Das heißt, du hast tatsächlich jemanden, der definitiv bezahlt hat und dessen PC nicht entschlüsselt wurde?
Wie wäre es mit einem offiziellem Beitrag in c't oder Co. Dann hatte ich bei meinen Kunden mal was in der Hand

@pcnberlin

Es ist schön dass wenigstens du weißt was für Testdaten ich eingegeben habe. ... mein lieber Schwan ... ist das peinlich...


@Alle

Es tut mir leid. Kein Happy End!

Es gibt kein Hintertürchen im Programm, keine nennenswerten Programmierfehler, keine logischen Fehler, keine Schwachstelle in der Parametrierung der Verschlüsselungsfunktionen und keine Schwäche in der Zufallsfunktion. Ich habe die relevanten Funktionen der Malware zurückübersetzt und im Detail nachvollzogen. Es ist keine Vermutung mehr von mir und ich kann mit Sicherheit sagen: Das benötigte Passwort ist nicht mehr auf den betroffenen Computern. Es gibt keinen Weg dieses Passwort zu berechnen. Es gibt keinen Weg das Passwort zu Lebzeiten zu erraten. Es ist diesmal nicht möglich mit einem Vergleich zwischen Originaldateien und verschlüsselten Dateien eine Entschlüsselung für alle Dateien abzuleiten. Es bleibt nur zu hoffen, dass ein Polizist das Passwort zurückbringt.

Benötigt wird das Passwort für eine Datei in der zu jeder verschlüsselten Datei der Originalname, der zufällige neue Dateiname und das zufällige Passwort steht mit der die Datei verschlüsselt wurde. Der Virus speichert diese Katalogdatei im Temp-Verzeichnis mit der Dateierweiterung ".$02" ab. Z.B: 1C7F90CE4148555A5355.$02
Eigentlich wäre es sehr einfach ein Programm zu schreiben welches die Daten restauriert. Man muss lediglich das Programm unter #138 mit der Funktion unter #41 koppeln und seine entschlüsselte $02-Katalogdatei als Eingabe bereitstellen. Daraus wird leider nichts solange das Passwort zum Entschlüsseln der $02-Datei nicht herbeigeschafft ist.

Es gibt eine einzige kleine Schwachstelle im Virenprogramm, die aber nicht reicht um die Daten zu entschlüsseln. Während der Verschlüsselungsphase legt der Virus eine Datei mit der Endung ".$03" im temp-Verzeichnis an. In dieser Datei steht für jede verschlüsselte Datei die Zuordnung zwischen dem Originaldateinamen und dem neuen zufälligen Dateinamen. Diese Datei wird nach der Verschlüsselung mit einem simplen kernel32_DeleteFileA gelöscht. Man hat also tatsächlich eine Chance diese Datei wiederherzustellen.
Mit der $03-Datei ist es möglich den verschlüsselten Dateien ihren Originalnamen zurückzugeben. Jedoch bleibt es weiterhin nicht möglich die Dateien vollständig zu reparieren, da in der $03-Datei nicht das Passwort für die Verschlüsselung steht. Die $03- Datei lässt sich mit dem Programm unter #138 entschlüsseln. Das zu machen hat aber wahrscheinlich für Niemanden einen Sinn.


pcnberlin hat Recht wenn er sagt, dass man den Opfern dieser Malware nicht hilft wenn man schweigt.
Es ist allen dringend zu raten eine Anzeige zu erstatten. Wenn viele Anzeigen bei der Polizei vorliegen, erhöht das sicher die Bereitschaft zu ermitteln. Vielleicht ist der Täter nicht in Deutschland. Es kann lange dauern bis die Passwörter beschlagnahmt sind. Deswegen sollten die Opfer eine Sicherungskopie anfertigen und jetzt eine Neuinstallation durchführen.

Ich möchte mich noch bei allen bedanken. Der konstruktive und freundschaftliche Umgang bei der Analyse der Malware war echt klasse. Vielen Dank an pcnberlin und Michael und Markusg und an alle anderen.
Falls sich bei mir mehr als drei Interessierte melden, werde ich ein Paper machen in dem die Funktionsweise dokumentiert ist. Bitte PM an mich.

Noch ein letztes Wort an die Opfer - falls die hier mitlesen:
Es gibt keinen Grund mit sich selbst böse zu sein, weil man dieses blöde Zip-File angeklickt hat. Der Gebrauch von E-Mailanhängen so wie er heute üblich ist, ist leider schrecklich kaputt. Die Regeln die empfohlen werden sind ein Armutszeugnis der EDV. Wenn man sich bei dieser Sache Selbstvorwürfe macht, dann richtet man seinen Zorn an den falschen.

Viele Grüße
Marcu

Hallo, mein erster Beitrag hier und ich habe direkt 1-2 Fragen.
Danke erstmal @ Marcu für Deine Mühen, habe den Verlauf mitverfolgt.

Ich habe Teildaten einer Festplatte von einer 130 km entfernten Bekannten hier vorliegen, die den Matsnu.A.23 erwischt hat. Ca 4800 Fotos sind futsch, davon konnten wir von ihrer Sicherung gut 2300 wiederherstellen. Der Rechner ist aber nun eh wertlos weil sie nun einen Laptop gekauft hat (Mit externer Sicherungsplatte ) da einige Kondensatoren auf dem betagten Mainboard schon aufgebläht waren und diverse Bluescreens Verdacht auf Hardwaredefekt früher schon vermuten ließen.

Kriege die Platte per Paketdienst morgen oder übermorgen und werde in den gelöschten Bereichen im Temp mal weitersuchen. Schattenkopien waren deaktiviert ... Habe schon fast aufgegeben das AES je geknackt werden könnte, aber Dein letzter Beitrag ließ mich nochmal nachsehen: diese $02 Datei habe ich auf der Platte gefunden. Es gibt aber eine nur 1 kB große Datei mit fast identischem Namen ohne Endung im selben Ordner, was hätte sie für eine Bedeutung?
Ich hänge ein RAR an, den Virus habe ich 2x gefunden mit verschiedenen Dateinamen.

Achtung, im RAR von @deraddi ist der Trojaner und das RAR ist ohne PW.
Admins, bitte den Anhang löschen!!!

Hallo liebe Delphis,
ich komme vom Trojaner Board und lese hier seit Anfan an mit.
Bisher hatte ich mich nicht registriert, da meine Programmierkenntnisse zu schwach sind, um hier sinnvoll mitarbeiten zu können.
Ich habe das heute auf Grund Marcu's letztem Post trotzdem getan.
Es ist mir ein Bedürfnis all denjenigen zu danken, die sich die Nächte um die Ohren geschlagen haben, nur um Anderen zu helfen.

Der letzte Beitrag von Marcu macht mich trotzdem nachdenklich.
Dass das Password nicht explitid auf dem Rechner zu finden ist, kann ich nachvollziehen.
Stellt sich nur die Frage, wo es ist.
Ist es nur ein Passwort für Alle?
Gibt es jeden Tag ein neues Password?
Gibt es für jeden Rechner eins?
Ich stelle mir gerade vor, welchen administrativen Aufwand die Verwaltung der Passworddatenbank bedeutet.
Ich kann mir auch nicht vorstellen, dass die Passworte irgendwo auf der Welt gespeichert sind und ein Polizist die irgendwann zurück bringen könnte.

Eher bin ich davon überzeugt, dass der fehlende Part so simpel gestrickt ist, dass wir ihn nicht sehen.

Gruß Undertaker

Guten Morgen und Danke für die Warnung bzgl. des Anhangs.

Wenn Ihr für Recherche-Zwecke ein lebendiges Exemplar des Trojaners benötigt, so verlinkt ihn meinetwegen irgendwie, schreibt aber in rot und fett unmissverständlich eine Warnung neben den Link. Als Anhang kann ich den Trojaner hier nicht gestatten, da das Risiko einer Infektion durch unbewusstes oder gar leichtfertiges Verhalten einfach zu groß ist. Ich bitte um Verständnis.


Zur Sache selbst kann ich leider nichts sagen - es wäre schade, wenn der Algorithmus gut genug ausgearbeitet wäre, um in endlicher Zeit nicht zu knacken wäre. Aber vom technischen Standpunkt ausgesehen würde es mich nicht überraschen, da die Kryptographie weit genug aufbereitet wurde, so dass der Zugang zu komplexer Verschlüsselung vergleichsweise leicht geworden ist.

Was soll ich sagen! Danke.
Auch für die vorhergegangene Warnung


gruss

Moin,

sorry für den vorschnellen Upload, gestehe ich ein. Muss aber anmerken das die Viren unschädlich gemacht wurden, der Anhang wurde in EXE!!! umbenannt. Wer den starten will muss schon leichtsinnig und willentlich die Datei umbenennen, wäre also nicht unbedingt was passiert.
Wer das Archiv trotzdem möchte, eine kurze Nachricht genügt.

Der Virus lässt mir keine Ruhe, ich bin schon ungeduldig bis ich die Festplatte in der Hand habe, ob ich in den gelöschten Bereichen was finde. Irgendwie will ich noch nicht aufgeben.
Könnte man wenn man seine Vorgehensweise komplett verstanden hat nicht eine Strategie für rückwärts entwickeln?

oder der Ersteller des Trojaners hat nicht im geringsten daran gedacht diese Dateien je wieder herstellen zu könnnen.
Damit wäre der administrative Aufwand gleich Null.

Grüße
Klaus

Was ich schon sehr sehr weit vorne in einem Thread angesprochen habe.
Sorry wenn jemand so etwas macht wäre der Aufwand die Generierten Schlüssel zu sichern einfach zu hoch.
Wie will er diese dann anschließend dem richtigen User auch noch zukommen lassen über die erkennung der IP
das ist unmöglich da eine IP nicht zur identifizierung eines Person ausreichend ist siehe dynamische IP's als Beispiel.

Ich stehe mit beiden Beinen auf den Boden auch wenn es mir leid tut für die, die betroffen sind
die Erfolgsaussichten mit kleiner einschränkung (falls er die doch gesichert hat) gleich null.
Man kann also nur hoffen das die Rechtsvertreter da mal irgendwann etwas finden.

Die Hoffnung stirbt zuletzt.

PS:
Das problem ist aber auch das es vordefinierte Ordner im BS gibt in dem alles reingeknallt wird
Niemand wird jemals erleben das ich unter

• Eigene Bilder
• Eigene Dokumente
• Eigene Musik
• Eigene Videos

jemals etwas ablege das läd ja nur dazu ein Schabernack damit zu treiben.


gruss

Falls die Teilschlüssel wirklich jemals in einer DB auf den CC Servern abgelegt worden sind und selbst wenn es den Behörden gelänge, einen dieser Server zu sichern und die Schlüssel zu veröffentlichen, woher sollte man wissen, welcher Schlüssel für den eigenen Rechner zuständig war. Mal angenommen, da sind mittlerweile über 100.000 (Teil-)Schlüssel gespeichert, es würde Wochen / Monate dauern herauszufinden, welcher Schlüssel der passende ist, schließlich könnte die Verifizierung ob eine / bzw. die erste Datei überhaupt korrekt entschlüsselt wurde, nur durch den Benutzer selbst erfolgen. Wobei natürlich zusätzlich erstmal eine Entschlüsselungssoftware geschrieben werden müsste (was aber vermutlich innerhalb einiger Tage geschehen könnte).

Alles in Allem: Die Daten sind zu 99,5% weg. Für immer. Hat man selbst kein Backup zur Hand, welches seit der Infektion auch nicht mehr hätte eingebunden werden dürfen, scheint der Ofen aus zu sein. Das muss entsprechend hart sein, bedenkt man, dass wahrscheinlich die meisten Menschen a.) überhaupt keine Backups machen | b.) Private Daten von vielen Jahren dauerhaft verloren sein können | c.) Evtl. sogar auf einem privaten PC, der auch beruflich genutzt wird, wirtschaftlich relevante Daten verloren sind.

Mein Beileid an alle, die es erwischt hat.