Eigentlich nicht mal der Text wert den ich hier schreibe.
Wie kann man nur ansatzweise an soetwas denken und glauben damit erfolg zu haben.

Es wird ganz deutlich gewarnt niemals Dateien öffnen die man nicht selbst angefordert hat. (Oder den Absender kennt)
Niemals auch nur einen cent bezahlen.

gruss

ich rate jedem vom bezahlen ab.
1. kenne ich leute dies versucht haben, da ging dann trotzdem nichts.
2. weist du auch hinterher nicht, ob die dir vllt noch was nettes hinterlassen was dann deine bankdaten zb ausspäht.
3. sinds dann jetzt vllt "nur" 100 €. beim nächsten mal kommts dann per drive by download und kostet 200 € etc.
nüchtern betrachtet ist das nun mal ein geschäft. setzt sich dieses modell durch, durch genügend zahlende nutzer, dann wird sich das halten und vermehren.
wichtiger ists erst mal, dass ihr alle, die ihr betroffen seit, ne anzeige macht, je wichtiger die polizei diese arbeit nimmt, desto höhere stellen arbeiten daran und desto mehr kompetenzen haben diese natürlich international.
was dann dabei helfen könnte die server die verwendet werden zu beschlagnamen etc.

@Marcu

Du hast aber auch ein bischen einen Dickschädel, oder? Das find ich prima, ich nämlich auch Ich hoffe, Du findest noch etwas raus, war heute leider wieder sehr eingespannt & würde aktuell auch gern weiter debuggen. In welche Datei schreibt er denn, diese 1kb im temp? Ich bin gespannt auf Neuigkeiten, auch wenn Sie negativ sein sollten. Es ist halt auch sehr interessant, zu verstehen wie die Dinger funktionieren. Good Luck!

@ThomasN
Ja, ich hatte auch erst gedacht, dass es sich um den alten handelt, aber später wird der Artikel eindeutiger und was da beschrieben wird, trifft auf unseren Kandidaten zu.

@RMC
Das Problem an diesem Vorschlag ist nicht unbedingt die Zahlung der 100€. Wenn sich damit wirklich etwas ableiten ließe, ok. Dem wird aber sehr sicher nicht so sein, denn bisher sieht es so aus, dass die Malware das Modell einer symmetrischen Verschlüsselung so zusagen in ein semi-asymmetrisches Modell überführt. Auf dem PC wird demnach ein Schlüssel generiert, der aus mehreren Teilen besteht. Mit diesem Schlüssel bzw. Ableitungen hiervon wird dann verschlüsselt und ein Teil des Keys an die C&C-Server übertragen, aber vermutlich nicht auf dem PC gespeichert. Prinzipiell könnten wir also auch herausbekommen, wie der Schlüssel selbst generiert wird und können sogar die Dateien auf einem Debugging-Rechner wieder entschlüsseln. Das Problem sind aber die Rechner, auf denen die Verschlüsselung schon durch ist, denn hier fehlt dann der Teilschlüssel, der zudem Zufallswerte enthalten kann, die sich nicht "zurückrechnen" lassen. Wenn der Trojaner also nicht den ganzen Schlüssel auf dem PC hinterlassen hat, war es das.

@markusg
Wie sah denn die Netzwerk-Kommunikation bei der alten (locked-...) Variante aus, hat der Trojaner da ähnlich agiert?

@all
Jemand aus der Schweiz anwesend? Weil ein whois horad-fo.com u.a. hier hin führt: 84.72.41.161.

Kann mir bitte einer (min) 5 verschlüsselte (kleine) Dateien zukommen lassen?
Sofern möglich, wäre es auch hilfreich, die unverschlüsselten Dateien dazuzupacken!

Ich habe eine Idee bzgl. der Verschlüsselung, werde sie aber nur dann äußern, wenn ich sie bestätigen kann...
Bitte trotzdem keine Hoffnungen machen; sry

Hallo Aphton,

ich habe beim Recherchieren eine Originialdatei und die dazugehörige verschlüsselte Datei noch gefunden, welche ich Dir hier zukommen lassen kann. Leider ist es eine persönliche Datei, die ich hier nicht posten möchte - kannst Du mir eine E-Mailadresse geben? Die verschlüsselte Datei (qtXqGdaqguLQdeGTAtfX) kann ich hier gar nicht 'hochladen', sie wird nicht 'erkannt', könnte sie höchsten zippen.

Es ist vom Fall her genau der neue Verschlüsselungstyp den ihr sucht. Ich habe ihn mir am 31.05.12 'eingefangen'. AVIRA hatte nichts gemeldet - erst am 01.06. wurde etwas erkannt - poste ich hier!

Der Trojaner hat alle Dateien 'hinter' dem Userverzeichnis meines Firmennamens (Excel, Word, jpg, etc. ...) verkryptet.
Unter http://www.kaspersky.com/downloads/free-antivirus-tools gibt es zwei neue Randsom 'Entkrypter' die leider für unseren Fall (noch) nicht funktionieren.

Malware Virus hatte bei mir den TROJAN.AGENT.RNGGen und TROJAN.FAKEAlert gemeldet. Ferner noch Hijack.Zones - poste Dir das Ding mal zu.

Ich seh' mal zu, daß ich noch ein paar Orginaldateien zu den verschlüsselten Dateien finde auf meinem Backupsystem - die schicke ich Dir ebenfalls per E-Mail zu.

Interessant ist, daß die verschlüsselte Datei die selbe Größe hat, selbiges Datum, jedoch eine Stunde 'älter' ist.
Übrigends - ich hatte die Systemwiderherstellung in Windows aktiviert. Es gab jedoch einen Wiederherstellungspunkt mehr auf meinem System!!!!!

Hab' mich selbst schon etwas an die Sache herangetastet und mal mit einem Debugger die Sache angesehen - allerdings gehen meine Programmiererfahrung auf die späten 80er zurück - wenn Jemand hier erfolgreich ist, und ich meine geschäftlichen Daten wieder entkrypten kann, lass ich 'was springen an den Entwickler - das ist schon 'mal sicher!!

Grüße

RMC

Hallo Aphton,

also - habe noch sehr viele Orginaldateien auf meiner Backupplatte passend zu den verschlüsselten Dateien gefunden.

'Gerichtet' habe ich Dir jetzt eine ZIP mit div. WORD,EXCEL,JPG,PDF,DB, etc. Dateien.
Evtl. 'baut' sich die Verschlüsselung auf unterschiedliche Dateiarten unterschiedlich aus - deshalb mehrer Dateiformate.

Wie gesagt - es sind persönliche, geschäftliche Daten. Ich mache Dir eine entsprechend persönliche Nachricht hier im Forum mit meiner E-Mailadresse, damit Du mir Deine schicken kannst. Das Ergebnis posten wir dann anschließend wieder hier öffentlich - ist das okay?

Grüße

RMC

.....

Ach noch 'was - bei der Durchsicht von Orginal- zu Verschlüsselungsdateien ist mir aufgefallen, daß dies mit der unterschiedlichen Uhrzeit (eine Stunde älter bei der verschlüsselten Datei) doch nicht stimmt! Die Dateiproperties sind bei mir alle identisch!

Die Idee, daß bei unterschiedlichen Dateiformaten unterschiedlich verkryptet wird kam mir beim betrachten mit meinem Debugger - ich kann mich aber auch täuschen....

Grüße

RMC

Führe doch einfach keine Dateien aus dann kannst dir sparen überhaupt was zu posten.
Dummheit schützt for Strafe nicht.

Ohh jetzt bekomme ich wieder was auf den Deckel.

gruss

Du bist auf dem falschen Pfad - leider mit sehr agressivem Tonfall. Es ging bei den 100 EUR nicht darum, doch irgendwas "Lustiges" zu erhalten, sondern im Rahmen einer kontrollierten Maßnahme den Schlüssel zu dem eingangs genannten Problem zu erhalten.

Aus der Diskussion gewinne ich den Eindruck, dass die hier anwesenden haargenau wissen, was sie tun und womit sie es zutun haben. Es geht gewiss nicht um das leichtfertige Ausführen "irgendwelcher" Dateien.

Ja.
Die IP 84.72.41.161. gehört gemäss whois zum Provider UPC Cablecom und bei horad-fo.com meldet whois einen eintrag in China.

Ach nein und das habe ich nicht begriffen?
Warum denkst du habe ich so darauf geanwortet.
Wenn für diese Datei über so viele verschiedene Kanäle hinweg ein Schlüssel generiert wird
ist es Ironie zu glauben diesen "Auf normalem wege" zwecks Schlüssel wieder entschlüsseln können.

Was hat das mit agressiven Tonfall zu tun..

Anscheinend wissen sie es nicht oder hast du schon mal ne 128/256Bit verschlüsselte Datei entschlüsselt?
Es ist Dumm zu glauben das der Schlüssel irgendwo zwischengelagert wird das ist einfach nur ein Witz.

Ich kann mich noch an einen Versuch vor Jahren erinnern bei dem eine Uni im Auftrag gegeben hat
eine 128Bit Datei zu entschlüsseln gegen ein Entgeld von 10000.-DM.

Dazu hat man sich zu einem Kollektiv zusammen getan ein paar 1000 Rechner im Verbund um den Schlüssel über Brutforce zu knacken.
Gedauert ca. 1 Jahr.

Wenn ich schon höre das jemand dafür Geld geben will unter welchen Gründen auch immer wiederhole ich mich gerne nochmal.
Die Leute welche den Angriff ausgesetzt sind wurden nicht einfach so Infiziert
sondern haben aus Neugierde eine Datei geöffnet die Sie nicht hätten öffnen dürfen.
Anzeige gegen Unbekannt mit welcher Begründung? Wenn man das Problem selbst verursacht hat.
Es wird niemand gezwungen diese Datei zu öffnen.
Wenn dieser mal über Webseiten Scripts/Bilder oder was auch immer vertrieben wird kann ich nur noch raten
Internetverbindung-kappen das wäre die einzige lösung.

Wie man das nun nennt .. Nun sucht es euch selbst aus wenn euch meine art der Antwort
zu agressiv oder nicht gefällt.

PS:
Manchmal gehört ein aggressiver Tonfall dazu sonst lernen Sie es nimmer mehr.
Geh mal in den Bundestag...

gruss