Kommt drauf an, wie der Schlüssel erzeugt wird.

Ich bin auch der Meinung, dass es einen Schlüssel gibt. Es ist nur Business. Man kann einem so einen Virus 100 mal auf den Hals schicken und 100 mal kassieren. Wenn man aber den Kunden beim ersten mal vergrault, kann man nur ein mal kassieren.

@sx2008
Sandboxie! Hatte ich völlig vergessen. Werde ich heute abend sofort ausprobieren. Danke


@cookie22
mittlerweile habe ich Referencen zu Microsofts CryptApi gefunden. CryptAquireContextA, CryptGetKey, CryptImportKey, usw.. . AES-Verschluesselung ist anscheinend doch kein Bluff. Und viel falsch machen kann man bei der CryptApi nicht

@Popov
>Man kann einem so einen Virus 100 mal auf den Hals schicken und 100 mal kassieren.

Eigentlich sollte man glauben, dass es höchstens 1mal klappt jemand reinzulegen. Aber du hast recht, ich habe mittlerweile jemand kennengelernt der sich innerhalb von 3 Tagen 2 Computer mit diesem Virus kaputt gemacht hat. Die korrekte Nennung des Vor und Nachnamnes in den Mails ist neu (zumindest für mich) und verleitet schnell zum klicken.

Wenn das nicht nur als falsche Fährte eingebaut ist, dann ist das doch nicht so schlecht.
Irgendwo muss der Schlüssel doch an die CryptApi übergeben werden.

Unmöglich wird das erst, wenn ein zufälliger Schlüssel generiert wird, der nicht mehr auf dem Rechner ist (unwahrscheinlich), oder wenn asymetrische Verschlüsselung genutzt wird.
Btw: Die Dateien sind genauso groß wie vorher?

Hi Bug,

kein zufälliger Key. Das wäre zu aufwendig. Aber man könnte z.B den Username an den Server geben und damit irgendeine Keygeneratorfunktion füttern. Dann diesen Key an den Virus zurückgeben der damit Dateien per AES verschlüsselt.
Wenn man einen Paycode eingibt dann prüft die Gegenstelle anscheinend tatsächlich ob der Paycode korrekt ist - der Viruscode wartet auf das Ergebniss. Den Schlüssel bekommt man also nur wieder zu gesendet, wenn man die Paycodeprüfung besteht.

Verschlüsselt werden nur die ersten paar tausend Bytes einer Datei. Die Datei ändert Ihre Größe nicht. Das weiß ich aber nur vom Hörensagen, da dieser verflixte Virus bei mir immernoch nichts verschlüsselt.

Hier meine bisherigen Erkenntnisse zum Trojaner:


Sorry an die Nicht-Computerleute wenn es etwas technisch wird.

Einfallstor war Rechnung2012[1].zip.vir md5=a385a8b3c3445a52400be54a1bb54e6e
Inhalt des Zip: Rechnung2012.pif 65536 Bytes md5=be4dd0c9fe78b6a3c3bf4f2750d52d6e
Weitere gemeldete datei gleichen Inhalts: nqqfoifwyj.pre.vir md5=be4dd0c9fe78b6a3c3bf4f2750d52d6e

Trojaner beseitigt mit Desinfec't 2011 mit allen Updates vom 18.5. + Systemwiederherstellung
Erkennung durch:
Avira: TR/Crypt.Gypikon.D.1 (nicht bei jedem Lauf erkannt!!)
Kaspersky: Trojan-Ransom.Win32.Gimemo.slv
ClamAV: W32.Trojan.Ransom-253
BitDefender: Trojan.Generic.KDV.625143
Windows Defender Offline: Trojan:Win32/Matsnu (Signaturen vom 19.5.12)

Avast meldet "Keine Bedrohung gefunden" (Signaturen vers 120515-1)

Wiederherstellen der zerstörten Dateien bisher erfolglos.

Beobachtungen:
Befall vermutlich nicht per Mail, sondern durch Besuch einer Webseite.
Der Trojaner ist höchstwahrscheinlich am Mi 16.5.2012 morgens um 7 Uhr auf den Win7-PC gekommen.
Darauf deutet das Zipfile in den Temporary Internet Files hin.
Zeit der Verschlüsselung vermutlich Mi 16.5.2012 am Vormittag.
Spricht gegen die Nur-Donnerstag-Theorie im delphipraxis.net-Forum (*).
Beschreibung der Benutzerin: Unbekannte Mails erhalten, aber nie geöffnet.
Seit ca. 9. Mai gelegentlich Excel-Files mit unsinnigem Inhalt, Rechner langsam, ein Mal Aufforderung, Excel upzudaten.
Zeitstempel der Verschlüsselten Directories: 16. Mai ca 8 Uhr.
16. Mai ca. 11 Uhr: Entdeckung, dass alle Dateien verschlüsselt sind, und Zahlungsaufforderung und Eingabe einer Fantasienummer.
Betriebssystem ist Win7 Home Premium mit Patches bis 8.9.2011, kein SP1

Dateinamen werden zu z.B. gursjjxrLNvfJTolaATNf
Datum und Länge der Originaldatei bleiben erhalten, nachgewiesen durch vereinzelte Backups von Benutzerdateien.
Mit Hexdump keine offensichtliche Trivialcodierung zu erkennen, ausser dass nach Hex3000 (12288) nicht mehr verschlüsselt wird.

Verschlüsselt D:/RECOVER, D:/ und vor Allem C:/Users incl. Subdirs
Einige Dateiendungen werden wohl ausgenommen, z.B. *.txt
Seltsam, bei einer absichtlichen Infizierung mit dem Trojaner wurde c:\Windosw\system32\taskmgr.exe gelöscht! Nicht reproduzierbar.
MP3s sind durch Umbennennen zu retten, denn die ersten 12 KB sind (fast) unbedeutend.
Office-Files sind eventuelle zu retten mit http://support.microsoft.com/kb/826864/de/

Testweise Wiederverseuchung, als Versuch, die Verschlüsselung an bekannten Files zu beobachten:
Befall reproduzierbar: Zahlungsaufforderung (wie im http://www.heise.de/security/meldung...n-1573945.html)
und bei falscher Nummerneingabe schwarzer Bildschirm mit der Meldung "Vielen Dank für die Zahlung ... Entschlüsselung ... mehrere Stunden ..."
Verschlüsselung nicht reproduzierbar. Es wurden keine weiteren Files verschlüsselt.
Randbedingung: keine Internetverbindung (zu riskant da mein Samba-Server verseucht werden könnte und mein Schtott-Firewallrouter keine DMZ hinbekommt).
Strg-Alt-Entf / Taskmanager / Datei / Neuer Task / explorer.exe:
Taskleiste kommt wieder, aber jedes geöffnete Fenster außer Taskmanager wird schwarz überdeckt. Systemwiederherstellung beseitigt das Problem.
Wiederverseuchung gelingt nur, wenn Rechnung2012.pif als exe umbenannt in einem schreibbaren Verzeichnis gestartet wird. Rechnung2012.pif löscht sich dabei selbst.

Fazit: Virenschutzprogramme bieten wohl keinen Schutz, einige erkennen die Bedrohung nicht einmal hinterher.
Einzige Rettung (außer Backup) wäre gewesen, beim Absturz nach öffnen des ZIPs oder sonstigem Ungewöhnlichn Verhalten der Rechnung den PC nicht mehr hochzufahren, sondern sofort Fachleute hinzuzuziehen. Aber wer macht das schon?


Meine Idee zum weiteren Vorgehen - leider fehlen mir die Mittel dazu: (Liest das hier jemand vom CCC oder von den Antiviren-Herstellern?)
1. Statisches reverse engineering des Trojaners,
2. Virus auf sauberes Testsystem loslassen und Netz-Aktivität beobachten, ob Code oder Keys nachgeladen werden.
Verschlüsselung live beobachten. Mit Debugger oder falls der Trojaner das merkt per Hardware. Ich habe schon live Leute gesehen die einen Logic-Analyzer an den Rechner gehängt haben und so einen Dongle-Code geknackt haben, so etwas geht wenn die Debugger und Hardwaretools zur Verfügung stehen - habe ich aber leider nicht.
Der Trojaner schafft die Verschlüsselung, also läuft die lokal am Rechner ab und muss zu beobachten sein.
3. Wenn es nicht bösartigerweise nur Zufallszahlen sind, woher kommt der seed der Codierung? Laut (*) werden gleichartige Dateien jedesmal anders verschlüsselt. Es ist unwahrscheinlich dass für jede Datei
ein eigener Schlüssel aus dem Netz geholt wird. Ich würde den seed lokal erzeugen, z.B. als hash aus Dateiname, Datum o.Ä.
4. Damit kann auch der Verdacht erhärtet / widerlegt werden, dass der Trojaner Zufallsdaten schreibt und gar nicht codiert.

Restaurieren gelöschter Dateien mit foremost unter Linux hat auch nicht viel gebracht. Die Hoffnung, dass die gelöschten Originaldateien vor Befall des Trojaners noch auffindbar sind hat nicht erfüllt.
Es gibt leider kaum Backups und keine Widerherstellungspunkte für die Benutzerdaten. Nicht schimpfen, ist nicht mein PC.


Google.de + metager.de mit der MD5 ergibt nur 2 nichtssagende Treffer.
Links zum Thema:
(*) hxx://www.delphipraxis.net/168380-verschluesselungs-trojaner-hilfe-benoetigt.html
hxxp://www.trojaner-board.de/115183-neue-verschluesselungs-trojaner-variante-umlauf-9.html
Windows Defender offline zeigt einen Link, der auch nichts neues bringt: hxxp://go.microsoft.com/fwlink/?linkid=142185&name=Trojan:Win32/Matsnu&threadid=2147652753




Nur der Vollständigkeit halber: weitere malware auf dem PC, die vielleicht ein Einfallstor war (eher unwahrscheinlich):
TR/Winlock.FB
Trojan-Downloader.Java.Agent.gr (aka Java.Trojan.Exploit.Bytverify.N)
EXP/JAVA.Niabil.Gen
PUA.Packed.Armadillo-1
PUA.Crypt.ScriptCryptor
PUA.Packed.PECompact-1
PUA.JS.Obfus-7
dazu noch einige Alarme bei PDFs


Vielleicht hilft es ja bei Gegenmaßnahmen.

mfg
Werner

Wie kommt die Erweiterung .vir zustande?

Bei der Erweiterung .pif ist ja festzustellen, dass Windows dieselbige ja standardmässig ausblendet. Ein Doppelklick auf so eine Datei im Email-Anhang kann Böses bewirken. Und man sieht ja nicht, dass es eine pif-Datei ist. Wenn sie xyz.pdf.pif heisst, sieht man eben xyz.pdf.

Gegenmassnahme: mit dem Registrierungseditor unter Computer\HKEY_CLASSES_ROOT\piffile den Schlüssel NeverShowExt in AlwaysShowExt umbenamsen.

Und warum nicht gleich die entsprechende Option für alle Dateitypen in den Optionen des Explorers aktivieren?

Weil die Extension von PIFs - genau wie die von LNKs - trotzdem ausgeblendet bleiben, auch wenn sonst alle Extensions angezeigt werden.

MfG Dalai

Wenn NeverShowExt vorhanden, dann wird nie angezeigt, egal was in den Exploreroptionen steht.
Wenn AlwaysShowExt vorhanden, dann wird immer angezeigt, egal was in den Exploreroptionen steht.
Ansonsten das was in den Exploreroptionen steht.

Mein Thunderbird zeigt die Endungen aber immer an ... den interessiert die Explorereinstellungen nicht.
Und beim Speichern zeigt auch der Feuerfuchs alle endungen an.
Ansonsten laß ich PIF und Co. ausgeblendet, denn sonst sieht es auf dem Desktop ganz schlimm aus.