Was soll ich sagen! Danke.
Auch für die vorhergegangene Warnung


gruss

Moin,

sorry für den vorschnellen Upload, gestehe ich ein. Muss aber anmerken das die Viren unschädlich gemacht wurden, der Anhang wurde in EXE!!! umbenannt. Wer den starten will muss schon leichtsinnig und willentlich die Datei umbenennen, wäre also nicht unbedingt was passiert.
Wer das Archiv trotzdem möchte, eine kurze Nachricht genügt.

Der Virus lässt mir keine Ruhe, ich bin schon ungeduldig bis ich die Festplatte in der Hand habe, ob ich in den gelöschten Bereichen was finde. Irgendwie will ich noch nicht aufgeben.
Könnte man wenn man seine Vorgehensweise komplett verstanden hat nicht eine Strategie für rückwärts entwickeln?

oder der Ersteller des Trojaners hat nicht im geringsten daran gedacht diese Dateien je wieder herstellen zu könnnen.
Damit wäre der administrative Aufwand gleich Null.

Grüße
Klaus

Was ich schon sehr sehr weit vorne in einem Thread angesprochen habe.
Sorry wenn jemand so etwas macht wäre der Aufwand die Generierten Schlüssel zu sichern einfach zu hoch.
Wie will er diese dann anschließend dem richtigen User auch noch zukommen lassen über die erkennung der IP
das ist unmöglich da eine IP nicht zur identifizierung eines Person ausreichend ist siehe dynamische IP's als Beispiel.

Ich stehe mit beiden Beinen auf den Boden auch wenn es mir leid tut für die, die betroffen sind
die Erfolgsaussichten mit kleiner einschränkung (falls er die doch gesichert hat) gleich null.
Man kann also nur hoffen das die Rechtsvertreter da mal irgendwann etwas finden.

Die Hoffnung stirbt zuletzt.

PS:
Das problem ist aber auch das es vordefinierte Ordner im BS gibt in dem alles reingeknallt wird
Niemand wird jemals erleben das ich unter

• Eigene Bilder
• Eigene Dokumente
• Eigene Musik
• Eigene Videos

jemals etwas ablege das läd ja nur dazu ein Schabernack damit zu treiben.


gruss

Falls die Teilschlüssel wirklich jemals in einer DB auf den CC Servern abgelegt worden sind und selbst wenn es den Behörden gelänge, einen dieser Server zu sichern und die Schlüssel zu veröffentlichen, woher sollte man wissen, welcher Schlüssel für den eigenen Rechner zuständig war. Mal angenommen, da sind mittlerweile über 100.000 (Teil-)Schlüssel gespeichert, es würde Wochen / Monate dauern herauszufinden, welcher Schlüssel der passende ist, schließlich könnte die Verifizierung ob eine / bzw. die erste Datei überhaupt korrekt entschlüsselt wurde, nur durch den Benutzer selbst erfolgen. Wobei natürlich zusätzlich erstmal eine Entschlüsselungssoftware geschrieben werden müsste (was aber vermutlich innerhalb einiger Tage geschehen könnte).

Alles in Allem: Die Daten sind zu 99,5% weg. Für immer. Hat man selbst kein Backup zur Hand, welches seit der Infektion auch nicht mehr hätte eingebunden werden dürfen, scheint der Ofen aus zu sein. Das muss entsprechend hart sein, bedenkt man, dass wahrscheinlich die meisten Menschen a.) überhaupt keine Backups machen | b.) Private Daten von vielen Jahren dauerhaft verloren sein können | c.) Evtl. sogar auf einem privaten PC, der auch beruflich genutzt wird, wirtschaftlich relevante Daten verloren sind.

Mein Beileid an alle, die es erwischt hat.

Bez verschlüsselter jpgs scheinen einige repair tools erfolgreich zu sein, das zeugs wieder herstellen zu können.

Ja, funktioniert aber nur halbwegs praktikabel bei Bild- (die auch noch groß genug sein müssen) oder Musikdateien oder generell solchen Dateitypen, die trotz Zerstörung des Headers und eines geringen Teils der Nutzdaten noch im Großen und Ganzen lesbar gemacht werden können (kann z.B. auch auf Archive wie .zip / .rar usw. zutreffen).

Andere Arten von Dateien sind unwiederbringlich verloren oder so stark zerstört, dass eine vernünftige Rekonstruktion ausfällt.

Hallo TBUndertaker

Ich habe es missverständlich formuliert.

Der Virus bestimmt per Zufall ein individuelles und zufälliges Passwort auf jedem PC und verschlüsselt damit eine Datei die gebraucht wird um alle verschlüsselten Dateien zu entschlüsseln. Der Ablauf ist folgendermaßen:

(Für Leute mit Debugger: Sucht die Funktion bei der eine lokale Variable mit folgendem String initialisiert wird "cmd=lfk&ldn=%u&stat=CRA&rev=%s&data=". Oder sucht die Funktion in der GetLogicalDrivesStringA aufgerufen wird.)

Genau damit hatte ich auch ein Problem. Bevor ich den Code reversed habe dachte ich noch an eine Art Hashfunktion die billig auf den C&C-Servern zu implementieren ist und aus einer ID ein Passwort generiert. Diese Vermutung war aber dann schnell dahin.
Es ist tatsächlich so, dass ein Passwortbestand von den Erpressern gepflegt wird. In diesem Datenbestand ist für jeden verschlüsselten Computer eine ID (Seriennummer+Computername) und das CatalogPasswort eingetragen.

Ob der Datenbestand in einer Textdatei oder in einer Datenbank oder in einer Cloud steckt kann man rausfinden wenn man die Datei "index.php" anschaut, die auf jedem C&C Server installiert ist. Ich wünschte so sehr, dass ich diese Datei hätte. Hätte man die "index.php" dann hätte man Zugriff auf die Passwörter der Opfer und könnte im Handumdrehen ein Programm schreiben, welches alle Computer entschlüsselt.

Das soll jetzt kein Aufruf zum illegalen Eindringen in fremde Computersysteme werden. Aber wenn mich einer per PM darüber informiert was für Tricks es gibt um php-Scripte auszuhebeln, dann wäre ich ihm auf ewig dankbar. Ich habe das Gefühl, dass die Erpresser sich seit ein paar Tagen über meine staubigen Sql-Injektionversuche totlachen.

Der Virus ist so ausgelegt, dass er die Daten entschlüsseln kann. Ich habe mehrmals Testdaten während einer Simulation vom Virus wieder entschlüsseln lassen. Der Grund dafür, dass bei den Leuten die tatsächlich bezahlen es nicht funktioniert, liegt bei C&C-Servern oder an einem Computer dahinter. Der Virus erhält einfach kein/oder ein falsches Feedback von den C&C-Servern. Gestern Nacht konnte ich nicht ein einziges Mal einen C&C-Server dazu bringen bei mir eine Verschlüsselung zu kommandieren. Es wundert mich nicht, dass das Entschlüsseln gleich schlecht funktioniert.

Der administrative Aufwand für die Verwaltung der Passwörter ist anscheinend zu groß. Vielleicht klappt es deswegen nicht mit dem Entschlüsseln. Vielleicht sind es auch Probleme die außerhalb der Reichweite der Virenprogrammierer liegen. Möglicherweise gibt es Probleme beim verifizieren der Paycodes.

Viele Grüße
Marcu

Und da ist es wieder, das Wort das hier völlig falsch am Platze ist!

Wäre ja auch schlimm etwas an einem Ort abzulegen, der dafür geschaffen wurde. Man legt auch kein Geld in einen Tresor oder stellt Verderbliches in den Kühlschrank, denn das lädt nur zu Schabernack ein

Es gibt hier Einige, die gute Arbeit leisten um andere zu Helfen und da finde ich es unangebracht diese als "dumm" zu bezeichnen!

Zudem schützt eine Ablage an anderen Orten nicht vor Verlust, auch wenn du es durch deine Aussage suggerierst!

Is halt merkwürdig, wenn die Jungs die daten verschlüsseln, einen teil des schlüssels auf nen server uploaden, und wenn einer zahlen will, passiert nix? Da hätten die die files ja auch komplett zerstören können oder so, wisst ihr was ich meine?

hab damals vor eine Woche direkt eine testmail an die im teyt angegebene mail gesendet, so auf die Art ich will zahlen mit dem Wortlaut UKash code im Betreff, da kam und komt bis heute eine not received message zurück.

BTW: Weiß jemand eine Community die mir helfen kann kann bez der jpegs? Bilder von kamera A lassen sich wunderbar wieder herstellen, Bilder von Kamera B von 100 Bildern nur 3.

Ich brauch da jemanden, de sich auskennt mit JPEG File aufbau, Header auslesen und umschreiben oder so was.

greetz und nachmals danke für die tolle rbeit hier, ich für meinen Teil sicher alle verschlüsselten Daten, samt der TEmpfiles und ein exemplar der selbstkopie des Trojaners HEX.exe und werd dann mal neu aufsetzten.
Vielleicht findet in einem Jahr mal wer einen Fehler im Viruscode oder so.