AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Eigentlich nicht mal der Text wert den ich hier schreibe.
Wie kann man nur ansatzweise an soetwas denken und glauben damit erfolg zu haben.

Es wird ganz deutlich gewarnt niemals Dateien öffnen die man nicht selbst angefordert hat. (Oder den Absender kennt)
Niemals auch nur einen cent bezahlen.

gruss

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

ich rate jedem vom bezahlen ab.
1. kenne ich leute dies versucht haben, da ging dann trotzdem nichts.
2. weist du auch hinterher nicht, ob die dir vllt noch was nettes hinterlassen was dann deine bankdaten zb ausspäht.
3. sinds dann jetzt vllt "nur" 100 €. beim nächsten mal kommts dann per drive by download und kostet 200 € etc.
nüchtern betrachtet ist das nun mal ein geschäft. setzt sich dieses modell durch, durch genügend zahlende nutzer, dann wird sich das halten und vermehren.
wichtiger ists erst mal, dass ihr alle, die ihr betroffen seit, ne anzeige macht, je wichtiger die polizei diese arbeit nimmt, desto höhere stellen arbeiten daran und desto mehr kompetenzen haben diese natürlich international.
was dann dabei helfen könnte die server die verwendet werden zu beschlagnamen etc.

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

@Marcu

Du hast aber auch ein bischen einen Dickschädel, oder? Das find ich prima, ich nämlich auch ;-) Ich hoffe, Du findest noch etwas raus, war heute leider wieder sehr eingespannt & würde aktuell auch gern weiter debuggen. In welche Datei schreibt er denn, diese 1kb im temp? Ich bin gespannt auf Neuigkeiten, auch wenn Sie negativ sein sollten. Es ist halt auch sehr interessant, zu verstehen wie die Dinger funktionieren. Good Luck!

@ThomasN
Ja, ich hatte auch erst gedacht, dass es sich um den alten handelt, aber später wird der Artikel eindeutiger und was da beschrieben wird, trifft auf unseren Kandidaten zu.

@RMC
Das Problem an diesem Vorschlag ist nicht unbedingt die Zahlung der 100€. Wenn sich damit wirklich etwas ableiten ließe, ok. Dem wird aber sehr sicher nicht so sein, denn bisher sieht es so aus, dass die Malware das Modell einer symmetrischen Verschlüsselung so zusagen in ein semi-asymmetrisches Modell überführt. Auf dem PC wird demnach ein Schlüssel generiert, der aus mehreren Teilen besteht. Mit diesem Schlüssel bzw. Ableitungen hiervon wird dann verschlüsselt und ein Teil des Keys an die C&C-Server übertragen, aber vermutlich nicht auf dem PC gespeichert. Prinzipiell könnten wir also auch herausbekommen, wie der Schlüssel selbst generiert wird und können sogar die Dateien auf einem Debugging-Rechner wieder entschlüsseln. Das Problem sind aber die Rechner, auf denen die Verschlüsselung schon durch ist, denn hier fehlt dann der Teilschlüssel, der zudem Zufallswerte enthalten kann, die sich nicht "zurückrechnen" lassen. Wenn der Trojaner also nicht den ganzen Schlüssel auf dem PC hinterlassen hat, war es das.

@markusg
Wie sah denn die Netzwerk-Kommunikation bei der alten (locked-...) Variante aus, hat der Trojaner da ähnlich agiert?

@all
Jemand aus der Schweiz anwesend? Weil ein whois horad-fo.com u.a. hier hin führt: 84.72.41.161.

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Kann mir bitte einer (min) 5 verschlüsselte (kleine) Dateien zukommen lassen?
Sofern möglich, wäre es auch hilfreich, die unverschlüsselten Dateien dazuzupacken!

Ich habe eine Idee bzgl. der Verschlüsselung, werde sie aber nur dann äußern, wenn ich sie bestätigen kann...
Bitte trotzdem keine Hoffnungen machen; sry

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Hallo Aphton,

ich habe beim Recherchieren eine Originialdatei und die dazugehörige verschlüsselte Datei noch gefunden, welche ich Dir hier zukommen lassen kann. Leider ist es eine persönliche Datei, die ich hier nicht posten möchte - kannst Du mir eine E-Mailadresse geben? Die verschlüsselte Datei (qtXqGdaqguLQdeGTAtfX) kann ich hier gar nicht 'hochladen', sie wird nicht 'erkannt', könnte sie höchsten zippen.

Es ist vom Fall her genau der neue Verschlüsselungstyp den ihr sucht. Ich habe ihn mir am 31.05.12 'eingefangen'. AVIRA hatte nichts gemeldet - erst am 01.06. wurde etwas erkannt - poste ich hier!

Der Trojaner hat alle Dateien 'hinter' dem Userverzeichnis meines Firmennamens (Excel, Word, jpg, etc. ...) verkryptet.
Unter http://www.kaspersky.com/downloads/free-antivirus-tools gibt es zwei neue Randsom 'Entkrypter' die leider für unseren Fall (noch) nicht funktionieren.

Malware Virus hatte bei mir den TROJAN.AGENT.RNGGen und TROJAN.FAKEAlert gemeldet. Ferner noch Hijack.Zones - poste Dir das Ding mal zu.

Ich seh' mal zu, daß ich noch ein paar Orginaldateien zu den verschlüsselten Dateien finde auf meinem Backupsystem - die schicke ich Dir ebenfalls per E-Mail zu.

Interessant ist, daß die verschlüsselte Datei die selbe Größe hat, selbiges Datum, jedoch eine Stunde 'älter' ist.
Übrigends - ich hatte die Systemwiderherstellung in Windows aktiviert. Es gab jedoch einen Wiederherstellungspunkt mehr auf meinem System!!!!!

Hab' mich selbst schon etwas an die Sache herangetastet und mal mit einem Debugger die Sache angesehen - allerdings gehen meine Programmiererfahrung auf die späten 80er zurück :-) - wenn Jemand hier erfolgreich ist, und ich meine geschäftlichen Daten wieder entkrypten kann, lass ich 'was springen an den Entwickler - das ist schon 'mal sicher!!

Grüße

RMC

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Liess 'mal meine Beiträge richtig, bevor Du so antwortest! (...auch nicht 'mal ansatzweise meine kostbare Zeit Wert, Dir überhaupt zu antworten!)

Danke

RMC

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Hallo Aphton,

also - habe noch sehr viele Orginaldateien auf meiner Backupplatte passend zu den verschlüsselten Dateien gefunden.

'Gerichtet' habe ich Dir jetzt eine ZIP mit div. WORD,EXCEL,JPG,PDF,DB, etc. Dateien.
Evtl. 'baut' sich die Verschlüsselung auf unterschiedliche Dateiarten unterschiedlich aus - deshalb mehrer Dateiformate.

Wie gesagt - es sind persönliche, geschäftliche Daten. Ich mache Dir eine entsprechend persönliche Nachricht hier im Forum mit meiner E-Mailadresse, damit Du mir Deine schicken kannst. Das Ergebnis posten wir dann anschließend wieder hier öffentlich - ist das okay?

Grüße

RMC

.....

Ach noch 'was - bei der Durchsicht von Orginal- zu Verschlüsselungsdateien ist mir aufgefallen, daß dies mit der unterschiedlichen Uhrzeit (eine Stunde älter bei der verschlüsselten Datei) doch nicht stimmt! Die Dateiproperties sind bei mir alle identisch!

Die Idee, daß bei unterschiedlichen Dateiformaten unterschiedlich verkryptet wird kam mir beim betrachten mit meinem Debugger - ich kann mich aber auch täuschen....

Grüße

RMC

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Führe doch einfach keine Dateien aus dann kannst dir sparen überhaupt was zu posten.
Dummheit schützt for Strafe nicht.

Ohh jetzt bekomme ich wieder was auf den Deckel.

gruss

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Du bist auf dem falschen Pfad - leider mit sehr agressivem Tonfall. Es ging bei den 100 EUR nicht darum, doch irgendwas "Lustiges" zu erhalten, sondern im Rahmen einer kontrollierten Maßnahme den Schlüssel zu dem eingangs genannten Problem zu erhalten.

Aus der Diskussion gewinne ich den Eindruck, dass die hier anwesenden haargenau wissen, was sie tun und womit sie es zutun haben. Es geht gewiss nicht um das leichtfertige Ausführen "irgendwelcher" Dateien.

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Ja.
Die IP 84.72.41.161. gehört gemäss whois zum Provider UPC Cablecom und bei horad-fo.com meldet whois einen eintrag in China.