Gute Idee Hab ich sogar mal einfach blind ausprobiert. So ging es leider aber nicht. Die Information die man zum Entschlüsseln jeder Datei braucht steckt in einer der Dateien im temp-Verzeichnis. Dort ist jeweils der alte Orginal-Dateiname, der völlig zufällig neue Dateiname und ein Schlüssel abgelegt.



Für die Leute die verständlicherweise dringend auf eine Lösung warten und Anfragen schicken:

Wenn hier mal Stille ist, bedeutet es nicht dass keiner mehr daran arbeitet oder gar das Interesse verloren ist!!!

Ich bin mir nicht sicher, was es zu bedeuten hat.

Ich habe auf dem Kundenrechner, nachdem die Daten gesichert wurden, die "rechnung.pif" erneut ausgeführt gehabt (bereits vor 2 Wochen).

Nun ist mir aufgefallen, dass die eine Datei die im Temp angelegt wurde, mehrfach vorhanden ist. Einmal ohne Ext., das 2. Mal mit $ als Ext.

Der Inhalt der 1048 Byte grossen Datei ist bis auf zwei Unterschiede gleich. --> Hab sie mal hochgeladen.

Die größere Datei ist nur einmal vorhanden, dies könnte darauf beruhen, dass bereits alle vom Trojaner verschlüsselbaren Dateien bereits verschlüsselt waren. Somit gab es keine weiteren Dateien.


Michael

@Michael

Ich bin mir noch im Unklaren, was es mit den %temp% Dateien genau auf sich hat.

@Marcu & all

Habe mir die Sache jetzt noch mal angeschaut und vermute, dass Du recht hast. Ich konnte in meinen Memdumps keine Anzeichen für ein public-key Verfahren finden, wohl aber Hinweise auf die Kombination des Statischen keys (....ssh) mit einem bzw. vielen dynamischen. Ich habe dazu in meinem Blogeintrag noch einige Bilder hochgeladen. Spannend ist vor allem, dass im Memdump scheinbar Speicherbereiche zu finden sind, die eventuell eine Zuordnung von altem Dateinamen, neuem Dateinamen und dynamischen Schlüssel erkennen lassen.
Wo dise dynamischen Schlüssel genau generiert werden, konnte ich noch nicht verifizieren.

Ich habe jetzt alle Stückchen - bis auf eines - zusammen. Das war schwierig, weil der Virenprogrammierer für das Verschlüsseln der Benutzerdateien und für die Internetkommunikation und für die Verschlüsselung der Temp-Files jeweils verschiedene Kombinationen von MD5-Checksummen und RC4 Verschlüsselungen benutzt hat. Ich habe ständig den Faden dabei verloren was da wann für was benutzt wird, aber jetzt habe ich es sortiert.

Es fehlt ein Stück ... Ich schaue mir heute Nacht nochmal alles an um ganz sicher zu gehen. Aber ich hatte eben ein ganz klaren Blick darauf und es gibt da wenig Zweifel mehr. Am Wochenende schreibe ich auf wie es funktioniert - aber das kann ich auch ebenso sein lassen, weil es keine Daten zurückbringen wird.
Das ist echt traurig - ich weiß sogar wie die Katalogdatei aussieht: Alterdateiname <crlf><crlf>Neuerdateiname<crlf>FehlendesPasswor t (unter anderem genau das steckt in den TempFiles, Michael) ... und doch fehlt ein Stück um da ran zu kommen.

Es ist schwer mich an meine Frustrationsgrenze zu bringen aber die haben es gerade geschafft.
Marcus

Ich finde es echt super, wie Du Dich mit dem Trojaner auseinandergesetzt hast & ich weiß, dass das verdammt viel Arbeit ist und von einzelnen prinzipiell fast nicht zu leisten ist, jedenfalls nicht wenn man noch ein wenig RL nebenbei hat . Deshalb hierfür ein großes Danke. Da wir ja an unterschiedlichen Stellen gearbeitet haben, wäre ich, wenn Du das wirklich tun möchtest an einem Bericht, "wie es funktioniert" durchaus interessiert, auch wenn es keine Daten zurückbringt.

Mit Katalogdatei meinst Du die im %temp%-Verzeichnis mit unterschiedlicher Dateigröße (je nach zu verschlüsselndem Datenvolumen)? Hattest Du den Screenshot von meinem Memory-Dump gesehen? Das sieht doch so aus, wie das, was Du beschreibst oder? In diesem Memdump sind aber meiner Ansicht nach genau die Passwörter drin, mit denen die Dateien verschlüsselt werden. Was ich zeitlich noch nicht geschafft habe, ist rauszubekommen, wie diese Passwörter generiert werden. Es scheint zudem ja für jede Datei einen neuen Schlüssel zu geben.


Was ich mich bei dem Teil ein wenig frage, warum es sich die Programmierer so verdammt schwer gemacht haben und nicht einfach asymmetrisch verschlüsselt wird und gut ist. Für jede Datei einen neuen Schlüssel ist so was von

lg

Ich persönlich habe viele wichtige Daten verloren, und würde gar wochenlanges rechnen bei 100% CPU auslastung in Kauf nehmen, um die dateien wieder zu decrypten, aber wenn ein teil online berechnet wird, ist selbst dass nicht machbar, oder?

Ich danke jedenfalls bis hier allen die hier so viel Zeit hineinstecken und steckten und hoffe nach wie vor auf eine Lösung, auch wenn sie erst in einem halben Jahr wiederherstellbar wären

Danke an alle.

@Marcu & all

Meine Nachfrage nach dem Memory-Dump hat sich gerade erledigt, da ich den Blogeintrag bei McAfee grad gelesen habe: hxxp://blogs.mcafee.com/mcafee-labs/ransomware-holds-up-victims . Dann wars das wohl: Der Basis-Schlüssel, der zur Entschlüsselung gebraucht wird, wird bei Infektion an den C&C-Server gesendet und ist somit nicht mehr auf dem Infizierten Rechner. Diesen Schlüssel bekommt man dann nur noch gegen Zahlung ausgehändigt, Game over

hmmm ... es sieht so aus als ob das Passwort bevor es durch eine selbstgebraute Verschlüsselungsfunktion läuft und an den Server geschickt wird, nochmal vorher im Tmp-Verzeichnis gespeichert wird. Nur...warum sollte jemand einen Zweitschlüssel neben seinen sicheren Safe legen und den anderen Schlüssel im Internet verstecken? Das wäre zu schön um noch daran zu glauben. Aber der Sache gehe ich noch auf den Grund.

Hallo pcnberlin,

irgendwie klingt "... the malware renames the file by prepending locked-filename.1234 (locked-<original name>.<four random characters>" aber nach der Variante, deren verschlüsselte Daten man mit den Tools aus dem TB wieder entschlüsseln kann...

Hallo CAG83, Marcu, PCBerlin, etc..

ich glaube nicht, daß bei Zahlung der 100 EU die Daten wieder entschlüsselt werden - aber es käme evtl. auf einen Versuch an, sich die 100 EU zu teilen, den Schlüssel dann zu erhalten für diesen einen Entschlüsselungsfall und dann diesen für Testzwecke zum Programmieren mit den Daten bzw. dem PC den es betraf eine Entschlüsselung vielleicht für alle entwickeln zu könnn?

....bin selbst betroffen von der neuen Verschlüsselung und habe auch schon Strafanzeige gegen Unbekannt erstattet!

Gruss

RMC