Verschlüsselungs-Trojaner, Hilfe benötigt
 

Hallo Leute.

Vor ein paar Tagen ist ein neuer Verschlüsselungstrojaner aufgetaucht, der die ersten 12288 Bytes in Bildern und Dokumenten verschlüsselt. Zusätzlich wird der Dateiname umgewandelt.

Im Trojaner-Board sind einige Leute dabei, die Dateien auseinanderzunehmen, um eine Entschlüsselungsroutine zu finden.
Nun weiss ich, es gibt hier Profis, die sich damit bestens auskennen.
Vielleicht könnte sich der ein oder andere damit mal auseinandersetzen, um zur Lösung beizutragen.
Hier sind der Post, in dem alles zu den Details geschrieben steht.
http://www.trojaner-board.de/115183-...te-umlauf.html

Danke
Michael

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Es gibt wohl schon Tools diverser Antivirusherstellern

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Hallo Markus.

Ich hätte mehr Infos geben müssen, war wohl schon zu spät.


Du hast Recht, es gibt diverse Tools von diversen AV-Herstellern. Diese beziehen sich aber nur auf den Verschlüsselungstrojaner, der aus einer normalen "Datei.ext" eine Datei namens "locked-Datei.ext.yxwd" macht. Diese Variante war recht einfacht zu entschlüsseln, da jede Datei mit dem gleichen Schlüssel cryptiert wurde.

Die neue Variante geht rabiater vor. Zuerst mal wird jede Datei mit einem anderen Schlüssel verschlüsselt. Ich habe eine Testreihe mit ein und derselben Bilddatei vorgenommen. Die Datei, die mit unterschiedlichem Dateinamen in ein und demselben Verzeichnis lag, sowie als Kopie in verschiedenen Unterordnern, weist innerhalb der ersten 12288 Bytes keinerlei Ähnlichkeit auf (habe ich allerdings nur mit einem HEX-Editor per Auge verglichen). Dann wird die Datei umbenannt und zwar so: nvpeQsEEUTODXNVqyssQ oder stEQuUUQdUAOllvVqqts oder rVqodagODAGfyssuuaEd .....

Da im Moment nichtmal bekannt ist, ob sich die Dateien überhaupt jemals wieder herstellen lassen, wollte ich um Hilfe bitten.


Michael

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Wenn ich mal das Schlimmste annehme, dann geh ich davon aus, dass zu einer Zahlung aufgefordert wird, aber auch nach Zahlung sowieso keine Antwort kommt hinsichtlich einer Entschlüsselung.
In diesem Sinn könnten die Dateien beliebigst mit Zufallszahlen verschlüsselt/versehen sein. Es gibt dann nicht mal eine Entschlüsselung. Was möglicherweise dazu führt, dass die Betroffenen erst recht zahlen. Weil alle Bemühungen einer Entschlüsselung scheitern, man findet also keine Hilfe woanders.

Tja und solange die Rechnungen noch halbwegs einfach als Fake erkennbar sind, mag das alles noch gutgehen. Wenn ich mir vorstelle, dass da beispielsweise plötzlich Telekom-Rechnungen o.ä. gefaked werden, also was man üblicherweise jeden Monat ins Haus bekommt ...

Frage: es passiert erst etwas, wenn der Dateianhang geöffnet wird. Wie wird dann der Trojaner aktiv? Ist das dann sowas wie eine versteckte Dateierweiterung?

Ich will wieder zurück zum Papier im Büro !

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Die Verschlüsselungsroutine ist schwer zu finden. In der Virusdatei die ich habe, gibt es nichts was danach ausschaut. Ich vermute, dass der Virus die Verschlüsselungroutine noch irgendwann downloaded. Leider weiß ich noch nicht wie man das triggert. Ich gehe optimistisch davon aus, dass es so eine Routine gibt. Natürlich könnte auch lediglich Trash in die Dateien geschrieben worden sein :-( Aber so sind die Vorgängerversionen dieses Virus nicht geschrieben.

Die Version (60.928 Bytes) bei der die Entschlüsselungsroutinen versagen, hängt sich per Codeinjection in "ctfmon.exe" bei 0x7FF94D59 ein. Dann werden erstmal regedit, Taskmanager etc. unzugänglich gemacht und eine Cab-datei mit 6 Bildschirmmaskenbilder runtergeladen. Dann noch eine Textdatei in der Bla-bla Drohungen und Forderungen für den Fall von mehreren Cashcode-Fehleingaben steht. Aber eben kein Code mehr. Danach macht der Virus den Desktop dicht und zeigt seine Forderung.

Und an diesem Punkt hänge ich momentan. Die Verschlüsselung der Dateien will bei mir einfach nicht starten. Es gibt kein weiteres download mehr. Es geschieht nichts weiteres.

Mein Rechner erfüllt anscheinend nicht die geforderten Systemvorrausetzungen für diesen Virus :?

Falls da mal einer reinschauen will.... ich wäre für jede Idee oder Hinweis sehr dankbar!

Viele Grüße
Marcus

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Vermutlich erkennt die Schadsoftware einfach, dass du ihr einen Debugger angehangen hast und führt die Verschlüsselung dann nicht aus, um die Analyse zu erschweren. Was genau verwendest du für deine Analyse? OllyDbg?

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Hi Zacherl,

die Verschlüsselungroutine startet auch nicht wenn ich keinen Debugger am beobachten habe ... und startet nicht wenn ich mehrmals neustarte, mehrmals falsche Paysafecard codes eingeb oder im abgesicherten Modus starte.

Nichts tut sich... jemand auf "trojaner-Board.de" meinte dass die Verschlüsselung nur an Donnerstagen ausgeführt wird. Klingt seltsam für mich, aber an diesem Strohhalm versuche ich mich gerade.

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Also ich würde den Dateiinhalt einfach mit Müll überschreiben. Warum die Mühe machen eine Verschlüsselung zu implementieren? Das Geld habe ich ja.

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Dieser virus hat vorgaengerversionen deren verschluesselungsmethode aufgedeckt wurden. Bei den vorgaengern wurde tatsaechlich verschluesselt nicht einfach zerstoert. Darum die hoffnung dass es auch diesmal so ist.

Das problem ist , dass die verschluesselung und der virus zunehmend komplexer werden. In der Zahlungsaufforderung ist jetzt von 256bit Aes die Rede. :( Wenn das kein Bluff ist dann sieht es finster aus. :(

Aus sicht des virenprogrammierers mit langfristigem plan fuer sein geschaeftsmodell macht es auch sinn nicht zu zerstoeren. Wuerde es sich herumsprechen, dann wuerde sicher gar niemand mehr bezahlen.

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Hast du den Virus schon mal in einer Sandbox (sandboxie.com) laufen lassen?
Der Vorteil ist, dass du nachträglich jede veränderte Datei und jede Änderung in der Registry sehen kannst.
Klappt natürlich nur wenn der Virus nicht bemerkt, dass er in einer Sandbox läuft und keine Gegenmaßnahmen unternimmt.

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Kommt drauf an, wie der Schlüssel erzeugt wird.

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Ich bin auch der Meinung, dass es einen Schlüssel gibt. Es ist nur Business. Man kann einem so einen Virus 100 mal auf den Hals schicken und 100 mal kassieren. Wenn man aber den Kunden beim ersten mal vergrault, kann man nur ein mal kassieren.

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

@sx2008
Sandboxie! Hatte ich völlig vergessen. Werde ich heute abend sofort ausprobieren. Danke :-)


@cookie22
mittlerweile habe ich Referencen zu Microsofts CryptApi gefunden. CryptAquireContextA, CryptGetKey, CryptImportKey, usw.. :-( . AES-Verschluesselung ist anscheinend doch kein Bluff. Und viel falsch machen kann man bei der CryptApi nicht :-(

@Popov
>Man kann einem so einen Virus 100 mal auf den Hals schicken und 100 mal kassieren.

Eigentlich sollte man glauben, dass es höchstens 1mal klappt jemand reinzulegen. Aber du hast recht, ich habe mittlerweile jemand kennengelernt der sich innerhalb von 3 Tagen 2 Computer mit diesem Virus kaputt gemacht hat. :-( Die korrekte Nennung des Vor und Nachnamnes in den Mails ist neu (zumindest für mich) und verleitet schnell zum klicken.

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Wenn das nicht nur als falsche Fährte eingebaut ist, dann ist das doch nicht so schlecht.
Irgendwo muss der Schlüssel doch an die CryptApi übergeben werden.

Unmöglich wird das erst, wenn ein zufälliger Schlüssel generiert wird, der nicht mehr auf dem Rechner ist (unwahrscheinlich), oder wenn asymetrische Verschlüsselung genutzt wird.
Btw: Die Dateien sind genauso groß wie vorher?

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Hi Bug,

kein zufälliger Key. Das wäre zu aufwendig. Aber man könnte z.B den Username an den Server geben und damit irgendeine Keygeneratorfunktion füttern. Dann diesen Key an den Virus zurückgeben der damit Dateien per AES verschlüsselt.
Wenn man einen Paycode eingibt dann prüft die Gegenstelle anscheinend tatsächlich ob der Paycode korrekt ist - der Viruscode wartet auf das Ergebniss. Den Schlüssel bekommt man also nur wieder zu gesendet, wenn man die Paycodeprüfung besteht.

Verschlüsselt werden nur die ersten paar tausend Bytes einer Datei. Die Datei ändert Ihre Größe nicht. Das weiß ich aber nur vom Hörensagen, da dieser verflixte Virus bei mir immernoch nichts verschlüsselt.

Bisherige Erkenntnisse zum Trojaner
 

Hier meine bisherigen Erkenntnisse zum Trojaner:


Sorry an die Nicht-Computerleute wenn es etwas technisch wird.

Einfallstor war Rechnung2012[1].zip.vir md5=a385a8b3c3445a52400be54a1bb54e6e
Inhalt des Zip: Rechnung2012.pif 65536 Bytes md5=be4dd0c9fe78b6a3c3bf4f2750d52d6e
Weitere gemeldete datei gleichen Inhalts: nqqfoifwyj.pre.vir md5=be4dd0c9fe78b6a3c3bf4f2750d52d6e

Trojaner beseitigt mit Desinfec't 2011 mit allen Updates vom 18.5. + Systemwiederherstellung
Erkennung durch:
Avira: TR/Crypt.Gypikon.D.1 (nicht bei jedem Lauf erkannt!!)
Kaspersky: Trojan-Ransom.Win32.Gimemo.slv
ClamAV: W32.Trojan.Ransom-253
BitDefender: Trojan.Generic.KDV.625143
Windows Defender Offline: Trojan:Win32/Matsnu (Signaturen vom 19.5.12)

Avast meldet "Keine Bedrohung gefunden" (Signaturen vers 120515-1)

Wiederherstellen der zerstörten Dateien bisher erfolglos.

Beobachtungen:
Befall vermutlich nicht per Mail, sondern durch Besuch einer Webseite.
Der Trojaner ist höchstwahrscheinlich am Mi 16.5.2012 morgens um 7 Uhr auf den Win7-PC gekommen.
Darauf deutet das Zipfile in den Temporary Internet Files hin.
Zeit der Verschlüsselung vermutlich Mi 16.5.2012 am Vormittag.
Spricht gegen die Nur-Donnerstag-Theorie im delphipraxis.net-Forum (*).
Beschreibung der Benutzerin: Unbekannte Mails erhalten, aber nie geöffnet.
Seit ca. 9. Mai gelegentlich Excel-Files mit unsinnigem Inhalt, Rechner langsam, ein Mal Aufforderung, Excel upzudaten.
Zeitstempel der Verschlüsselten Directories: 16. Mai ca 8 Uhr.
16. Mai ca. 11 Uhr: Entdeckung, dass alle Dateien verschlüsselt sind, und Zahlungsaufforderung und Eingabe einer Fantasienummer.
Betriebssystem ist Win7 Home Premium mit Patches bis 8.9.2011, kein SP1

Dateinamen werden zu z.B. gursjjxrLNvfJTolaATNf
Datum und Länge der Originaldatei bleiben erhalten, nachgewiesen durch vereinzelte Backups von Benutzerdateien.
Mit Hexdump keine offensichtliche Trivialcodierung zu erkennen, ausser dass nach Hex3000 (12288) nicht mehr verschlüsselt wird.

Verschlüsselt D:/RECOVER, D:/ und vor Allem C:/Users incl. Subdirs
Einige Dateiendungen werden wohl ausgenommen, z.B. *.txt
Seltsam, bei einer absichtlichen Infizierung mit dem Trojaner wurde c:\Windosw\system32\taskmgr.exe gelöscht! Nicht reproduzierbar.
MP3s sind durch Umbennennen zu retten, denn die ersten 12 KB sind (fast) unbedeutend.
Office-Files sind eventuelle zu retten mit http://support.microsoft.com/kb/826864/de/

Testweise Wiederverseuchung, als Versuch, die Verschlüsselung an bekannten Files zu beobachten:
Befall reproduzierbar: Zahlungsaufforderung (wie im http://www.heise.de/security/meldung...n-1573945.html)
und bei falscher Nummerneingabe schwarzer Bildschirm mit der Meldung "Vielen Dank für die Zahlung ... Entschlüsselung ... mehrere Stunden ..."
Verschlüsselung nicht reproduzierbar. Es wurden keine weiteren Files verschlüsselt.
Randbedingung: keine Internetverbindung (zu riskant da mein Samba-Server verseucht werden könnte und mein Schtott-Firewallrouter keine DMZ hinbekommt).
Strg-Alt-Entf / Taskmanager / Datei / Neuer Task / explorer.exe:
Taskleiste kommt wieder, aber jedes geöffnete Fenster außer Taskmanager wird schwarz überdeckt. Systemwiederherstellung beseitigt das Problem.
Wiederverseuchung gelingt nur, wenn Rechnung2012.pif als exe umbenannt in einem schreibbaren Verzeichnis gestartet wird. Rechnung2012.pif löscht sich dabei selbst.

Fazit: Virenschutzprogramme bieten wohl keinen Schutz, einige erkennen die Bedrohung nicht einmal hinterher.
Einzige Rettung (außer Backup) wäre gewesen, beim Absturz nach öffnen des ZIPs oder sonstigem Ungewöhnlichn Verhalten der Rechnung den PC nicht mehr hochzufahren, sondern sofort Fachleute hinzuzuziehen. Aber wer macht das schon?


Meine Idee zum weiteren Vorgehen - leider fehlen mir die Mittel dazu: (Liest das hier jemand vom CCC oder von den Antiviren-Herstellern?)
1. Statisches reverse engineering des Trojaners,
2. Virus auf sauberes Testsystem loslassen und Netz-Aktivität beobachten, ob Code oder Keys nachgeladen werden.
Verschlüsselung live beobachten. Mit Debugger oder falls der Trojaner das merkt per Hardware. Ich habe schon live Leute gesehen die einen Logic-Analyzer an den Rechner gehängt haben und so einen Dongle-Code geknackt haben, so etwas geht wenn die Debugger und Hardwaretools zur Verfügung stehen - habe ich aber leider nicht.
Der Trojaner schafft die Verschlüsselung, also läuft die lokal am Rechner ab und muss zu beobachten sein.
3. Wenn es nicht bösartigerweise nur Zufallszahlen sind, woher kommt der seed der Codierung? Laut (*) werden gleichartige Dateien jedesmal anders verschlüsselt. Es ist unwahrscheinlich dass für jede Datei
ein eigener Schlüssel aus dem Netz geholt wird. Ich würde den seed lokal erzeugen, z.B. als hash aus Dateiname, Datum o.Ä.
4. Damit kann auch der Verdacht erhärtet / widerlegt werden, dass der Trojaner Zufallsdaten schreibt und gar nicht codiert.

Restaurieren gelöschter Dateien mit foremost unter Linux hat auch nicht viel gebracht. Die Hoffnung, dass die gelöschten Originaldateien vor Befall des Trojaners noch auffindbar sind hat nicht erfüllt.
Es gibt leider kaum Backups und keine Widerherstellungspunkte für die Benutzerdaten. Nicht schimpfen, ist nicht mein PC.


Google.de + metager.de mit der MD5 ergibt nur 2 nichtssagende Treffer.
Links zum Thema:
(*) hxx://www.delphipraxis.net/168380-verschluesselungs-trojaner-hilfe-benoetigt.html
hxxp://www.trojaner-board.de/115183-neue-verschluesselungs-trojaner-variante-umlauf-9.html
Windows Defender offline zeigt einen Link, der auch nichts neues bringt: hxxp://go.microsoft.com/fwlink/?linkid=142185&name=Trojan:Win32/Matsnu&threadid=2147652753




Nur der Vollständigkeit halber: weitere malware auf dem PC, die vielleicht ein Einfallstor war (eher unwahrscheinlich):
TR/Winlock.FB
Trojan-Downloader.Java.Agent.gr (aka Java.Trojan.Exploit.Bytverify.N)
EXP/JAVA.Niabil.Gen
PUA.Packed.Armadillo-1
PUA.Crypt.ScriptCryptor
PUA.Packed.PECompact-1
PUA.JS.Obfus-7
dazu noch einige Alarme bei PDFs


Vielleicht hilft es ja bei Gegenmaßnahmen.

mfg
Werner

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Wie kommt die Erweiterung .vir zustande?

Bei der Erweiterung .pif ist ja festzustellen, dass Windows dieselbige ja standardmässig ausblendet. Ein Doppelklick auf so eine Datei im Email-Anhang kann Böses bewirken. Und man sieht ja nicht, dass es eine pif-Datei ist. Wenn sie xyz.pdf.pif heisst, sieht man eben xyz.pdf.

Gegenmassnahme: mit dem Registrierungseditor unter Computer\HKEY_CLASSES_ROOT\piffile den Schlüssel NeverShowExt in AlwaysShowExt umbenamsen.

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Und warum nicht gleich die entsprechende Option für alle Dateitypen in den Optionen des Explorers aktivieren? :roll:

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Weil die Extension von PIFs - genau wie die von LNKs - trotzdem ausgeblendet bleiben, auch wenn sonst alle Extensions angezeigt werden.

MfG Dalai

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Wenn NeverShowExt vorhanden, dann wird nie angezeigt, egal was in den Exploreroptionen steht.
Wenn AlwaysShowExt vorhanden, dann wird immer angezeigt, egal was in den Exploreroptionen steht.
Ansonsten das was in den Exploreroptionen steht.

Mein Thunderbird zeigt die Endungen aber immer an ... den interessiert die Explorereinstellungen nicht.
Und beim Speichern zeigt auch der Feuerfuchs alle endungen an.
Ansonsten laß ich PIF und Co. ausgeblendet, denn sonst sieht es auf dem Desktop ganz schlimm aus.

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Hi Werner

Der Virus um den ich mich kümmere wird in einer zipdatei per Mail zugestellt.
Dieser Virus verschlüsselt die Dateien genau so wie du beschrieben hast.

Der Virus macht den Taskmanager, regedit und msconfig kaputt. Und unterbindet mit Policy und Registryeinträge Rettungsversuche. Außerdem löscht er Einträge in der Registry die für den abgesicherten Startmodus notwendig sind. Deshalb die Bluescreens im abgesicherten Modus.

Dass sich die Zip-Datei im Temp Verzeichnis befindet könnte bedeuten, dass der Benutzer die ZipDatei angeklickt hat und der Mailer die zum Entpacken da reingeschrieben hat. Von einer Drive-By-Infektion mit diesem Virus habe ich bisher noch nicht gelesen.

Die Dateien sind verschlüsselt und nicht zerstört. Zuviel deutet im Code darauf hin und es wäre auch nicht der Stil des Virenprogrammierers.

Im Virencode gibt es nicht die geringsten Hinweise darauf, dass auf Debuggeranwesenheit getestet wird. Auch auf virtuelle Testumgebungen wird nichts geprüft. Zumindest sehe ich da nichts und ich bin sehr aufmerksam. Der Virus läßt sich leicht mit einem Remotedebugger anschauen und steuern. Naja ... nicht ganz so leicht, den ich kann die Verschlüsselung nicht anstoßen und beobachten. Diese Puzzlestück fehlt mir leider. Irgendwo muss da eine Callbackfunktion eingehängt sein, die bei mir nicht funktioniert. Wenn ich den Virus ausführe, dann macht der alles wie bei allen anderen auch, aber anstatt dann mit dem Verschlüsseln zu beginnen idle't er dann nur vor sich hin.

Die Frage dreht sich nur noch darum, wie man wieder an seinen Schlüssel kommt. Und ob der Schlüssel noch auf dem infizierten Rechner ist oder dieser außerhalb berechnet wird. ( @cookie22 - du hast es auf den Punkt gebracht :D ) Selbst wenn zweiteres der Fall wäre hätte man noch Chancen. Man müsste auf einem bereinigten Rechner (mit verschlüsselten Dateien) ein Programm starten welches eine Infektion simuliert, dann würde die Gegenstelle den Key erneut senden und man könnte dann den zum Entschlüsseln benutzen. Das wäre ganz und gar nicht so schwer, wenn ich endlich mal zuschauen könnte wie die Verschlüsselung stattfindet.

Jetzt probiere ich es mal mit Sandybox.

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

@Marcu:
Auf was für einem System testest du die Verschlüsselung denn? Auf einem physischen Rechner oder in einem virtualisierten System? Fals es sich um dein Originalsystem handelt, könnte der Virus irgendwo einen Wert gespeichert haben, der die erneute Verschlüsselung verhindert. Hier wäre es wohl am sinnvollsten den Virus auf einer VM zu analysieren.

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Bisher habe ich VMs von Vmware und Microsoft benutzt. Ein Versuch durch mehrmaliges Ausführung des Virencodes die Verschlüsselung anzustoßen habe ich zwar auch versucht, aber hat nichts gebracht. Sonst starte ich mit einer virenfreien XP+Sp3 Installation.
Jetzt fällt mir gerade auf, dass bei meiner für die Tests benutzen XP-Installation die Updates nach erscheinen von Sp3 nicht eingespielt sind. Da gab es mittlerweile eine sehr große Anzahl von Updates - eine Menge Code der sich geändert hat. Vielleicht liegt es ja daran! Das ist auf jedenfall noch ein Versuch wert.

Ansonsten werde ich auf dem Rechner meiner Tochter jetzt gleich Sandboxie und den Virus installieren (nachdem das Clonen der Festplatte fertig ist).

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

In meiner VirtualBox will der Bösewicht nun schon seit drei Tagen keine Dateien mehr verschlüsseln. Davor hat er allerdings auch nicht jedesmal, sondern nur alle 2-4 Versuche die Dateien bearbeitet. Aktiviert wird er trotzalledem.
Wenn man sich die Anzahl der Betroffenen im Trojaner-Board-Forum ansieht, könnte es aber auch vielleicht mit der Verbreitung zu tun haben, wenn man evtl. davon ausgeht, dass er einen Schlüssel online runterlädt.
Vielleicht kommen die Server in China nicht hinterher. :?

In der VirtualBox läuft XP Pro. SP3 mit allen Updates.

Kommt bei euch eigentlich auch diese Fehlermeldung?
Anhang 36939

Michael

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Hi Michael

Ich habe dein erstes Posting gelesen und jetzt bist du der Verursacher von weiteren 100 grauen Haaren auf meinem Kopf :D ;-)

Das ist endlich ein Lichtblick, dass du es wenigstens einmal geschafft hast die Verschlüsselung in einer VM auszuführen! Ich habe auch schon mit dem Gedanken gespielt, dass die irgendwie meine IP loggen und an mich keinen Key ausliefern. Aber wenigstens abundzu - wenigstens einmal sollte es doch auch mir gelingen einen Key zu ergattern. Ich habe seit gestern mittag vor jedem Versuch meinen Router neu einwählen lassen.
Vielleicht sind die echt überlastet oder denen ist der erreichte Schaden groß genug und die haben die Keyauslieferung gestoppt? Gibt es heute noch Neuinfektionen MIT verschlüsselten Daten? Ich geh nachher mal auf dem Trojaner-board und schau nach.

Wenn der Key serverseitig generiert wird und die jetzt keine Keys mehr ausliefern, dann können die bereits Betroffenen ihre Daten vergessen. Keine Chance mehr :-(

vg Marcus


P.s.: Du gehörst zu den Trojaner-Board Helfern, nicht wahr? Echt coole Leute! Bei der Gelegenheit aber noch ein kleiner Hinweis: Die empfohlenen Reparaturanweisungen reichen noch nicht ganz aus um den Rechner wieder 100%ig herzustellen. Der Virus löscht Teile der Registry um den abgesicherten Startmodus funktionsunfähig zu machen. Da müßte man vielleicht noch die Betroffenen darauf hinweisen.

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Hallo zusammen.

@Marcu:
> .. idlet vor sich hin ....
War bei mir ja auch so, als ich versucht habe neue Dateien zu verschlüsseln.
Vielleicht läuft der nur 1 Mal und setzt dann ein Flag, zB in der Registry, oder er legt sich ein Lockfile an. Vielleicht muss man den Virus auf ein frisches System loslassen, aber deine Beschreibung klingt so als hättest du genau das getan. Bist du sicher dass er die virtuelle Umgebung nicht bemerkt? Du könntest mal Virtualbox probieren. Das geht auch mit VMware-Diskimages ohne umwandeln.
Kann es sein dass es nur einen Schlüssel für alle infizierten Rechner gibt? Wie soll der beim Entschlüsseln den Rechner wiedererkennen bei dynamischen IPs? Oder legt der eine art coockie an? Lädt der Trojaner eigentlich code nach? Und mit welchem Programm würde der entschlüsseln, oder ist der unlock-code im Trojaner selbst enthalten?
Bei dem Win7-System das ich dahatte hatte übrigens der abgesicherte Modus funktioniert. Und meistens konnte ich im Normalmode den taskmgr starten und der wurde sauber angezeigt.
Noch eine Idee, vielleicht muss die Systemzeit auf letzten Mittwoch oder Donnerstag zurückgedreht werden - falls er das nicht via Internet verifiziert.
Viel Erfolg beim weiteren Debuggen!
> ... drive by...
Die Benutzerin liest Mails oft om Webbrowser, das würde es erklären.

@Michael:
Diese Fehlermeldung hatte ich auch (so aus dem Kopf heraus) als ich den Trojaner auf C:\ gestartet habe. Aif D:\ kam kein Fehler, vermutlich weil ich das Schreibrechte hatte, und da hat dei Neuinfektion auch geklappt.


mfg Werner

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Ja. Ich infiziere jedesmal einen virenfreien Snaphot aufs Neue.

Virtualbox habe ich auch versucht. Aber trotzdem hat keine Verschlüsselung gestartet,
Ich bin mir sehr sicher, dass der Code nicht auf VM-Umgebung testet. Wenn ich rausfinden wollte, ob mein Programm in einer Vm läuft, dann würde ich auf die Existenz irgendeines VM-typischen Treibers oder Hardware prüfen oder wenigstens schauen ob die "Vmware Tools" oder so etwas in dieser Art laufen. Von so einem Test gibt es keine Spur.

DAS wäre wirklich schön. Es gibt da zwei Varianten denke ich.
1. Der Schlüssel befindet sich noch auf den infizierten Rechnern. Wenn es so ist und ich nur einmal sehe wo der Schlüssel ist und an die CryptApi gereicht wird, dann haben alle Ihre Daten wieder zurück.

2. Der Schlüssel wird außerhalb des Rechners berechnet und an den Virus zur Verschluesselung übertragen. So hätte ich es an Stelle des Virenprogrammieres gemacht. Der Programieraufwand ist nur wenig größer.
Wenn tatsächlich AES eingesetzt wird - also zum verschlüsseln und entschlüsseln der gleich key benutzt wird, dann würde ich versuchen dem Server eine Infektion vorzugaukeln um in den Besitz des Schlüssels zu kommen. Damit könnte man dann bereits verschlüsselte Dateien wieder entschlüsseln.

Ich habe auf alle benutzen Funktionen der CryptApi Breakpoints gesetzt (und auch auf Readfile/Writefile - damit konnte ich sehen welche Dateien bearbeitet werden). Sobald der Debugger anspringt kann ich leicht rausfinden wo der Key herkommt. Deswegen mühe ich mich auch so sehr ab die Verschlüsselungsroutine anzustoßen. Ansonsten bliebe nur ein komplette Analyse und ich habe nur noch morgen einen letzten Tag Urlaub :-(


Da habe ich mich falsch ausgedrückt. Der Virus hat mit IPs und Cookies nichts am Hut. Ich habe mir gestern gedacht, dass meine vielen wiederholten Infizierungen und Debuggingversuche aufgefallen sind und man deswegen an Rechner unter meiner IP keine Keys zustellt. Aber da war ich schon sehr müde und da neige ich dann zur ausgeprägten Sehnsucht nach Aluhüten. Jetzt bin ich wieder wacher und halte das für sehr unwahrscheinlich.

Der Lock und Unlockcode bzw. die Apiaufrufe zur CryptApi sind bereits im Code. Weiterer Code wird bisher nicht nachgeladen - lediglich Bilder und eine Textdatei.

Stimmt! Daran habe ich gar nicht gedacht. Der Server muß ja nur auf seine eigene Uhr schauen um eine Schlüsselauslieferung zu steuern. Ich konnte mit verstellen der Systemzeit jedenfalls nichts erreichen. Habe ich ausgiebig versucht.

Vielen Dank :-)

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Hallo Marcus.

Da könnte ich eine unbenutzte Tube für das (graue) Haar ab 40 anbieten, welches ich als Club-Willkommensgeschenk bekam. :wink:

Ich habe die VM sogar mehrfach zurückgesetzt (das ist echt ne coole Sache) und ihn dann mehrfach starten können. Da konnte ich dann per Regedit und Remote-Zugriff die Registry komplett exportieren. Ich lad die mal mit hoch, 1x vorher und 2x hinterher zum Vergleichen.
Dazu dann auch noch die ASCII-Dateien aus zwei Versuchen, die ich ihm zum Fraß anbot.

Nach den ganzen Postings die hinzugekommen sind, scheint der Bösewicht noch aktiv zu sein.
Wenn er bei uns nicht mehr verschlüsselt, hat er vielleicht irgendwas vom Rechner gesendet, gibts da evtl. was vom BIOS, Seriennummer, ?, ?, ???


Ne, aber ich konnte mich schon einige Male schlau lesen in den letzten Jahren. Und als dann Anfang Mai erst die locked-Version und kurze Zeit später die "nvpeQsEEUTODXNVqyssQ"-Variante auf einem Kundenrechner daherkam, war das der Moment, wo ich dachte, dass es Sinn macht, zwei Profi-Boards, das Trojaner- und das Delphi-Board miteinander zu verbinden.


Michael

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Hallo miteinander,

Microsoft hat ein paar Infos zum Trojaner, aber keine Rede von Verschlüsselung von Benutzerdaten:
http://www.microsoft.com/security/po...did=2147652753

Google-Suche nach der md5-Prüfsumme ergibt jetzt 5 Treffer, wenig Informatives, ein Verweis auf forum.botfrei.de/showthread.php?2848-bka-virus

@Moderator:
Macht es Sinn, heise.de zu informieren? Vielleicht reagieren die auf Mails von Board-Moderatoren. Da der Trojaner noch aktiv ist, sollten möglichst viele User gewarnt werden denke ich.

mfg
Werner

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Hallo zusammen ,

Ich lese sehr gespannt das Board und bewundere die debugversuche eines Trojaners .
Ich habe mitlerweile den 2. Verseuchten Rechner mit der Variante "vXoUpjqDongtDEngOtpo" einen mit XP und einem mit Vista.
Beim überprüfen der Systeme habe ich festgestellt, zum Zeitpunkt des Schreiben der Datei auf den Destop "ACHTUNG-LESEN.TXT" wurden im jeweiligen TempOrdner Dateien angelegt die vielleicht was mit der verschlüsselung zu tun haben .

Trojaner 18.05.2012
File Name : Zahlschein-17.05.2012.pif
File Size : 34477 byte
File Type : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5 : 78ee9c318793adb145a5abdc07db8f1b
SHA1 : 15479bf89d26c2a619bb8b96363367920bd8727b
Online report : http://r.virscan.org/919f330073b829119035561df23766ca


1. Datei "Desk.$00" Inhalt "ACHTUNG-LESEN.txt"
2. Datei "1C32CBF5464548430000FC42" 1048 Byte
3. Datei "1C32CBF5464548430000.$02" Crypt oder Schlüssel für Decodierung ? ca. 5MB

Dies ist bei beiden System so nur mit einer zeitlichen Differez 17.36 Uhr u. 16.51 18.05.2012 wohl die Aktivirung des Schädlings.
Die 3. Datei hat eine Zeitdiff. von ca 5 Min zur 1. was so aussieht wie die Dauer für die verschlüsselung der Dateien.

So nun das Schlimmste Heute Morgen kommen schon wieder neue Mails mit geänderten Trojanern .
Gerneration 3 ??? Bitte nicht. Der von heute ist (NATÜRLICH NICHT) aktiviert worden und sieht laut Code nach Visual-Basic aus. Er kommt per Mail als Passwortgeschütztes Zip und in der Mail geben die dann dass PW zum entpacken mit.

Neue Version ? : 22.05.2012
File Name : Rechnung.doc .pif
File Size : 65536 byte
File Type : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5 : d681dab3da9d90eed18e2e108865df38
SHA1 : a2573de8c59ed0087ad321048aa761cb1b05a89a
Online report : http://r.virscan.org/6e7595e14125014bcd50c96308c1e4be


Bei Interesse könnte ich diese Gepackt m. PW anhängen
Grüsse Rico

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

@Marcu
wie alt ist deine trojaner version?
du benötigst dringend eine, die zu einem funktionierendem server verbindet, sonst wird das nichts mit der verschlüsselung.
da ich nicht genau weis ob ich hier solche infos anhängen darf, sende ich dir mal ein joebox report mit whireshark report + dropper als private nachicht

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Kannst mir bitte auch den aktuellen schicken, meine VM will gefüttert werden.

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Hi Markus,

ja. ich habe die falsche Version. Heute morgen habe ich mit der Rückübersetzung begonnen weil bei mir der Virus nicht richtig funktionierte und seit heute nachmittag denke ich darüber nach ob ich Kopfschlagen an der nächsten Bordsteinkante spielen soll.

Im falschen Virus habe ich die Funktion gefunden, welche rekursiv den Verzeichnissbaum durchwandert und verschlüsselt. Die Dateinamen werden jedoch ganz anders gebildet als ich es erwartet habe. Da wird eine Erweiterung angehängt die mit folgender Funktion berechnet wird.

Daran habe ich dann endlich gemerkt, dass ich am falschen Virus arbeite.

Ich ringe noch um meine Fassung. Wenn ich die wiederhabe, dann lade ich mir den Virus runter den du zur Verfügung stellst. Danke!

Viele Grüße an Dich und dein Team

Noch etwas nebenbei. Die rekursive Funktion für das Durchwandern eines Verzeichnisbaums hat der Virenprogrammierer per cut und paste nochmal in seinen Virus eingefügt. Dann hat er den Aufruf der Verschlüsselungsroutine mit dem Aufruf einer Dateilöschroutine ersetzt.

Eine solche Codeverdoppelung sollte man vermeiden und stattdessen eine generische Funktion schreiben, der man dann die gewünschte Aktionsfunktion per Pointer übergibt. Der Virenprogrammierer ist also ein sehr mittelmäßiger Programmierer und hat keinen guten Stil.

ich kommentiere eigentlich niemals den Programmierstil eines anderen auf negative Weise. Aber diesmal mach Ich eine einzige Ausnahme. :-D

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

hi,

erst mal danke, dass ihr euch überhaupt daran macht, eine lösung zu finden.
es gibt verschiedene version der malware.

älteste version:
datei name wird geendert:
locked.dateiname.normale endung.zufällige vierer endung.
da wird dann eine rc4 verschlüsselung genutzt.
es gibt wohl auch eine version mit 6 zufalls zeichen am ende, die hab ich persönlich aber nie gesehen.
seit version 1.4
wird die datei dann zufällig benannt, wobei interessant ist, dass bei einigen nutzern angeblich ein anhängen der normalen endung reicht, um die datei öffnen zu können.
version 1.5 verschlüsselt nur noch, ohne irgend eine endung hinzuzufügen.
bei beiden ist mir die genutzte verschlüsselung nicht bekannt.

wenn sie nicht grad wieder versuchen, das postfach, über das wir im trojaner board die malware mails einsammeln, mit 100000 spams zu fluten, kann ich euch immer die neuesten dropper zukommen lassen.
wichtig ist, wenn ihr testet und die verschlüsselung erreichen wollt, aktieve internet verbindung und ein funktionierender cc server sind nötig.

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Hallo,

@markusg:

> ... wobei interessant ist, dass bei einigen nutzern angeblich ein anhängen der normalen endung reicht, um die atei öffnen zu können.

Mögliche Erklärung: es handelt sich um mp3s, die kratzt es wenig wenn die ersten 12 KB fehlen, weil sich der decoder wieder auf den Datenstrom aufsynchronisiert.

Auch von mir Danke an alle, die hier debuggen und den Code versuchen zu knacken.

mfg
Werner

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

danke für diese info.

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Ich würde mir das Ganze auch mal anschauen.

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

@BlackSeven
ein paar dropper sind raus an dich.

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

:thumb: Danke.

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

wenn mehr gebraucht wird, bescheid geben