Hallo Leute.

Vor ein paar Tagen ist ein neuer Verschlüsselungstrojaner aufgetaucht, der die ersten 12288 Bytes in Bildern und Dokumenten verschlüsselt. Zusätzlich wird der Dateiname umgewandelt.

Im Trojaner-Board sind einige Leute dabei, die Dateien auseinanderzunehmen, um eine Entschlüsselungsroutine zu finden.
Nun weiss ich, es gibt hier Profis, die sich damit bestens auskennen.
Vielleicht könnte sich der ein oder andere damit mal auseinandersetzen, um zur Lösung beizutragen.
Hier sind der Post, in dem alles zu den Details geschrieben steht.
http://www.trojaner-board.de/115183-...te-umlauf.html

Danke
Michael

Es gibt wohl schon Tools diverser Antivirusherstellern

Hallo Markus.

Ich hätte mehr Infos geben müssen, war wohl schon zu spät.


Du hast Recht, es gibt diverse Tools von diversen AV-Herstellern. Diese beziehen sich aber nur auf den Verschlüsselungstrojaner, der aus einer normalen "Datei.ext" eine Datei namens "locked-Datei.ext.yxwd" macht. Diese Variante war recht einfacht zu entschlüsseln, da jede Datei mit dem gleichen Schlüssel cryptiert wurde.

Die neue Variante geht rabiater vor. Zuerst mal wird jede Datei mit einem anderen Schlüssel verschlüsselt. Ich habe eine Testreihe mit ein und derselben Bilddatei vorgenommen. Die Datei, die mit unterschiedlichem Dateinamen in ein und demselben Verzeichnis lag, sowie als Kopie in verschiedenen Unterordnern, weist innerhalb der ersten 12288 Bytes keinerlei Ähnlichkeit auf (habe ich allerdings nur mit einem HEX-Editor per Auge verglichen). Dann wird die Datei umbenannt und zwar so: nvpeQsEEUTODXNVqyssQ oder stEQuUUQdUAOllvVqqts oder rVqodagODAGfyssuuaEd .....

Da im Moment nichtmal bekannt ist, ob sich die Dateien überhaupt jemals wieder herstellen lassen, wollte ich um Hilfe bitten.


Michael

Wenn ich mal das Schlimmste annehme, dann geh ich davon aus, dass zu einer Zahlung aufgefordert wird, aber auch nach Zahlung sowieso keine Antwort kommt hinsichtlich einer Entschlüsselung.
In diesem Sinn könnten die Dateien beliebigst mit Zufallszahlen verschlüsselt/versehen sein. Es gibt dann nicht mal eine Entschlüsselung. Was möglicherweise dazu führt, dass die Betroffenen erst recht zahlen. Weil alle Bemühungen einer Entschlüsselung scheitern, man findet also keine Hilfe woanders.

Tja und solange die Rechnungen noch halbwegs einfach als Fake erkennbar sind, mag das alles noch gutgehen. Wenn ich mir vorstelle, dass da beispielsweise plötzlich Telekom-Rechnungen o.ä. gefaked werden, also was man üblicherweise jeden Monat ins Haus bekommt ...

Frage: es passiert erst etwas, wenn der Dateianhang geöffnet wird. Wie wird dann der Trojaner aktiv? Ist das dann sowas wie eine versteckte Dateierweiterung?

Ich will wieder zurück zum Papier im Büro !

Die Verschlüsselungsroutine ist schwer zu finden. In der Virusdatei die ich habe, gibt es nichts was danach ausschaut. Ich vermute, dass der Virus die Verschlüsselungroutine noch irgendwann downloaded. Leider weiß ich noch nicht wie man das triggert. Ich gehe optimistisch davon aus, dass es so eine Routine gibt. Natürlich könnte auch lediglich Trash in die Dateien geschrieben worden sein Aber so sind die Vorgängerversionen dieses Virus nicht geschrieben.

Die Version (60.928 Bytes) bei der die Entschlüsselungsroutinen versagen, hängt sich per Codeinjection in "ctfmon.exe" bei 0x7FF94D59 ein. Dann werden erstmal regedit, Taskmanager etc. unzugänglich gemacht und eine Cab-datei mit 6 Bildschirmmaskenbilder runtergeladen. Dann noch eine Textdatei in der Bla-bla Drohungen und Forderungen für den Fall von mehreren Cashcode-Fehleingaben steht. Aber eben kein Code mehr. Danach macht der Virus den Desktop dicht und zeigt seine Forderung.

Und an diesem Punkt hänge ich momentan. Die Verschlüsselung der Dateien will bei mir einfach nicht starten. Es gibt kein weiteres download mehr. Es geschieht nichts weiteres.

Mein Rechner erfüllt anscheinend nicht die geforderten Systemvorrausetzungen für diesen Virus

Falls da mal einer reinschauen will.... ich wäre für jede Idee oder Hinweis sehr dankbar!

Viele Grüße
Marcus

Vermutlich erkennt die Schadsoftware einfach, dass du ihr einen Debugger angehangen hast und führt die Verschlüsselung dann nicht aus, um die Analyse zu erschweren. Was genau verwendest du für deine Analyse? OllyDbg?

Hallo!
Auch wir haben uns mit unserer kleinen Firma den Verschlüsselungs-Trojaner von der angeblichen Firma Schwonders GmbH aus Berlin bzw. Hartmann GmbH aus Berlin gefangen.
Der Trojaner wurde zwar von einer Computerfirma geschlöscht, jedoch alle Daten sind verschlüsselt.
Ganz ganz schlimm sind die gespeicherten Daten der Buchhaltung für dieses Jahr. Am 01.07. muss ich die Umsatzsteuervoranmeldung abgeben und alles neu buchen ist ganz schöner Käse!
Gibt es eine Hilfe um nur diese eine Datei wieder zu entschlüsseln???????
Vorab DANKE für die HILFE!
Gruß

Mein Kollege hat sich heute auch so ein Ding eingefangen. Die Email soll seriös gewesen sein und eine Rückemail mit konkretem Namen.
Nun soll ich das Ding neu machen.
Neu formatieren sollte doch reichen oder?

Ich habe nun versucht, mit einer Live CD zu starten. Irgendwie geht das nicht, obwohl ich eigentlich die CD als 1. Bootmedium eingestellt hatte. Es startet nun Windows normal hoch, aber der Ukash Bildschirm kommt nicht mehr. Online bin ich nicht. Warum kommt der Bildschirm nun nicht mehr?

Offensichtlich war im BIOS doch nicht umgestellt. Mein Fehler.

Jedenfalls weiter getestet.
Gestern Abend noch ein wenig gespielt an dem Rechner. Auf dem Rechner war AVG installiert und nach mehrmaligem Hochfahren zeigte AVG eine Meldung an, dass etwas gefunden wurde. Warum dies bei den ersten Malen Hochfahren nicht kam, weiß ich nicht. Möglicherweise hängt das mit dem Timing beim Start zusammen. Ich hatte ja die Notfall CD von PCM drin. Vielleicht hatte da der Startvorgang vom Trojaner etwas länger gedauert (weil das DVD Laufwerk anlief) und dadurch kam AVG zum Zuge. Jedenfalls ist es mir gestern noch gelungen, die Dokumente Ordner auf CD zu brennen. Bis jetzt habe ich nur Bilder gefunden, die in Ordnung waren. Vielleicht hat mein Kollege doch recht schnell die Internetverbindung unterbrochen, so dass der Trojaner nicht fertig war. Vielleicht gibt es aber in den vielen Ordnern schon Dateien, die verändert wurden? Dies wird mein Kollege noch prüfen.
Danach habe ich dann AVG gesagt, die gefundene Datei in Quarantäne zu verschieben und noch andere Einträge zu löschen und seitdem startet der Rechner normal hoch. Ich will heute nochmal mit GDATA Live CD drüberscannen und vielleicht brauche ich dann die Platte nicht neu formatieren. Gefunden hat AVG einen Eintrag in der Registry, dann unter Users ein Eintrag YXFURTYL.EXE dann unter Windows C:\Windows\SYSWOW64\explorer.exe. Jedenfalls wurden 3 Prozesse beendet, 1 Datei entfernt und 1 Regschlüssel gelöscht.

Original kam der Trojaner aus einer Email von web.de
Vielleicht gibt es die noch und ich kann diese zur Verfügung stellen.

Wir retten alle Ihre Daten (ausser Windows XP). Auch nach Angriffen des neuesten Verschlüsselungs Trojaners!
PC, Laptop einschicken, 2 Tage später haben Sie alle Ihre Daten wieder!

Datenrettung bis 500 MB = € 45,00, je weitere 500 MB plus € 15,00.

Sinnvoll danach komplette Neuinstallation, mit allen Treibern und allen wichtigen Programmen = € 65,00

Computerfachgeschäft
{snip}