Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Windows Ransomware identifizieren für Entschlüsselungsversuch (https://www.trojaner-board.de/172880-windows-ransomware-identifizieren-entschluesselungsversuch.html)

Sakkade 08.11.2015 23:52
Windows Ransomware identifizieren für Entschlüsselungsversuch
 
Hi an alle,

habe hier so einige Threads zum Thema Ransomware verfolgt aber bin leider für mein Problem nicht ganz fündig geworden.

Ich habe viele verschlüsselte Daten einer Ransomware die wohl vor 3 Jahren neu/aktiv war.
Mein PC ist sauber, viel mehr habe ich die Daten eines infizierten Rechners alle bei mir gesichert in der Hoffnung sie evtl. mal entschlüsseln zu können.

In 90% der Threads geht es um Dateien die entweder eine Dateiendung haben wie .locked .encrypted etc. oder um dateien die ein voran gestelltes locked- oder andere Zeichenketten als Präfix haben.
In den anderen 10% (so wie bei meinen Dateien) gibt es keine Dateiendung, jedoch sind dort viele verschiedene Zeichen (und oder Zahlen) im Namen inbegriffen was bei meinen Daten nicht der Fall ist.

Ich würde also gern herausfinden mit welcher Ransomware ich es zu tun habe und hoffe, dass mir hier geholfen werden kann.

Die Dateinamen sind beispielsweise folgende:
Code:
aaaaaTTaaTTTTaaTT
ADllllDDllllDDlll
gjjAAjjjAAAjjjAAA
LLUUUUddUUddddUUdd
nuuQQuuuuQQuuQ
OggOOggOOOOggOOOO
oooEEEooooEEoooEEEoo
ssstttssttttssttssss
UggOOggggOOOgggOOg
xxxxGGGxxxGGGxxxGGx
yAAjjAAjAjjAAjjj
Wie es scheint, ging er nicht strukturiert durch, denn in verschiedenen Ordnern sind manchmal keine bis hin zu allen Dateien verschlüsselt oder auch mal nur 5.
Bei einigen Dateien liegt die Originaldatei auch noch daneben, ohne dass sie gelöscht wurde.

Viel mehr Informationen hab ich jetzt erst Mal nicht aber bei Fragen werde ich hoffentlich passende Antworten geben können. :heilig:

cosinus 09.11.2015 10:11
Hi,

die Kenntnis des Namen des ransoms reicht noch lange nicht aus, um die Daten zu entschlüsseln. Bei den alten Dingern hast du imho schlechte Chancen....vllt hilft da => Alle Schlüssel in Decryptor: Das Ende von Bitcryptor und Coinvault | heise Security

Sakkade 09.11.2015 18:19
Hey, danke schon mal für die Antwort und den ersten Hilfe-Versuch.
Über die beiden Vertreter bzw. die "Softwarefamilie" hab ich auch einiges gelesen und sogar den Decryptor getestet, aber ohne Erfolg.

Und bisher haben alle 3 Varianten (Cryptographic Locker, BitCryptor und CoinVault) an die verschlüsselten Dateien die Endung .clf angehangen. Ausnahmen sind soweit nicht bekannt. Endungen gibt es ka leider bei mir nicht.

Ja die Namen reichen zum entschlüsseln natürlich nicht, das stimmt aber was würde denn noch zur Identifikation der "Malware" helfen Außer der Sperrbildschirm und die .exe-Datei, welche mir nicht mehr vorliegen.

Ich hoffe, dass es bei der noch etwas älteren Ransomeware eben noch keine AES-Verschlüsselung angewandt wurde aber dafür muss man eben erst mal herausfinden worum es sich handelt.
Falls ein Sample hilft, oder die ersten "X"-Bytes um etwas zu analysieren, kann ich gern zur Verfügung stellen.
Gruß


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:15 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129