcrypt II RSA-2048 (https://www.trojaner-board.de/153999-bitcrypt-ii-rsa-2048-a.html)

Kaschuwe1

17.05.2014 14:05

Bitcrypt II RSA-2048

hxxp://www.heise.de/security/meldung/Neuer-Erpressungs-Trojaner-verschluesselt-mit-RSA-2048-2180482.html

Hallo zusammen,

diesen Trojaner hat ein Kunde auf seinem Rechner. Es sind in den Verzeichnissen 2 Textdateien mit Anweisungen vorhanden und ein link auf eine Seite, wo 500 $ in Bitcoins gefordert werden. Ein Link verweist auf eine Wikipedia Seite mit RSA-2048 Verschlüsselung.

Die Daten haben noch die geleichen Dateiendungen, sind aber unterschiedlich groß wie die Originaldateien, wovon ja noch einige vorhanden waren, von etliche ist aber keine Sicherung vorhanden.
.jpg .pdf .doc und einige weitere sind vorhanden. Alle Schädlinge mit adwcleaner beseitigt, System läuft wieder, aber die Dateien lassen sich nicht mehr öffnen..

Wat nu?

schrauber

17.05.2014 14:27

Zitat:

diesen Trojaner hat ein Kunde auf seinem Rechner.

Ergo wir sollen deine Arbeit machen, für die Du Kohle bekommst?

Dazu müsste man wissen welcher Schädling der Ausgangspunkt war, welche Entschlüsselungstools schon genutz wurden, ob das neue Crypthelper schon versucht wurde. Wenn der Entschlüsselungskey des Autors auf nem C&C Server liegt kannste die Dateien vergessen oder bezahlen.

Kaschuwe1

17.05.2014 14:47

bezahlen ist genauso gut wie Kohle ins Scheißhaus werfen...

das ist doch wohl klar...

nur die alten Tools von Avira wo zwei Dateien, original und verschlüsslt eingegeben werden mussten um einen Schlüssel zu erzeugen, wie vor ein par Jahren, als eine vierstellige Endung an die Dateien gehängt wurde, Meldung war nur, daß die Dateien unterschiedlich groß wären. Ich mir aber nicht sicher, ob es überhaupt eine Verschlüsselung ist, sondern etwas anderes "die Dateien im Ordner hiessen Decrypt_instruction.txt und ein link auf eine Seite mit den 500 $ als Bitcoin..

schrauber

17.05.2014 14:49

versteh ich nit :D

Kaschuwe1

17.05.2014 14:57

Zitat:

Zitat von schrauber (Beitrag 1301628)

versteh ich nit :D

in allen Verzeichnissen mit den Dateien sind jeweils 3 Dateien, die auf "decrypt_instruction" hinweisen, eine davon eine html Datei mit links auf Wikipedia RSA-2048 und die links zu den angeblichen Entperrservern...

schrauber

18.05.2014 12:26

Ja, dort findest du dann sehr warscheinlich den Weg wie du bezahlen kannst.

Kaschuwe1

19.05.2014 06:39

Zitat:

Zitat von schrauber (Beitrag 1301964)

Ja, dort findest du dann sehr warscheinlich den Weg wie du bezahlen kannst.

Bezahlen ist doch lt. BSI rausgeschmissenes Geld, oder bekommst du etwa das Geld?

schrauber

19.05.2014 09:56

Zitat:

oder bekommst du etwa das Geld?

Was meinste denn damit?

1) Beim BSI sitzen nur Trottel, die gerne auch mal Panik schieben wegen angeblicher geklauter einer Trilliarde Email-Adressen.
2) jetzt zum dritten Mal:

Du hast NULL Chance die Daten zu entschlüssen, ohne den Private Key des Autors. Den wirste nicht bekommen, ausser du kennst den C&C Server und bist ein begnadeter Hacker, vorrausgesetzt der Server ist überhaupt noch Online.

Wie es bei dieser Variante mit Bezahlen steht weiß ich nit, bei Cryptolocker war es echt so, dass die Daten nach Bezahlung wieder freigegeben wurden.

Kaschuwe1

26.09.2014 16:35

und du bist ein ** eleganter Tiger !! **

schrauber

26.09.2014 19:48

und du bist weg ;)

Alle Zeitangaben in WEZ +1. Es ist jetzt 17:04 Uhr.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129