[QUOTE=Marcu;1171312]So eine ähnliche habe ich auch; war aber schon am 23.5.
Subject: Deine Anmeldung, www.Singles-4you.at
bin mir aber nicht mal sicher, ob das Biest verschlüsselt oder nicht, da die exe noch nicht ausgeführt wurde.

Prova A Grattare Meglio
Forse Non è Cosi
CompanyName: We bello comè?
FileDescription: _Tappost?
LegalCopyright: What a feel
ProductName: Real Love
FileVersion: 5.03.0002
ProductVersion: 5.03.0002
InternalName: giggino
OriginalFilename: giggino.exe

(per Hexeditor ausgelesen)
hab' ich aber auch schon hochgeladen...

Gruß
Joh

@Marcu: bei der 1.150 , weißt Du mit welchem Verfahren die $02 Datei verschlüsselt wird?
Ich will mich an der $02 versuchen mit CUDA, kann zwar noch kein CUDA aber habe Zeit ... lohnt es sich? Zur Verfügung stehen 2 stärkere Geforce, ich habe den Virus , die beiden abgelegten Dateien und die ca. 4200 verschlüsselten Bilder meiner Bekannten... meine C Kenntnisse sind etwas eingerostet, aber ich denke, da werde ich schnell wieder fit.

@deraddi,

Laut Prozeduraufruf der Windows-API-Funktion CryptDeriveKey
__in ALG_ID Algid, // 0x00006801

Nach MS ist der CALG 0x00006801 = RC4.

Ob das bei der Version 2 auch noch so ist, weiß ich nicht.

TBUndertaker

diese fake coppyright infos gibts schon in älteren versionen würd ich behaupten.
mal ne kleine anmerkung, da das hier schon häufiger gefragt wurde, wenn jemand aktuelle mails mit anhängen (spam) reinbekommt, hätte ich die gern
http://markusg.trojaner-board.de
wir haben da extra ne adresse eingerichtet, also keine falsche scheu :d

Hallo!
Auch wir haben uns mit unserer kleinen Firma den Verschlüsselungs-Trojaner von der angeblichen Firma Schwonders GmbH aus Berlin bzw. Hartmann GmbH aus Berlin gefangen.
Der Trojaner wurde zwar von einer Computerfirma geschlöscht, jedoch alle Daten sind verschlüsselt.
Ganz ganz schlimm sind die gespeicherten Daten der Buchhaltung für dieses Jahr. Am 01.07. muss ich die Umsatzsteuervoranmeldung abgeben und alles neu buchen ist ganz schöner Käse!
Gibt es eine Hilfe um nur diese eine Datei wieder zu entschlüsseln???????
Vorab DANKE für die HILFE!
Gruß

Mein Kollege hat sich heute auch so ein Ding eingefangen. Die Email soll seriös gewesen sein und eine Rückemail mit konkretem Namen.
Nun soll ich das Ding neu machen.
Neu formatieren sollte doch reichen oder?

Ich habe nun versucht, mit einer Live CD zu starten. Irgendwie geht das nicht, obwohl ich eigentlich die CD als 1. Bootmedium eingestellt hatte. Es startet nun Windows normal hoch, aber der Ukash Bildschirm kommt nicht mehr. Online bin ich nicht. Warum kommt der Bildschirm nun nicht mehr?

Wie weit ist es bisher mit der Entschlüsselung der $03-Katalogdatei?
Bist du da noch am Ball?
Mittlerweile gibt es ja einige Möglichkeiten, Dateien typabhängig wiederherzustellen, so das die Möglichkeit einer Re-Umbenennung schon sehr hilfreich wäre.

Joh

@deraddi
Ich schick dir morgen oder übermorgen eine pm. Mach dir keine große Hoffnung. Da sind wir beide längst tot bis CUDA das erste Bild entschlüsselt hat. Falls es sich nur um Multimediadateien und um Bilder handelt, dann hast du aber trotzdem gute Chancen mit Reparaturprogrammen diese Dateien zurückzuholen. Es sind "nur" die ersten $3000 Bytes einer jeden Datei kaputt. Jpgs sind robuste Dateien. Viele Leute auf dem Trojaner-Board hatten Erfolg mit der Reparatur von verschlüsselten Bildern. Schau mal hier.
http://www.trojaner-board.de/116851-...tml#post842337
An deiner Stelle würde ich es mit Datenrettung versuchen.



@Zuelpich53

Falls die Daten der Buchhaltung mit der neuen Variante des Trojaners verschlüsselt worden sind, dann gibt es leider momentan keinen Weg die Daten zu reparieren. Es besteht auch keine Hoffnung, dass sich das bald ändert. Tut mir leid.

Eine winzig kleine Chance an halbwegs aktuelle Daten zu kommen besteht vielleicht noch. Einige Programme löschen während des regulären Betriebs alte Datendateien um Platz für die aktuellen Datendateien zu schaffen. Manchmal kann man gelöschte Dateien wieder herstellen. Eventuell findet sich noch eine gelöschte Buchhaltungsdatei mit der du weiterarbeiten kannst. Die Chance darauf ist klein aber ein Versuch wert. Mit einem Opfer hatte ich Kontakt der auf diesem Weg eine wichtige Datei zurück bekam. Man braucht aber eine Menge Glück damit das gelingt.

Auch haben einige Betroffene Dateien wieder über sogenannte "Shadowkopien" zurückbekommen können. Dieser Weg ist nur möglich, wenn der entsprechende Dienst auf deinem Computer gestartet war.

Noch eine letzte Hoffnung besteht im Allgemeinen - bei dir eher nicht da eine Computerfirma den Computer bereits untersucht hat. An anderer Stelle habe ich geschrieben:

Bei Kleinunternehmern werden oft Arbeitsplätze auch als Datenbankserver eingesetzt. Datenbankserverprogramme (mssql, mysql,firebird usw..) starten normalerweise früher als diese Malware und öffnen Datenbankdateien auf eine Art die es der Malware unmöglich macht diese zu verschlüsseln. Sollte ein solcher Computer betroffen sein, dann hat man beste Chancen diese Datenbankdateien unbeschädigt vorzufinden. Es lohnt sich das zu prüfen, da in diesen Datenbankdateien oftmals die Faktura/ Fibu/ Terminverwaltung usw. steckt.

Mehr kann ich dir momentan leider nicht helfen, Zuelpich. Das Trojaner-Board ist eine exzellente Anlaufstelle für Betroffene. Dort findet man eine Menge Informationen und kompetente Ansprechpartner zu diesem gemeinen Virus. Es ist mit Sicherheit die Zeit wert dort vorbei zuschauen.

@zeras

Bei Version 1.150.1 kann ich sicher sagen, dass es reicht. Bei der Version 2.000.11 weiß ich mit Sicherheit, dass der injected Code nichts macht was ein Überleben nach einer Formatierung ermöglicht. Allerdings habe ich den Loaderteil der Version 2.000.11 noch nicht genau untersucht. Ich bin mir aber fast sicher, dass da auch nichts zu finden ist. Der Trojanerprogrammierer hat bisher nicht die geringsten Anstalten gemacht irgendetwas zu verheimlichen oder hartnäckig durchzusetzen. Es gibt keine "Tricks" die man sonst in Malware findet. Der Erpresser setzt einfach auf Quantität in jeder Beziehung und spart sich die Arbeit.

Startet auf diesem Computer eine Windows-InstallationsCd? Ist vielleicht die LiveCd kaputt?
Der Ukash-Desktop sollte zu sehen sein. Läuft auf dem Rechner eine Sicherheitssoftware die spät, aber nun doch noch aufgewacht ist?

Viele Grüße
Marcu

Hallo Joh
Das ist ganz schnell gemacht. Besteht die Möglichkeit eine $03-Datei zu bekommen? Kannst du mir vielleicht eine per pm zuschicken, bitte?

vg Marcu

@ Marcu: danke für die Info. Datenrettung scheidet leider aus, im Trojaner Board bin ich schon, diverse JPEG Tools bringen gerade mal 5 der um 4200 Bilder in voller Größe wieder. Sie hat die Bilder einfach zu klein gemacht, 60k - 150k. Zu wenig Daten für Wiederherstellungen.

Daher meine Überlegungen die $02 zu bruteforcen.
Wenn sie in RC4 codiert ist, kann ich ja Ansätze suchen den Stream zu finden, da mir Teile der Pfade bekannt sind. "C:\Dokumente und Einstellungen\" wäre z.B. ein Teil der Datei den ich im RC4 Stream bruten muss. Muss mir da noch konkret Ansätze überlegen.
Da die werte Dame schon die Hoffnung aufgegeben hat und mit den ca. 2000 Bilder ihrer alten Datensicherung z.Z. leben kann habe ich Zeit. Und sehe es als Herausforderung an, einen Ansatz zu finden.