AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Hallo in die Runde,

ohne mich selbst in die Sonne stellen zu wollen, will ich mal die Hintergründe beleuchten, wie man sich als notorischer Löscher unerbetener e-mails diese Rakete einfängt. Wer hier die ja durchaus zutreffende Leier spielt, daß man aufpassen solle,
a) ist ein sehr heller Kopf, was ihm vergönnt ist,
b) wurde vom Trojanerversender möglicherweise bis dato noch nicht bedacht,
c) hat die Qualität dieser Attacke noch nicht richtig erfaßt,
d) blendet bei der Betrachtung andere Formen von Beschaffungskriminalität aus.

Insofern muß man sich überlegen, wie man mit der Geschichte umgeht. Einfache Lösungen helfen nicht weiter, wenn - wie wir hier sehen - selbst Fachleute nicht davor gefeit sind, in die Falle zu tappen. Im Gegenteil, sie sorgen dafür, daß die Opfer sich nicht um Hilfe bemühen (schön doof, selbst schuld - ist das Letzte, was man braucht) und daher denjenigen, die an dem Problem forschen, aktuelle Entwicklungen vorenthalten werden.

Bei mir war es so, daß wir kurz nach Mitternacht einen Feuerwehreinsatz im Haus hatten und ich aus beruflichen Gründen deswegen noch nach 01:00 am Rechner saß um bestimmte Recherchen zu machen.
In meinem Spamfilter landen etwa 60% mails, die gebraucht (aber nicht erwartet) werden, es ist also keine Option, den unbesehen auszukippen.

Die mail mit dem Trojaner ist zwar gespickt mit Schreib- und sachlichen Fehlern, aber der Adressat wird mit seinem vollkommen korrekt geschriebenen Namen höchstpersönlich angesprochen. Das ist bei mir bei von mir völlig fremden Leuten normal, also schon mal kein Grund, deswegen die mail zu killen.
Deren Inhalt läßt auf einen Fall von Identitätsklau schließen, also eine Geschichte, die mehrfach durch die Medien lief und ausweislich der Erfahrungen Betroffener nicht einfach durch Aussitzen aus der Welt geschafft werden kann, sofern einem gehäufte Schufa-Einträge und Zivilrechtsprozesse nicht am Allerwertesten vorbeigehen. Man avisierte eine angeblich bestellte Lieferung und Belastung einer hohen vierstelligen Summe innerhalb der nächsten Tage. Daß ich mich um die Entgegennahme der Ware nicht würde kümmern müssen, sondern daß das andere erledigen, die mir dafür die Rechnung überlassen, ist derweil Allgemeingut. Es liegt also von vornherein sehr nahe, Strafanzeige zu erstatten bzw. anwaltliche Hilfe in Anspruch zu nehmen, aber wenn man nicht nur eine Verfahrenseinstellung bzw. eine Honorarrechnung haben will, sollte man dem Gegenüber mehr als nur "ich hab' da eine Bestellbestätigung und ein Abbuchungsavis gekriegt, weiß aber nicht, worum es geht" vortragen können. Was soll der arme Polizeibeamte oder der Anwalt damit schon anfangen, der fragt logischerweise nach dem Inhalt des Schreibens.

Was ihr den Leuten (der vom Vorposter genannten Sekretärin bspw.) durchaus vorwerfen könnt ist, nicht gerafft zu haben, daß das da eine zip-Datei ist. Nur fliegen hier täglich die unsinnigsten Varianten rein - eine dankenswerterweise weitergeleitete mail bspw., noch eben nicht als Klartext in der Weiterleitungsmail, sondern als Dateianhang zu solcher - und andere Dinge, die einem immer beim ersten Mal neu sind. Wer auf die aus altruistischen Motiven weitergereichten Terminhinweise keinen Wert legt, kann die Absender darob anscheißen - und sich ein anderes Betätigungsfeld suchen.

Quintessenz: ich schreibe diesen Beitrag von einem Rechner, dessen Platte ich heute früh ausgebaut habe (stelle sie zu Forschungszwecken gerne einem diskret vorgehenden Mitglied dieses Boards per persönlicher Übergabe zur Verfügung), der von einer in der Linux-Welt enthaltenen Live-DVD gebootet wurde und derweil (vom RAM abgesehen) keinen anderen Massespeicher hat.

Beste Grüße und viel Erfolg noch,
Peter

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Klingt ganz gut, nur frage ich mich jetzt, was ihr einem Anwender antwortet, der Euch anruft, daß er jetzt vor der Zahlungsaufforderung sitzt und der PC nichts anderes mehr tut, als ihn den Code eingeben zu lassen oder den Taskmanager aufzurufen, der lediglich jede Menge laufender Prozesse, aber keine Anwendung anzeigt, die man beenden könnte? Die meisten Leute werden schon das Ding gar nicht kennen oder mit ihm etwas anfangen können. Ergo wird wohl in 99,9Periode von 100 Fällen die Kiste ausgeschaltet.

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

@Blup

Völlig richtig :-) Das "xor eax,edx" muss da natürlich rein. Danke :-)

Ich habe es in Delphi 5 getestet und gemerkt, dass es dann immer noch nicht so ganz klappt. Delphi 5 fügt vor der Rückkehr aus der Funktion ein "mov eax,edx" ein und überschriebt das Ergebnis der XOR- Operation. Ich geh jetzt lieber den Weg des geringsten Widerstands und habe den Funktionsaufruf ganz aufgelöst. So sollte es jetzt mit jeder Delphiversion klappen.
Das ist echt schade :-( Ich hatte so ein bisschen das Gefühl, dass das sehr schwierig wird, aber trotzdem die Hoffnung nicht ganz aufgegeben. :-( Klasse dass du es versucht hast :-)

@ewhiz

eine Datei mit der Endung ".$$0" speichert die Version die ich untersucht habe (1.150.1) mit Gewissheit nie ab. Da liegt eine andere - neuere Version vor, die etwas anders macht als ich es kenne.
Ich bekomme bald eine aktuelle Version von Markus - dann werde ich danach suchen. Wird interessant werden die neue mit einer älteren Version zu vergleichen und zu sehen was der Virenprogrammierer als verbesserungswürdig ansieht.

@HofMar
Die Versionsnummer ist bestimmt eine wichtige Information, wenn man sich mit diesem Trojaner beschäftigt und wird in Zukunft sicher noch wichtiger, da der Erpresser den Virus weiterentwickelt. Man müsste den Code der in ctfmon injected wird nach der Versionsnummer durchsuchen die bei der Internetkommunikation gesendet wird. Dieser Code steht in verschlüsselter Form in der Trojanerdatei. Ist also ein ganz hübsches Stück Arbeit, aber die Mühe auf jeden Fall wert. Falls mir keiner zuvorkommt, werde ich mich nächste Woche damit beschäftigen.


@pcnberlin
Danke, Super, dass du noch dabei bist! :-)

VG Marcu

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

@ Marcu: habe hier 3 neuere Versionen im "Giftschrank" vom 8.06 , 12.06 und von gestern. Wenn du sie haben möchtest, PN reicht.

Steht der Versionscode nicht im GET Parameter des Links den der Virus aufruft? Müsste dann im Klartext zu sehen sein mit Wireshark wenn der Virus nach hause telefoniert.

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

@bombinho & Dalai:
Nur kurz: Danke, für die verständige Antwort, die ich wohl bestätigen kann:
In der Tat handelt es sich um ein Altlaufwerk vom Vorrechner (Netzteilbrand...), dort war xp drauf. Hatte mir seinerzeit stumpf die Rechte der (alle meine) Benutzerkonten angeeignet und danach das System nur grob ausgekehrt.

Ok, hab zwar sicher nicht an Magie gedacht, aber zugegeben - wohl von einem Strohhalm geträumt.

Wenn die Dateien so 'gelungen' verschlüsselt werden können, dann hoff ich mal stark, dass wenigstens die teuren Nachrichtendienste Mittel haben, Klartext erzeugen zu können. Sonst müssen die am Ende noch selbst texten.

Jedenfalls vielen Dank! Drücke Daumen!

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

---

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Die Erpresser schicken jede Woche eine neue Version. :(

Bitte schick mir alle drei Versionen. Vielen Dank Addi :-)

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

@deraddi
Genau an diesen Versionscode habe ich gedacht. Es wäre schön wenn man an diesen Versionscode
aus der Trojanerdatei schnell rauslesen könnte ohne dass man die Datei ausführt.

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

ich werf mal nachher die VM mit Wireshark an, mal sehen wie es am schnellsten geht.

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

In Bezug auf die Banken sind die Schweizer nicht schlechter als andere Länder. Aber es ist schon klar, dass man zum eigenen Vorteil die anderen zu vernichten versucht.

Gehe ich recht, dass mit CC "Cablecom" gemeint ist?
Wenn ja, handelt es sich hier um einen grossen Provider und ob hier ein Hacken Sinn macht, dürfte fraglich sein. Die Variante über die Polizei ist selbstverständlich auch in der Schweiz möglich.

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Wohl eher Command and Control (Server).

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Wieder was dazugelernt :P

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Hallo Marcu,
Nicht alle Versionen injectieren sich in der ctfmon. Meine Version mit der $$0-Datei machte das nicht!

Aber Du hast schon Recht, es wäre ratsam ein Tools zu haben, welches die Versionsnummer aus dem schadhaften Code direkt auslesen kann ohne das der Code ausgeführt werden muß.

Gruß Martin

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Mit Wireshark an sich kein großes Problem in der VM den Link zu finden. Aber in der EXE wüsste ich jetzt nicht wie man das schnell extrahieren kann. Komischerweise stürzt W32Disasm in der VM ab nachdem ich den Virus ausgeführt habe und dann ein Exemplar von ihm öffnen will...

2.000.11 ist die letzte, versucht sich nun hiermit zu verbinden:

http://www.robtex.com/dns/weusa-list.com.html#shared

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Hallo zusammen!

Ein Freund von mir hatte ebenfalls Probleme mit diesem Virus. Allerdings stellte sich sein Problem noch etwas anders dar, als es hier überwiegend geschildert wird. Bei dem Rechner handelt es sich um einen ca. 8 Jahre alten IBM ThinkPad (lenovo 60) Centrino Duo, mit Windows XP Professional SP3.

Nach dem Boot-Vorgang erscheint normal die Login-Maske und fragt nach dem Passwort. Nachdem dieses eingegeben wurde, erscheint für etwa 1 Sekunde das Hintergrundbild, gelegentlich auch noch die Desktop-Icons, dann wird der Bildschirm schwarz und es erscheint das hier im Thema vorgestellte Bild der gefälschten Warnmeldung und der Zahlungsaufforderung. Vom Desktop ist nichts zu sehen.

Die Tastenkombination strg-alt-entf beseitigt den Trojaner-Bildschirm und führt zum klassischen XP-Menü auf schwarzem Hintergrund, das unter anderem die Schaltfläche zum Herunterfahren beinhaltet. Die Schaltfläche zum Aufrufen des Task-Managers ist ausgegraut. Der Task-Manager kann nicht aufgerufen werden. Wird die Schaltfläche Herunterfahren aktiviert, dann gelangt man kurzzeitig auf den Desktop. Keines der Icons scheint verschlüsselt zu sein. Es erscheinen diverse Medlungen, dass Prozesse nicht reagieren und zwangsweise beendet werden. Während dieses Vorgangs ist es nicht möglich irgendein Programm noch auszuführen. Der Computer fährt schließlich herunter.

Der Computer verfügt über ein eigenes "Rescue and Recovery 3" System, nach eigener Angabe basierend auf ThinkVantage Technologie. Dieses kann während des Bootvorgangs mit dem blauen ThinkVantage-Button aufgerufen werden, eine Besonderheit des Computerkeyboards. Nachdem mir die hier geforderten Maßnahmen wie OLT.EXE oder gar die Installation bestimmter Antivirenprogramme aufgrund der Sperrung des Desktop durch den Trojaner nicht möglich war, habe ich dieses Programm während des boot-Vorgangs gestartet. Hier konnte ich Zugriff auf das Dateisystem nehmen. Die Dateien waren nicht umbenannt worden. Es war auch möglich, von den Dateien im Rahmen des Programms eine Sicherung anzulegen. Allerdings war es nicht möglich, die Dateien auf einem UB-Stick zu speichern oder gar auf eine CD zu brennen, obwohl die Hilfe dieses Programms diese Möglichkeiten explizit nannte. Die Dateien wurden wohl auf einer internen Partition gespeichert. Ich war mir zu diesem Zeitpunkt noch nicht sicher, ob die Dateien nun verschlüsselt sind oder nicht, war aber insofern vorsichtig optimistisch, weil das Programm sie kopieren konnte.

Ich besorgte mir schließlich von einem Bekannten, der in der EDV-Betreuung eines Unternehmens arbeitet, eine Windows XP-Boot-CD. Mit dieser ließ sich das System zunächst auch starten. Tatsächlich erschien der Trojanerbildschirm nach dem Einloggen zunächst nicht. Das System arbeitete aber sehr langsam. Der USB-Stick konnte gelesen werden, allerdings nach etwa einer Minute erschien der Trojanerbildschirm. Damit war ein Arbeiten auf dem Desktop nicht mehr möglich. Neustarts auch mit der Boot-CD brachten jetzt immer den Trojanerbildschirm von Anfang an.

Daher startete ich einen neuen Versuch mit einer im Internet verfügbaren Linux SystemrecoveryCD, die von CHIP online angeboten wird. Ein Boot mit dieser CD war jedoch nicht möglich. Die CD führte zu einem Black-Screen/Freeze während des "Loading modules"-Vorgangs. Ein weiterer Versuch mit einer Knoppix-LiveCD scheiterte ebenfalls. Schließlich stieß ich auf den Trinity Rescue Kit, der ebenfalls Linux basiert ist. Damit war es mir möglich über den Midnight Commander sämtliche Dateien auf einen USB-Stick zu kopieren und auf einen anderen Rechner (ohne wichtige Daten) zu übertragen. Gründliche Virenscans mit allen bekannten Programmen haben keine Funde angezeigt. Die Dateien sind nicht verschlüsselt oder sonstwie beschädigt und können normal genutzt werden.

Da somit alle Daten gerettet werden konnten, steht einer kompletten Neuinstallation des Systems nichts mehr im Wege. Insofern brauche ich diesbezüglich auch keine Hilfe mehr. Die Frage, die ich hier habe ist:

Was kann ich noch tun, bevor ich eine komplette Neuinstallation durchführe, um Euch bei der Erforschung/Bekämpfung dieses Virus zu helfen?

Dabei wäre zu beachten, dass es nicht ohne weiteres möglich ist, Programme auf dem Computer zu installieren, da der Trojaner hier jede Möglichkeit sperrt.

Mein Freund und seine Frau konnten mir keinerlei Hinweise darauf geben, wie der Virus auf den Computer gekommen ist. Nach ihrer Aussage wurden keine unbekannten Emailanhänge geöffnet. Man muss dazu sagen, dass beide sehr, sehr wenig Ahnung von Computer haben, weswegen sie sich auch an mich gewandt hatten. Wobei ich selber jetzt auch kein ausgesprochener Computerspezialist bin. Jedenfalls weiß ich nicht genau, wie bzw. wo ich die Schädlingsdatei finde und wie ich sie ggf. sicher, dh ohne andere Rechner zu gefähren, an Euch zwecks Analyse weiterleiten kann. Ich bin mir jetzt auch nicht sicher, ob der Virus eine ältere oder ganz neue bislang unbekannte Variante dieses Trojaners darstellt oder der Virus lediglich durch besondere Umstände an seiner eigentlich vorgesehenen Ausführung gehindert wurde.

Der Trojaner meldete sich übrigens am 5.6. Die Dateien meines Freundes waren gespeichert unter Dokumente und Einstellungen/All Users/Dokumente/Daten. Wie gesagt, ich konnte überhaupt keine verschlüsselten Daten finden. Alle Dateien sind noch unverschlüsselt. Ein Zugriff in irgendeiner Form auf den Desktop war nicht mehr möglich. Windows-Boot-CD half auch nicht. Nur mit TRK 3.4 konnte ich die Dateien retten. Aber auch die Besipielbilder waren nicht verschlüsselt.

Was ich auf dem Desktop gefunden habe, ist eine ACHTUNG-LESEN.txt mit MTime 5.6.2012 16:36. Ich habe in einem TEMP-Ordner außerdem folgende Dateien mit gleichem MTime gefunden (das Sternchen * mag Midnight Commander bedingt sein und an sich nicht zum Dateinamen gehören):
- *BC9501FD4F4E454C4F567375
- *Desk.$00

Folgende weitere Dateien scheinen mir nach allem was ich dazu gelesen habe, suspekt (ebenfalls in dieser TEMP):
- *moptlybuje.pre mit MTime 4.6.2012 18:09.
- *~DF3348.tmp mit MTime 16.6.2012 12:40. (Das dürfte etwa der Zeitpunkt gewesen sein, als ich die Windows-Boot-CD ausprobiert habe)

Grund für die fehlende Verschlüsselung mag gewesen sein, dass der Rechner nicht über W-LAN sich automatisch mit dem Internet verbinden kann. Vielmehr ist dies nur über eine Kabelverbindung möglich, die nur bei entsprechender Notwendigkeit hergestellt wird. Darüber hinaus handelt es sich um eine Wählverbindung, die (zumindest grundsätzlich) erst vom Benutzer aktiviert werden muss.

Keine Ahnung, ob das hilfreiche Informationen sind. Ich hoffe es jedenfalls.

Rein rechtlich gilt (und hier bin ich ein Fachmann): Unbedingt Anzeige erstatten. Die Staatsanwaltschaft kann nur aktiv werden, wenn sie von einem Fall weiß - und das geht eben über eine Anzeige. Dazu ist die Einhaltung einer bestimmten Form nicht erforderlich, aber es sollte klar sein, dass eine schriftliche, möglichst präzise und ausführliche Beschreibung des Sachverhalts nach Möglichkeit mit allen vorhandenen Beweismitteln die Aufgabe der Staatsanwaltschaft enorm erleichtert. Erkenntnisse, die bereits hier und andernorts über den Trojaner gesammelt wurden, sollten auch an die entsprechende Behörden weitergeleitet werden.

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Hallo,habe vor längerer Zeit mal ein Progrämmelchen geschrieben, das versucht die Dateiversionen auszulesen.
Es ist ein Konsolenprogramm, das als Parameter den Namen der zur prüfenden Datei enthält.

Habe das Programm und einen Screenshot der Ausgabe hier angefügt, eventuell hilft es ja.

Sofern in einem Programm die FileVersion, wie für Windows typisch, enthalten ist, sollte sich in der Exe die Zeichenfolge VS_VERSION_INFO als UTF8 finden lassen, dahinter befinden sich dann die weiteren Informationen (ca. 1000 bis 2000 Byte vom Ende der Datei entfernt).

Dateien mit Namen in der Form von ~DF3348.tmp werden u. a. regelmäßig von MS-Office übriggelassen und nicht weggeräumt.

Stephan

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

hab das Progrämmchen getestet, leider nichts passendes , schade. Der Virus meldet im GET String 2.000.11 , dein Tool 1.2.0.0 . An einer alten Version von Mitte Mai ergibt dein Tool leider gar nichts.

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Ich geh eh nicht davon aus, daß die sich dort kompletten Server gemietet haben.
Womöglich ist das auch noch ein gehäckter/gepaperter Server, welcher jemand ganz Anderes gehört.
Andere angreifen, denen das bestimmt nicht gefällt.

Ist doch genauso, wie man leider die eMail-Spammer nicht einfach zurück zusammen darf :cry:, so daß sie nix Weiteres mehr verschicken können.

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Stimmt genau, HofMar. Version 2.000.11 injected in svchost (0x7FF955D4).

Eine ganze Reihe von Änderungen fallen im Vergleich zur Version 1.150.1 auf. Zunächst aber das Wichtigste: Der Trojaner verfährt noch immer so wie in Version 1.150.1. Die Verschlüsselung findet genau so statt, wie es im Bild "Verschlüsselungsphase" aufgemalt ist.

Die Statusdatei (ohne Dateiendung) im Temp-Verzeichnis wird mit einem anderen Passwort verschlüsselt. Um die Statusdatei entschlüsseln zu können muss ich das Programm DecryptNoExt geringfügig erweitern. Das ist nicht schwer. Die Virusdatei selbst bekommt jetzt einen Namen der von der Seriennummer der Festplatte abhängt.

Eine neue Temp-Datei mit der Endung $$0 wird erzeugt. In diese Datei werden jetzt die Bildschirmmaskenbilder direkt reingeschrieben. Der Umweg über die Cab-Datei entfällt.

In Version 2.000.11 gibt es 3 völlig neue Funktionen. (Für die Debugger: Am besten nach der Zeichenfolge "stage1#0stage2#0stage3#0" suchen. Die Funktion die direkt vor der Zeichenfolge steht und die zwei danach.). Diese Funktionen sehen erstmal furchtbar interessant aus ... dann stellt sich aber heraus, dass es sich nur um Funktionen handelt die nach dem LZW-Verfahren die heruntergeladenen Bilder dekomprimieren. Ich denke die Erpresser wollen den Virus so robuster machen, weil damit der Aufruf des externen Befehls "Extract" wegfällt der in Version 1.150.1 die CAB-Datei entpackte.

Der ganze Aufwand mit dem späten Laden der Bildschirmmaskenbilder, dient dem Zweck die Bildschirmmasken passend zur Sprache des Opfers auszuliefern. Vor dem Runterladen der Bilder wird die Sprache mit "GetSystemDefaultLangID" ermittelt. Es funktioniert jedoch momentan nicht. Egal was man eingestellt hat - es werden nur deutschsprachige Masken ausgeliefert. Vielleicht hat der Erpresser noch keine übersetzten Masken für andere Länder. Ist bestimmt nur eine Frage der Zeit bis es soweit ist. Dann kann er auch gleich den Trojaner mit Fortpflanzungsfunktion ausstatten, weil es ihm dann egal ist wenn der Trojaner sich über Landesgrenzen hinweg verbreitet. :-(

In der Trojanerdatei "Bestellung Dnet24 GmbH .com" (2.000.11) sind Versionsinformationen hinterlegt. Das war bei der Version 1.150.1 nicht so. Da steht:

Version 5.7.0.6
Beschreibung: Tessei volli ombra lesso
Copyright: trarla cesta sedava 1997
Firma: vagite sarti
Interner Name: losca
Kommentare: Scampi fico veli
Marken: porvi ricevo
Orginaldateiname: losca.exe
Produktname: datomi

Tja... ist wohl italienisch :D
Ich habe schonmal von diesem Google-Ding gehört und auch dass es übersetzen kann! Ganz ehrlich! Aber da kommt bei mir nichts Rechtes mit raus. Steht da irgendetwas wissenswertes?



VG Marcu

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Hallo Ring
Klasse, dass du dich hier meldest. Im System32-Pfad findest du den Virus. Wenn nicht da, dann im Appdata-Pfad. markusg archiviert die Viren und verteilt die verschiedenen Versionen an Interessenten. Er freut sich darüber, wenn man ihm Viren schickt :D Besser aber gepackt und mit einem Passwort versehen.
Genau das ist der Grund dafür, dass nicht verschlüsselt wurde. Eine normale DFü-Netzwerkverbindung stellt der Trojaner zwar gegebenenfalls her - aber da in diesem Falle noch eine Software des Internetproviders notwendig ist, hatte der Trojaner keine Chance. Solange der Trojaner das Passwort nicht erfolgreich bei einem C&C-Server abliefern kann, wird nicht verschlüsselt. Glück gehabt. :-)

Nur durch die Beschlagnahme der Passwörter wird es gelingen die Dateien zu entschlüsseln. Mir ist klar wie gering die Chance auf erfolgreiche Ermittlung ist, aber es bleibt meiner Meinung nach nichts besseres übrig.


VG
Marcu

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

[QUOTE=Marcu;1171312]So eine ähnliche habe ich auch; war aber schon am 23.5.
Subject: Deine Anmeldung, www.Singles-4you.at
bin mir aber nicht mal sicher, ob das Biest verschlüsselt oder nicht, da die exe noch nicht ausgeführt wurde.

Prova A Grattare Meglio
Forse Non è Cosi
CompanyName: We bello comè?
FileDescription: _Tappost?
LegalCopyright: What a feel
ProductName: Real Love
FileVersion: 5.03.0002
ProductVersion: 5.03.0002
InternalName: giggino
OriginalFilename: giggino.exe

(per Hexeditor ausgelesen)
hab' ich aber auch schon hochgeladen...

Gruß
Joh

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

@Marcu: bei der 1.150 , weißt Du mit welchem Verfahren die $02 Datei verschlüsselt wird?
Ich will mich an der $02 versuchen mit CUDA, kann zwar noch kein CUDA aber habe Zeit ... lohnt es sich? Zur Verfügung stehen 2 stärkere Geforce, ich habe den Virus , die beiden abgelegten Dateien und die ca. 4200 verschlüsselten Bilder meiner Bekannten... meine C Kenntnisse sind etwas eingerostet, aber ich denke, da werde ich schnell wieder fit.

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

@deraddi,

Laut Prozeduraufruf der Windows-API-Funktion CryptDeriveKey
__in ALG_ID Algid, // 0x00006801

Nach MS ist der CALG 0x00006801 = RC4.

Ob das bei der Version 2 auch noch so ist, weiß ich nicht.

TBUndertaker

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

diese fake coppyright infos gibts schon in älteren versionen würd ich behaupten.
mal ne kleine anmerkung, da das hier schon häufiger gefragt wurde, wenn jemand aktuelle mails mit anhängen (spam) reinbekommt, hätte ich die gern
http://markusg.trojaner-board.de
wir haben da extra ne adresse eingerichtet, also keine falsche scheu :d

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Hallo!
Auch wir haben uns mit unserer kleinen Firma den Verschlüsselungs-Trojaner von der angeblichen Firma Schwonders GmbH aus Berlin bzw. Hartmann GmbH aus Berlin gefangen.
Der Trojaner wurde zwar von einer Computerfirma geschlöscht, jedoch alle Daten sind verschlüsselt.
Ganz ganz schlimm sind die gespeicherten Daten der Buchhaltung für dieses Jahr. Am 01.07. muss ich die Umsatzsteuervoranmeldung abgeben und alles neu buchen ist ganz schöner Käse!
Gibt es eine Hilfe um nur diese eine Datei wieder zu entschlüsseln???????
Vorab DANKE für die HILFE!
Gruß

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Mein Kollege hat sich heute auch so ein Ding eingefangen. Die Email soll seriös gewesen sein und eine Rückemail mit konkretem Namen.
Nun soll ich das Ding neu machen.
Neu formatieren sollte doch reichen oder?

Ich habe nun versucht, mit einer Live CD zu starten. Irgendwie geht das nicht, obwohl ich eigentlich die CD als 1. Bootmedium eingestellt hatte. Es startet nun Windows normal hoch, aber der Ukash Bildschirm kommt nicht mehr. Online bin ich nicht. Warum kommt der Bildschirm nun nicht mehr?

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Wie weit ist es bisher mit der Entschlüsselung der $03-Katalogdatei?
Bist du da noch am Ball?
Mittlerweile gibt es ja einige Möglichkeiten, Dateien typabhängig wiederherzustellen, so das die Möglichkeit einer Re-Umbenennung schon sehr hilfreich wäre.

Joh

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

@deraddi
Ich schick dir morgen oder übermorgen eine pm. Mach dir keine große Hoffnung. Da sind wir beide längst tot bis CUDA das erste Bild entschlüsselt hat. Falls es sich nur um Multimediadateien und um Bilder handelt, dann hast du aber trotzdem gute Chancen mit Reparaturprogrammen diese Dateien zurückzuholen. Es sind "nur" die ersten $3000 Bytes einer jeden Datei kaputt. Jpgs sind robuste Dateien. Viele Leute auf dem Trojaner-Board hatten Erfolg mit der Reparatur von verschlüsselten Bildern. Schau mal hier.
http://www.trojaner-board.de/116851-...tml#post842337
An deiner Stelle würde ich es mit Datenrettung versuchen.



@Zuelpich53

Falls die Daten der Buchhaltung mit der neuen Variante des Trojaners verschlüsselt worden sind, dann gibt es leider momentan keinen Weg die Daten zu reparieren. Es besteht auch keine Hoffnung, dass sich das bald ändert. Tut mir leid.

Eine winzig kleine Chance an halbwegs aktuelle Daten zu kommen besteht vielleicht noch. Einige Programme löschen während des regulären Betriebs alte Datendateien um Platz für die aktuellen Datendateien zu schaffen. Manchmal kann man gelöschte Dateien wieder herstellen. Eventuell findet sich noch eine gelöschte Buchhaltungsdatei mit der du weiterarbeiten kannst. Die Chance darauf ist klein aber ein Versuch wert. Mit einem Opfer hatte ich Kontakt der auf diesem Weg eine wichtige Datei zurück bekam. Man braucht aber eine Menge Glück damit das gelingt.

Auch haben einige Betroffene Dateien wieder über sogenannte "Shadowkopien" zurückbekommen können. Dieser Weg ist nur möglich, wenn der entsprechende Dienst auf deinem Computer gestartet war.

Noch eine letzte Hoffnung besteht im Allgemeinen - bei dir eher nicht da eine Computerfirma den Computer bereits untersucht hat. An anderer Stelle habe ich geschrieben:

Bei Kleinunternehmern werden oft Arbeitsplätze auch als Datenbankserver eingesetzt. Datenbankserverprogramme (mssql, mysql,firebird usw..) starten normalerweise früher als diese Malware und öffnen Datenbankdateien auf eine Art die es der Malware unmöglich macht diese zu verschlüsseln. Sollte ein solcher Computer betroffen sein, dann hat man beste Chancen diese Datenbankdateien unbeschädigt vorzufinden. Es lohnt sich das zu prüfen, da in diesen Datenbankdateien oftmals die Faktura/ Fibu/ Terminverwaltung usw. steckt.

Mehr kann ich dir momentan leider nicht helfen, Zuelpich. Das Trojaner-Board ist eine exzellente Anlaufstelle für Betroffene. Dort findet man eine Menge Informationen und kompetente Ansprechpartner zu diesem gemeinen Virus. Es ist mit Sicherheit die Zeit wert dort vorbei zuschauen.

@zeras

Bei Version 1.150.1 kann ich sicher sagen, dass es reicht. Bei der Version 2.000.11 weiß ich mit Sicherheit, dass der injected Code nichts macht was ein Überleben nach einer Formatierung ermöglicht. Allerdings habe ich den Loaderteil der Version 2.000.11 noch nicht genau untersucht. Ich bin mir aber fast sicher, dass da auch nichts zu finden ist. Der Trojanerprogrammierer hat bisher nicht die geringsten Anstalten gemacht irgendetwas zu verheimlichen oder hartnäckig durchzusetzen. Es gibt keine "Tricks" die man sonst in Malware findet. Der Erpresser setzt einfach auf Quantität in jeder Beziehung und spart sich die Arbeit.

Startet auf diesem Computer eine Windows-InstallationsCd? Ist vielleicht die LiveCd kaputt?
Der Ukash-Desktop sollte zu sehen sein. Läuft auf dem Rechner eine Sicherheitssoftware die spät, aber nun doch noch aufgewacht ist?

Viele Grüße
Marcu

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Hallo Joh
Das ist ganz schnell gemacht. Besteht die Möglichkeit eine $03-Datei zu bekommen? Kannst du mir vielleicht eine per pm zuschicken, bitte?

vg Marcu

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

@ Marcu: danke für die Info. Datenrettung scheidet leider aus, im Trojaner Board bin ich schon, diverse JPEG Tools bringen gerade mal 5 der um 4200 Bilder in voller Größe wieder. Sie hat die Bilder einfach zu klein gemacht, 60k - 150k. Zu wenig Daten für Wiederherstellungen.

Daher meine Überlegungen die $02 zu bruteforcen.
Wenn sie in RC4 codiert ist, kann ich ja Ansätze suchen den Stream zu finden, da mir Teile der Pfade bekannt sind. "C:\Dokumente und Einstellungen\" wäre z.B. ein Teil der Datei den ich im RC4 Stream bruten muss. Muss mir da noch konkret Ansätze überlegen.
Da die werte Dame schon die Hoffnung aufgegeben hat und mit den ca. 2000 Bilder ihrer alten Datensicherung z.Z. leben kann habe ich Zeit. Und sehe es als Herausforderung an, einen Ansatz zu finden.

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Ich werde heute oder morgen die Originalplatte bekommen. Ich hoffe, das ich die $03-Datei darauf finde. $02 war jedenfalls drauf.
=> ich hab' glücklicherweise die Platte direkt ausgebaut und bisher nur ausgelesen...

gruß
Jochen

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Offensichtlich war im BIOS doch nicht umgestellt. Mein Fehler.

Jedenfalls weiter getestet.
Gestern Abend noch ein wenig gespielt an dem Rechner. Auf dem Rechner war AVG installiert und nach mehrmaligem Hochfahren zeigte AVG eine Meldung an, dass etwas gefunden wurde. Warum dies bei den ersten Malen Hochfahren nicht kam, weiß ich nicht. Möglicherweise hängt das mit dem Timing beim Start zusammen. Ich hatte ja die Notfall CD von PCM drin. Vielleicht hatte da der Startvorgang vom Trojaner etwas länger gedauert (weil das DVD Laufwerk anlief) und dadurch kam AVG zum Zuge. Jedenfalls ist es mir gestern noch gelungen, die Dokumente Ordner auf CD zu brennen. Bis jetzt habe ich nur Bilder gefunden, die in Ordnung waren. Vielleicht hat mein Kollege doch recht schnell die Internetverbindung unterbrochen, so dass der Trojaner nicht fertig war. Vielleicht gibt es aber in den vielen Ordnern schon Dateien, die verändert wurden? Dies wird mein Kollege noch prüfen.
Danach habe ich dann AVG gesagt, die gefundene Datei in Quarantäne zu verschieben und noch andere Einträge zu löschen und seitdem startet der Rechner normal hoch. Ich will heute nochmal mit GDATA Live CD drüberscannen und vielleicht brauche ich dann die Platte nicht neu formatieren. Gefunden hat AVG einen Eintrag in der Registry, dann unter Users ein Eintrag YXFURTYL.EXE dann unter Windows C:\Windows\SYSWOW64\explorer.exe. Jedenfalls wurden 3 Prozesse beendet, 1 Datei entfernt und 1 Regschlüssel gelöscht.

Original kam der Trojaner aus einer Email von web.de
Vielleicht gibt es die noch und ich kann diese zur Verfügung stellen.

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Guten Tag allerseits,
auch ich bin über Umwege von diesem Virus befallen worde.
Mein Vater hatte letzte Woche eine Mail bekommen und die Datei geöffnet, da er persönlich angesprochen wurde und er die Absender-Adresse kannte.
Die Dateien sind "EngufdsXloQNxUfDa" in dieser Art verschlüsselt. Soweit ich das seh, sämtliche Office-Dateien, pdf, videos, bilder und mp3.
Ich bin ein bisschen überrascht, dass die Verschlüsselung so willkürlich zu sein scheint, also ich mein die verschlüsselten Dateien. Auf Systempartition C, ist keine einzige Datei verschlüsselt. Auf d,e und f sehr sehr viele bis alle. In einem Baum mit diversen Unterordnern sind manche Unterordner im Baum komplett verschlüsselt, manche komplett unverschlüsselt. Unabhängig vom Datum oder sonst irgendwas. Außerdem gibt es Ordner in denen nur ein paar Dateien verschlüsselt sind und sogar einen mit etwa 100 Dateien wo exakt eine Datei verschlüsselt wurde. Hängt das nur mit der tatsächlichen Speicheradresse der Dateien zusammen oder steckt mehr dahinter?

Noch eine kleine vermutlich bedeutungslose Anmerkung zum Thema:
Jemand hatte hier von 5100 Dateien gleichen Inhalts in einem Ordner berichtet wo ein verschlüsselter Dateiname doppelt vorkam. Könnte da nicht der Unix Timestamp eine Rolle spielen?
Ansonsten find ich EINEN doppelten Namen bei 5100 identischen Dateien merkwürdig.

lG
Matthias

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Hallo Matthias

für jede Partition wird ein Thread gestartet, der rekursiv durch den Dateibaum läuft. Diese Threads laufen gleichzeitig. In jedem Thread wird zu jeder Datei ein neuer Dateiname und ein Passwort per Zufall generiert. Dieser Datensatz wird nach der Erstellung in einen gemeinsamen globalen Speicherbereich abgelegt. Am Schluß hat der Virus im Speicher einen langen String mit folgendem Aufbau: Altername<0a0d>Neuername<0a0d>Passwort<0a0d0a0d>.. .
Und genau so sieht auch eine entschlüsselte Datei Katalog.$02 aus - eine reine Textdatei.

Es gibt ein Limit für die Größe des Speicherbereichs in dem die Datensätze gesammelt werden. Sobald der Katalog dieses Limit erreicht hat werden keine weiteren Datensätze mehr angefügt. Wegen dieses Limits und der Gleichzeitigkeit der Threads kann es durchaus schon dazu kommen, dass nur eine Datei in einem Verzeichnis verschlüsselt wurde.
Vielleicht hat dein Vater sich auch unkooperativ verhalten und mitten in der Verschlüsselungsphase den Computer ausgeschaltet.

Vg Marcu

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Wir retten alle Ihre Daten (ausser Windows XP). Auch nach Angriffen des neuesten Verschlüsselungs Trojaners!
PC, Laptop einschicken, 2 Tage später haben Sie alle Ihre Daten wieder! :-D

Datenrettung bis 500 MB = € 45,00, je weitere 500 MB plus € 15,00.

Sinnvoll danach komplette Neuinstallation, mit allen Treibern und allen wichtigen Programmen = € 65,00

Computerfachgeschäft
{snip}

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Euer Geschreibsel ohne ernsthafte Kontaktdaten wirkt wenig seriös. Solltet Ihr tatsächlich in der Lage sein, diesen Service zuverlässig anbieten zu können, dann hättet Ihr mit seriöseren Anzeigen garantiert mehr Erfolg.

Frage in die Runde: Spekulationen helfen niemandem weiter - gibt es Erfahrungsberichte mit o.g. "Anbieter"?

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Ich bin da skeptisch... Kommt jemand aus Füssen oder näherer Umgebung und könnte dort einmal vorbeischauen? Adresse usw. gibts per PN. Und nein, ich hab mit denen nix zu tun :)

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Den selben Text findet ihr forenübergreifend überall wo der Matsnu Virus diskutiert wird. Getrost ignorieren ...

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

so... aus 2 Tagen wurden 3 Wochen ;-(

habe heute erst die Platte bekommen. Und ScheiXXe, 36000 gelöschte Dateien, aber keine $03 darunter.
In temp stehen:

5CB41BEA4D4F48545341.$02 => 2.523.050 Bytes, Datum 1.6. 18:35
5CB41BEA4D4F485453416854.$ => 1048 Bytes, Datum 1.6. 18:30
5CB41BEA4D4F485453416854 => 1048 Bytes, Datum 2.6. 15:49

Wenn ich alles richtig verstanden habe, sollte die Datei aber 5CB41BEA4D4F48545341.$02 heißen und auch im $user\temp-Verzeichnis liegen (gelegen haben).


Ich habe mir zwar schon ein Programm geschrieben, welches die (hier wichtigen) OpenOffice-Calc-Dateien erkennt und automatisch wiederherstellt, aber mit Dateinamen wäre vieles einfacher und schöner.

Gruß
Joh

Neue Variante einer Ukash Scareware
 

Hab mich ja schon gefreut, dass ich und meine Umgebung bisher von dem Ding verschont wurde. Bis heute, als es meinen Bruder erwischte.

Die bisherige Analyse hat aber ergeben, dass es ein völlig anderes Ding ist, das weder verschlüsselt noch irgendwelche Anstalten macht, Taskmanager und/oder Registry zu sperren. Wenn man die Analyse von VirusTotal (zum Zeitpunkt der Analyse - kurz nach der Infektion - erkannten gerade mal 4 Scanner etwas!) noch mit rein nimmt, liegt nahe, dass es wahrscheinlich eine noch nicht lange in Umlauf befindliche Scareware ist. Auch wenn es hier im Thread konkret um die Trojaner geht, die Daten verschlüsseln, so will ich meine Erkenntnisse hier trotzdem kundtun (außerdem bin ich hier im Forum angemeldet im Gegensatz zum Trojanerboard).

So sieht das Ding aus, wenn es aktiv geworden ist. Das Bild entspricht also keiner der bei bka-trojaner.de abgebildeten Varianten.

Vorwort zur Analyse: Wie das Teil auf den Rechner kam, ist bislang ein Rätsel :(. Wir vermuten, dass es via Browser (evtl. durch das nicht ganz aktuelle Flash) passierte, können aber in der Chronik desselben keine Seite ausmachen, die dafür verantwortlich gewesen sein könnte. Via Mail fällt definitiv aus, weil am heutigen Tage keine Mails mit Anhängen eingetroffen sind (die eh nicht geöffnet worden wären) und außerdem ein Mailprogramm verwendet wird, das einen eigenen HTML-Renderer hat (The Bat!), sofern man doch mal von der in erster Linie genutzten Textansicht auf HTML-Ansicht umschaltet.

Ein Wort zu den Anhängen:

• wireshark_filtered.7z ist wie der Name schon sagt ein Mitschnitt mit Wireshark, gelaufen auf infizierten System mit Adminrechten, gefiltert nach der IP des infizierten PCs (ein ungefilterter Mitschnitt ist ebenfalls verfügbar).
• Logfile1.7z ist ein Mitschnitt der Aktivitäten von Process Monitor (ebenfalls gelaufen mit Adminrechten), gefiltert nach "Category | is | Write". Es existiert auch ein kompletter Mitschnitt ohne diesen Filter, aber da das Teil selbst gepackt ~6 MiB groß ist, hab ich die Sache erstmal gelassen; bei Interesse einfach melden.
• WSManHTTPConfig.7z enhält die Scareware selbst, geschützt mit dem Passwort "infected". Außerdem wurde die enthaltene EXE so umbenannt, dass sie nicht direkt startbar ist. Bitte trotzdem nur runterladen, wenn man weiß, was man tut und sein Testsystem absichtlich infizieren will!
• 2104c1be.7z enthält eine Datei ohne Extension, die die Schadware während der Aktivität runterlädt oder erzeugt. Der Name ist dabei zufällig. Was das genau für eine Datei ist, weiß ich nicht, sieht im Lister vom Total Commander aber ähnlich wie eine Executable aus, deshalb ist das Archiv ebenfalls passwortgeschützt.

Die (grobe) Analyse im Detail:

• Die Datei WSManHTTPConfig.exe kontaktiert einen Server im Netz (#557 und #587 im Wireshark-Log), von dem er eine Nummer bekommt.
• Nach Kontaktierung des Servers fragt er den DNS nach
  Code:

  fglolituns.in
  (Wireshark #840) und holt sich von ihm
  Code:

  GET /fimage/gate.php?uid={795BAA1E-F792-A0A6-23F5-554C8CCF3BC1}&user=44100100&os=2 HTTP/1.1
  (Wireshark #843), wahrscheinlich, um sich bei seinem C&C zu melden und die Sprache zu ermitteln. Wenn man die komplette URL inkl. der Parameter an ein wget übergibt, bekommt man eine URL zurück, die unter anderem ein "DE" enthält.
• Anschließend holt er sich das darzustellende Bild von /pic/DETujP.dat (Wireshark #856) und /pic/DEBukF.dat (Wireshark #983)
• Nach dem Laden der beiden *.dat wird daraus offensichtlich das Bild gebaut (im Verzeichnis %AppData%\hellomoto) und nun geht's richtig los.
• Die ursprünglich gestartete EXE kopiert sich selbst nach
  Code:

  %LocalAppData%\Microsoft\Windows\*random*\RMActivate_ssp.exe
  , löscht sich vom Ursprungsort [Ergänzung] und trägt sich im Autostart (HKCU) ein [/Ergänzung]. Der Verzeichnisname scheint dabei zufällig zu sein, der Dateiname hingegen nicht.
• Prozesse werden abgeschossen: explorer.exe und taskmgr.exe
• wuauclt.exe wird gestartet (zweifach). Die im Archiv befindliche EXE ist also wohl eine DLL, die von wuauclt.exe geladen wird (gesehen hab ich davon nix im Process Explorer, aber vielleicht hab ich was übersehen). Der Prozessor wird übrigens durch die eine Instanz der wuauclt.exe ganz ordentlich belastet (60 bis 70% auf einem Sockel A-System).

Verhaltensanalyse:

• Jeder Versuch, den Taskmanager zu starten, wird unterbunden (vielleicht auch abgeschossen) und die Scareware bringt sich wieder in den Vordergrund.
• Nach Töten der wuauclt.exe (die übrigens im Kontext des Nutzers läuft statt wie üblich als SYSTEM), ist die Scareware beendet. Das geht übrigens ganz gut von einem anderen PC aus mit
  Code:

  taskkill.exe /S <infiziertes_System> /U Administrator /IM wuauclt.exe
• Ohne aktive Netzwerkverbindung kopiert sich die Schadware ins o.g. Verzeichnis und startet wuauclt.exe, diese aber nur in einer einzelnen Instanz und sehen tut man von der Schadware ebenfalls nichts. Selbst, wenn man danach die Netzwerkverbindung reaktiviert, bleibt es bei dieser Situation.

Falls jemandem langweilig sein sollte, kann er sich gerne mit den Anhängen vergnügen und eine genauere Analyse machen :mrgreen:. Dieser Beitrag (inkl. der Anhänge) darf auch gerne im Trojanerboard verarbeitet werden. Ich werde das Sample und den Screenshot in jedem Fall an botfrei.de schicken.

MfG Dalai

PS: Ich glaub, das ist einer der längsten jemals von mir verfassten Forenbeiträge, in jedem Fall in diesem Forum :mrgreen:.