Update: Windows Verschlüsselungstrojaner neue ...

Save-Privacy Blog

  • Homepage
  • Über mich
  • Work
  • Bücher
  • Kontakt
  • Verwaltung
  • twitter

Jun 3: Update: Windows Verschlüsselungstrojaner neue Version

Update [03.04.2012]:
Ich gehe inzwischen davon aus, dass die Verschlüsselung des Trojaners als sicher angesehen werden kann und nicht zu knacken sein wird. Alle bisherigen Analysen gehen in diese Richtung, auch wenn es sich um keine klassische asymmetrische Verschlüsselung handelt. Siehe hierzu die Updates vom 03.04. ganz unten im Blogpost.


Seit etwa zwei Wochen ist ein besonders perfider Computervirus im Umlauf, der derzeit nur über E-Mails verteilt wird. In den entsprechenden E-Mails wird dem Empfänger mitgeteilt, es werde ein bestimmter Rechnungsbetrag von seinem Konto abgebucht und er möge die angehängte Rechnung überprüfen. Als Absender werden gefälschte E-Mail Adressen namenhafter Versandhäuser, Elektonikhändler und anderer Online-Shows verwendet.
Bei allen E-Mails ist ein zip Anhang (Rechnung.zip, Abmahnung.zip, Buchung.zip, u.ä.) zu finden. Wenn das Opfer diesen Anhang öffnet, so werden alle Dateien auf der Festplatte verschlüsselt, der Rechner gesperrt und eine Aufforderung zur Zahlung von 100 € per Ucash oder Paysafecard angezeigt:



Es gab vor etlichen Wochen schon eine andere Variante des Trojaners, der die verschlüsselten Dateien nach dem Schema "locked-[Alter Dateiname].[Alte Extension].[zufällige Zeichenfolge] umbenannt hat. Dieser Trojaner nutze eine relativ einfache Verschlüsselung (RC4), die relativ schnell geknackt wurde. So gab es bald Entschlüsselungsprogramme von verschiedenen Antivirus-Herstellern (Dr. Web, Avira, Kaspersky), sowie von verschiedenen unabhängigen IT-Experten (DecryptHelper, ScareUnencrypt).

Bei der neuen Variante des Virus sieht es hingegen bisher recht schlecht aus: Nach über zwei Wochen ist noch immer nicht klar, wie Betroffene wieder an ihre Dateien kommen. Und das, obwohl davon auszugehen ist, dass die AV-Hersteller, wie auch die IT-Experten diverser Foren (trojaner-board.de, botfrei.de, delphipraxis.net) und viele andere (z.B. Xylitol) an einer Lösung des Problems arbeiten.

Auch ich habe mir bereits die ein oder andere Nacht um die Ohren geschlagen, um dem Geheimnis des Trojaners auf die Schliche zu kommen. Meine bisherigen Ergebnisse trage ich hier nun unter Verweis auf weitere Erkenntnisse von anderer Seite zusammen und stelle zur Diskussion, dass es sich bei der neuen Variante um ein public-private Key Verfahren handelt, dass auf absehbare Zeit nicht zu knacken sein wird. Ich möchte in der Hoffnung mit meiner Vermutung unrecht zu haben mit diesem Post dazu aufrufen, mehr Informationen zu diesem Trojaner zu veröffentlichen, den bisher erreichten Wissensstand offener als bisher zu kommunizieren (Trojaner-board) und hoffe, dass sich so noch mehr Leute finden, die Willens und in der Lage sind, diesen Virus zu analysieren. Dieser Virus ist in meinen Augen einfach zu gefährlich, als dass man sich über seinen Wissensstand ausschweigen könnte: Wer also Kenntnisse, Ergänzungen und Anregungen hat, der möge diese bitte öffentlich machen.

Ich werde diesen Post in den nächsten Tagen noch um weitere Informationen ergänzen und diesen Beitrag weiter aktualisieren, wenn ich neue Informationen zu diesem Trojaner finde.

Tools used: OllyDbg, WinDbg, Hexeditor, PEiD, DeDe, IDA Free, Wireshark, Virtualbox, Ubuntu Linux ;-)

Grob-Analyse

1) Ablauf der Infektion

Mit Öffnen des Anhangs wird der Trojaner aktiviert. Es erscheint zunächst eine Fehlermeldung, dass es sich nicht um ein Word-Dokument handelt:



Der Trojaner installiert sich daraufhin im Windows Verzeichnis (C:\Windows\system32\[Zufällige Hex-Werte].exe) und im Benutzerverzeichnis (%temp%\[Zufällige Buchstaben]\[Zufällige Hex-Werte].exe). Die Ausgangsdatei wird gelöscht, der Trojaner hängt sich per Codeinjection in "ctfmon.exe" bei 0x7FF94D59 ein:



Weiterhin werden diverse Einträge für den Autostart in der Registry vorgenommen, so dass der Trojaner beim Starten von Windows aktiv ist.

2) Netzwerk-Kommunikation

Sobald der Trojaner aktiv ist, versucht er mehrmals über verschiedene Domains mit dem C&C-Server zu verbinden:

a)
hxxp://ogutors-free.com/a.php?id=8C20AF3F4B435546464F&cmd=img&win=Windows_XP_&loc=0x0407&ver=1.170.1
b)
hxxp://ogutors-free.com/a.php?id=8C20AF3F4B435546464F&cmd=msg&ver=1.170.1
c)hxxp://ogutors-free.com/a.php?id=8C20AF3F4B435546464F&cmd=lfk&ldn=35&stat=CRA&ver=1.170.1&data=MON1xEF944FhyhIF7GcaNYG29T6Zf lvjVTFc2zKPPP8VnTIA
d) Bei Eingabe Paysafe-Code:
hxxp://ogutors-free.com/a.php?id=8C20AF3F4B435546464F&cmd=key&ver=1.170.1&data=1:1:NTU1NTU1NTU1NTU1NTU1NTU1NTUA

Zu den Daten:
ID = vermutlich Installationskennung o.ä.
CMD = Kommando an den Server // CMD=IMG Anfordern der Bilder, die bei gesperrtem Computer angezeigt werden
win = Windows Version
loc = Länderkennung
ver = Version des Trojaners
ldn = ??
stat = Könnte ID des Affiliate (Vertriebspartners) sein
data = ???

Bei allen drei Aufrufen bekommt er Daten vom CC-Server zurück, deren Größe sich unterscheidet:
1. Aufruf: 243,8 kbyte (Bilder)
2. Aufruf: 704 bytes (Vermutung: public Key)
3. Aufruf: 4 bytes (ACK?)

Weitere mögliche Domains sind: SPATBE-WEB.COM, HORAD-FORUM.COM, QUA-A.COM, SPATBE-W.COM, polskamaskas.com, horad-fo.com

Erst nach dem Kontakt mit dem Server beginnt die Verschlüsselung. Die Domains weisen mehrere A-Record-Einträge (verschiedene IP-Adressen) auf. Bei den Servern handelt es sich um shared Server (auf denen viele Domains liegen) mit aktuellem Softwarestand (u.a. linux, nginx, php). Mit dabei sind auch Cluster. Abuse Mails werden nichts bringen (Server-Standorte: China, Russland, ...), zumal es sich bei den gehosteten PHP-Scripten vermutlich eher um Proxys handeln wird, die die Informationen nur weiterleiten, so dass man an dieser Stelle sicher nicht zum Ziel kommen wird.

3) Verschlüsselung:

Der Trojaner verschlüsselt immer nur die ersten 3000 Byte und benutzt dabei die Windows Crypto API (CAPI). Das Ding ist deshalb so schnell, weil es in jede Datei nur 3kb schreibt und er zusätzlich nach Dateitypen filtert. Das bedeutet, dass er bei z.B. angenommenen 30.000 Dateien gerade mal knapp 90 Megabyte (!) schreiben muss. Dass das schnell geht und zwar auch bei starker Verschlüsselung - ist klar.

Er legt dabei keine Sicherheitskopien an, sondern liest die Bytes aus der Datei und schreibt Sie direkt verschlüsselt zurück.


Fein-Analyse / Debugging

Vorweg: Ich denke inzwischen, dass es schlecht aussieht, was die Möglichkeiten einer Entschlüsselung der Daten angeht. Es gibt meiner Ansicht nach einige Indizien, die dafür sprechen, dass es sich hier um ein Public-Key Verfahren mit ausreichend starker Verschlüsselung / Schlüssellänge handelt. Zu den theoretischen Indizien:

- Der Trojaner ist gegenüber einer Analyse nur schlecht geschützt: Kein Anti-Debugging, kein Exepacker (UPX = upx -d Trojaner *haha*), kein Crypter - der Entwickler ist sich seiner Sache scheinbar recht sicher
- Diesen Trojaner scheint es bisher nur in Deutschland zu geben, es könnte sich also um einen Versuchsballon für das Rollout von Drive-By-Downloads handeln.
- Der Programmierer grüßt den französischen Hacker Xylitol, der in letzter Zeit viele Malware-Samples analysiert hat und sich damit bei den Malware-Entwicklern unbeliebt gemacht hat:

Auch das spricht dafür, dass der Entwickler der Malware sich sicher fühlt.
- Es werden drei Verbindungen zum C&C-Server aufgemacht. Dabei finden wahrscheinlich folgende Schritte statt: a) Es wird eine Installationskennung/ID übermittelt. b) Es werden die Bilddateien heruntergeladen c) Es wird ein kleines Datenpaket heruntergeladen, das meiner Ansicht nach ein public Key sein könnte.
- Nicht zuletzt ist das Public-Key Verfahren das für diese "Geschäftsidee" einzig sinnvolle Verfahren, da es von Außen nicht angreifbar ist.
- Es wäre nicht erstaunlich, wenn das Public-Key Verfahren bei diesem Virus ohne Logik-Fehler eingesetzt wird, denn schließlich ist dieses Anfriffsszenario schon länger denkbar und ich habe ein in dieser Hinsicht sehr erhellendes Paper gefunden, bei dessen Lektüre mir bewußt wurde, mit was wir es hier sehr wahrscheinlich zu tun haben: Einer 1zu1-Implementation dieses Angriffes!
Die Autoren gehen nicht auf die Möglichkeit einer Entschlüsselung ein (da es diese nicht gibt!), die einzige Möglichkeit, sich zu schützen ist Vorbeugung:

A solid defense against a cryptoviral extortion attack is to have backups of the plaintext that could potentially be attacked. Regular backups that are periodically verified should be considered. Other countermeasures include having a strong defense against malicious software. This includes but is not limited to: a firewall, a resident antiviral program, and an intrusion detection service. Antivirus updates should be obtained regularly and full malware scans should be conducted routinely. Executable software should only be obtained from reliable sources. It should be noted that by storing user files in encrypted form, protection against cryptoviral extortion is not necessarily achieved. The encryption of an encryption will serve the user no good when the outer layer annot be deciphered.


Update [31.05.2012]: Ganz so schlecht sieht es doch nicht aus. Ich habe in den letzten Tagen einige Memory-Dumps angeschaut und da sind zumindest keine Public-Keys zu finden. Ich denke, das hier Marcu wohl mit seiner Aussage "Die Hoffnung nicht aufgeben" recht hat ;-) und es sich noch immer um eine symmetrische Verschlüsselung handelt. Wie und wo die Schlüssel berechnet werden, muss herausgefunden werden.

1) CTFMON will ins Internet (soso ...)



2) CAPI imports, also breakpoints auf ADVAPI32 setzen (CryptAcquireContext, CryptGenKey, CryptEncrypt, CryptDecrypt ...) vgl.: M$



3) Wenn man den Trojaner nun laufen läßt, versucht er wie oben beschrieben, eine Verbindung mit dem C&C-Server aufzubauen und sobald er von diesem Daten erhalten hat, fängt er mit der Verschlüsselungsroutine an.

Ich vermute dabei, dass er zunächst die "Bilddateien" entschlüsselt, eventuell mit diesem Schlüssel hier: "732jjdnbYYSUUW7kjksk***ndhhssh".



Update: Den Schlüssel findet man auch im Memdump eines infizierten Rechners, der ab Infektion keine Internetverbindung hatte. Dieser Schlüssel oder was es auch sein mag, ist somit sicher statisch und hart im Trojaner eincodiert:



Update [31.05.2012]: Der statische Teilschlüssel wird offenbar mit einem weiteren dynamischen Teil kombiniert:



Dann legt er im %temp% Verzeichnis eine 2 KByte Datei an (Vermutung: Diese Datei ist auch im Bildpaket enthalten):



Später kommen hier noch mehrere weiter Dateien dazu, die unter Umständen die alten Dateinamen referenzieren. Was aber in der 2KByte-Datei steht, ist mir bisher unklar. Wenn es sich hierbei um einen Schlüssel für symmetrische Verschlüsselung handelt, hätten wir noch mal Glück gehabt. Denkbar wäre aber auch, dass hier nur ein Schlüssel für die Verschlüsselung der Referenzdateien (Dateinamen) handelt, der dann statisch wäre. Das würde dann für die Entschlüsselung beim PP-Key Verfahren nicht helfen. Diese Datei bedarf aber noch genauerer Analyse.

Dann gehts los und der Trojaner verbindet sich abermals mit dem CC-Server, z.B.:

hxxp://ogutors-free.com/a.php?id=8C20AF3F4B435546464F&cmd=lfk&ldn=35&stat=CRA&ver=1.170.1&data=MON1xEF944FhyhIF7GcaNYG29T6Zf lvjVTFc2zKPPP8VnTIA

Und bekommt hier meiner Ansicht nach einen public Key übergeben, wobei das Kommando "lfk" für "load full key" stehen könnte. Dann beginnt die eigentliche Verschlüsselung, 3000 Bytes in 3000 Bytes out.

Beim debuggen sind mir Referenzen zum Enhanced Cryptographic Provider ins Auge gefallen, auch das spricht leider für keine schnelle Lösung:



- Weitere Analysen / Screenshots usw folgen.

Updates [31.05.2012]:

Definition 3000byte / %temp%-Dateien / möglicher Beginn der Verschlüsselung


Verschlüsselte Daten in Datei schreiben:


Dateiliste für Verschlüsselung:


Loop durch die Datei / Schlüssel-Liste (wichtig: Vermutlich existieren alle dynamischen & statischen Schlüssel hier schon und sind im Memory-Dump zu finden):


Hier ein kleiner Ausschnitt eines Memdumps. Es läßt sich eine Zuordnung erkennen (vermute, es sind): Dateiname inkl. Pfad / neuer Dateiname inkl. Pfad / dynamischer Schlüssel:


Updates [03.04.2012]:

Wenn die bisherigen Analysen stimmen, sieht es so aus, als ob ich mit meiner Vermutung leider zum Teil Recht hatte und die Verschlüsselten Daten nicht ohne Weiteres entschlüsselt werden können. Der Trojaner nutzt demnach zwar keine asymmetrische Verschlüsselung, was prinzipiell die sicherste Variante wäre, aber er überträgt einen Teil des zur Verschlüsselung genutzten Keys (Basiskey) an den CC-Server. Wenn der Schlüssel nicht auf dem Computer des Opfers zwischengespeichert wird und der Schlüssel mit Zufallsdaten erzeugt wird (wovon sicherlich auszugehen ist), gibt es keine Möglichkeit mehr, den Schlüssel zu errechnen. Die Einzige Möglichkeit wäre somit, darauf zu hoffen, dass die Strafverfolgungsbehörden zugriff auf die Datenbank der CC-Server bekommen: Sehr unwahrscheinlich!



Hier wird der Basekey erzeugt:


Dieser wird dann an den CC-Server übermittelt:


Dann beginnt die Verschlüsselung auf Grundlage des Basekeys. McAfee hat das Vorgehen des Trojaners ebenfalls analysiert und in einer anschaulischen Grafik dargestellt:



Hier heißt es:

The random base key is encrypted using RC4 and the key used is an MD5 checksum of the data, consisting of the serial number of boot drive volume concatenated with the first six characters of the computer name and another hard-coded string. The ciphered data is passed to another encryption routine and the returned value of this routine along with the volume’s serial number followed by the computer name are passed in the query string of the HTTP request as “data” and “id,” respectively.

Quelle: Ransomware holds up victims

Nicht auf ein PP-Verfahren zu setzen hat in meinen Augen vor allem den Vorteil, dass bei den CC-Servern keine Rechnerressourcen "verschwendet" werden. Auch ist die Vorhaltung von PP-Key Kombinationen minimal aufwändiger als eine Datenbank mit der Installationskennung->Basekey. Man sieht also, die Malware-Programmierer sind keine Skript-Kiddies, das Konzept von diesem Trojaner ist gut durchdacht.

Das Einzige, was mir bisher noch nicht ganz klar ist, was in der 1kb-Datei im %temp%-Verzeichnis steht. Da diese aber vor Generierung des Basekeys erstellt wird, dürfte sich auch hier kein Schlüssel mehr finden.



Zusammenfassend läßt sich wohl sagen, dass wir es nun mit einer neuen Eskalationsstufe in Sachen Malware zu tun haben. Die einzige Möglichkeit sich hiergegen zu schützen heißt von nun an auch für Privatpersonen tägliche Backups aller wichtigen Datenbestände auf verschiedene Medien!

Referenzen/Links:

- Entschlüsselungsroutine, die Marcu gefunden hat, für den Fall, dass es doch symmetrisch ist
- Using Symmetric Encryption with Microsoft's CryptoAPI
- CryptoAPI Tracer script
- Cryptography Functions
- Microsoft Enhanced Cryptographic Provider
- Delphi-Praxis: Verschlüsselungs-Trojaner, Hilfe benötigt
- Trojaner-Board: Neue Verschlüsselungs-Trojaner Variante im Umlauf
- Asymmetrisches Kryptosystem
- Cryptovirology Labs
- An Implementation of Cryptoviral Extortion Using Microsoft’s Crypto API? Adam L. Young and Moti M. Yung
- Von kleinen, fiesen Windowsrechnerkrabbeltierchen
- Ransomware holds up victims





Geschrieben von Martin in IT, Politik, Sicherheit Kommentare: (38) Trackbacks: (5)

Trackbacks
Trackback-URL für diesen Eintrag

PingBack
Weblog: www.trojaner-board.de
Aufgenommen: Mai 28, 23:21
PingBack
Weblog: www.delphipraxis.net
Aufgenommen: Mai 28, 23:24
PingBack
Weblog: www.trojaner-board.de
Aufgenommen: Jun 02, 15:53
PingBack
Weblog: www.delphipraxis.net
Aufgenommen: Jun 04, 00:59
PingBack
Weblog: www.trojaner-board.de
Aufgenommen: Jun 07, 09:20

Kommentare
Ansicht der Kommentare: (Linear | Verschachtelt)

#1 - zecke 29.05.2012 13:49 - (Antwort)

Sehr gute analyse,

leider glaube ich dass du absolut richtig liegst mit deiner Vermutung. Es sieht ganz nach einer assymetrischen chiffre aus. Weit hergeholt ist es schließlich nicht auch kein hexenwerk, sieht so aus als ob die kiddies auch mal die schulbank gedrückt haben ...

#1.1 - Martin 31.05.2012 20:55 - (Antwort)

Ob es wirklich ein PP-Verfahren ist, kann erst mit Sicherheit gesagt werden, wenn wir einen public Key finden. Ich habe mir die letzten Tage einige Memory-Dumps angesehen, da finden sich bisher keine solchen. Es besteht also weiterhin Hoffnung :-)
Als recht sicher kann angenommen werden, dass es sich wieder um RSA handelt.
Script Kiddies sind das auber auf keinen Fall, die verdienen Hunderttausende damit und mich wundert, dass Sie wahrscheinlich immer noch kein wirklich sicheres Verfahren anwenden.

#2 - zecke 29.05.2012 14:08 - (Antwort)

a) Es wird eine Installationskennung/ID übermittelt.

b) Es werden die Bilddateien heruntergeladen

dann wird eine datei angelegt und es geht los ...


Ich glaube er läd OS speziefischen code für die verschlüsselung der daten des users. (bilddatein)

Um ein IPS oder IDS zu täuschen wird diesser code wohl immer mit einem anderen schlüssel verschlüsselt

danach denke ich dass er einen public key läd und damit die daten des users verschlüsselt

echt fieß

#3 - DerDerrick 30.05.2012 02:48 - (Antwort)

Wichtige Informationen wären:

1. alle calls zur cryptoapi + stackparameter + registerinhalte

2. calls oder codebereiche die den speicherberich der "bilddatei" lesen + stackparameter + registerinhalte

3. calls oder codebereiche die den String "732jjdnbYYSUUW7kjksk***ndhhssh" referenzieren

4. alle calls zur kernel32FileApi die das handle der datei im %TEMP% ordner aufweisen, untersuchen was input und output ist, (aus welchen daten wird der output berechnet)?

An die Informationen von 1-4 sollte man mit ein paar Memory- und Api- breakpoints kommen. Ich würde erstmal nicht so viel code lesen dabei, sondern erstmal eine art api-mind-map erstellen, so verhindert man auch timeouts zum c&c server oder ähnliche probleme. Hat man diese informationen reicht es eventuell schon für einen 'educated guess'

btw, nice work

#3.1 - Martin 31.05.2012 21:22 - (Antwort)

Hi,

holla, Deine Anregungen sprechen für Dein Know-How, vielen Dank dafür - werde ich beherzigen. Die letzten zwei Tage waren die Malware-Server nicht zu erreichen und ich hatte - wie blöd muss man denn sein - keinen Snapshot von einem Status gemacht, bei dem der Trojaner anfängt zu verschlüsseln.

Willst Du Dich nicht noch aktiver ins geschehen einbringen, es werden hier echt Leute mit gewissem Hintergrund/Wissen gebraucht, weil die Ressourcen jedes Einzelnen begrenzt sind.

#4 - rolmander 31.05.2012 14:38 - (Antwort)

Wenn der Volume Shadow Copy Service aktiv war kann man die Dateien mit dem Shadow Explorer wiederherstellen.

Gerade getestet. 3500 Dateien wiederhergestellt, alle unverschlüsselt.

#4.1 - Martin 31.05.2012 21:28 - (Antwort)

Da hast Du aber riesen Glück gehabt, denn bei den Fällen die bei mir auflaufen, stehen die Chancen meist bei so 50%50. Windows XP hat kein SC, bei Vista & W7 wird i.d.R. nur das Systemlaufwerk erfasst.
Prinzipiell ist SC also eine Lösung, die aber auch nur dann funktioniert, wenn man sofort handelt.

#5 - DerDerrick 31.05.2012 17:52 - (Antwort)

Sorry ich muss hier posten da man im o.g. Forum nicht als Gast posten kann.

0) Der Virus verschlüsselt nur einen kleinen Bereich der Dateien

1) image der betroffenen Partitionen (BACKUP DES GESAMMTEN LAUFWERKES MIT EINEM IMAGE PROGRAMM (wie z.B.: Acronis TrueImage oder (kostenlos aber schwerer zu bedienen) Clonezilla )) machen.

2) Zuerst Daten mit Shadow Copy Service wiederherstellen (ältere Versionen der Originaldatei welche vom Virus nicht angegriffen werden)

3) für den Rest der Dateien kann man ein RAW-RECOVERY-Verfahren einsetzen, welches nicht auf dem Filesystem arbeitet. (Ein solches programm versucht Dateiheader zu erkennen oder benutzt andere Verfahren z.b. heuristiken)

Q: Warum kann man mp3 datein abspielen obwohl sie vom virus betroffen sind?

A: Wenn ein streamingfähiger Player verwand wird wie z.b. VLC, dann ist ein dieser relativ Fehlertollerant Programmiert. Ein Stream kann ein paar sec nicht erreichbar sein, ein jüngeres Datenpaket kann ein älteres Datenpaket überholen usw ...

Auch Bildbetrachtungs oder Bildbearbeitungs programmen denen man ausdrücklich mitteilt um welchen Dateitypen es sich handelt, können fehlertollerant Programmiert sein.

MAN SOLLTE SEINE DATEN SOFERN SIE WICHTIG WAREN AUF KEINEN FALL KAMPFLOS AUFGEBEN, DER GRO?TEIL WENN NICHT ALLE DIESE DATEIN (EVENTUELL MIT PARTIZELLEN DATENVERLUST) KOENNEN WIEDER HERGESTELLT WERDEN. siehe oben!

#5.1 - Primar 02.06.2012 01:17 - (Antwort)

Hi DerDerrick!

Kannst du das nochmal erörtern?
der Shadow Explorer kann bei mir nur C Dateien wiederbeschaffen, leider habe ich einen Großteilwichtiger daten auf die D Platte ausgelagert, die ebenfalls verschlüsselt wurde.

Ich generier also von D ein Image mit Acronis. Dieses Image bearbeite ich dann mit einem RAW-RECOVERY-Verfahren?

Ich würde gerne alles versuchen ,die Daten zu retten, bevor ich hier zu formatieren beginne. Hast du ev einen Nemen eines solchen Progamms im Kopf? danke

#6 - Marcu 01.06.2012 18:37 - (Antwort)

Leider ist es so wie du am Anfang schon vermutet hast. Ein Teil des Passworts welches für die Entschlüsselung notwendig ist, wird auf den C&C Servern oder dahinter berechnet. :-( Ich habe es heute Nachmittag genau im Virencode nachvollziehen können und muss es leider nun auch einsehen.

Vielen Dank für die vielen wertvollen Hinweise die du mir gegeben hast. Hat richtig doll Spaß mit dir gemacht :-)

Ich hoffe das nächste mal wenn wir uns über den Weg laufen - dann bei einer Sache die nicht vor Beginn schon verloren ist :-)

Viel Grüsse
Marcu

#6.1 - Markus 01.06.2012 22:48 - (Antwort)

Sorry Leute,
ich bin leider eine Computerleihe und habe mir auch den Windows-Verschlüsselungs Trojaner eingefangen.
gibt es eine Lösung die auch ich als absolute Leihe anwenden kann?
Ich brauche dringens Hilfe.
Ich danke euch schon mal im vorraus.

#6.1.1 - Martin 02.06.2012 00:21 - (Antwort)

@Markus:

Als Computerleihe ist es nicht so ohne weiteres Möglich & so Windows XP eingesetzt wird sind die Dateien sehr wahrscheinlich nicht zu retten. Die Beste Variante bei XP ist eine Neuinstallation. Bei Vista / Win7 erst Virus entfernen, dann Daten per ShadowCopy sichern und dann neu installieren. Anleitungen finden sich u.a. im Trojaner-Board.de

Viel Erfolg

#6.2 - Martin 02.06.2012 00:16 - (Antwort)

Wenn Du das genau nachvollziehen konntest, kannst Du hierzu weitere Infos "veröffentlichen", die das noch etwas genauer belegen können. Denn nur wenn wir uns da zu 90% sicher sind, können wir den Geschädigten ihre Hoffnung nehmen in dem Wissen alles Mögliche getan zu haben.

Ja, mir hat es auch Freude bereitet, mit Dir zusammenzuarbeiten und Deine Hinweise haben mich auf immer neue Ideen gebracht, wie ich dem Trojaner noch weitere Infos entlocken kann. Dieser Trojaner ist aber auch zu interessant, um ihn links liegen zu lassen.

Grüße aus Berlin,
Martin

#6.3 - Tobi besagt:
02.06.2012 19:08 - (Antwort)

Hallo,

habe mir letzte Woche auch besagtem Virus einfangen.
Ich hatte einige Backups in Winrar gepackt.
Diese .rar-Dateien habe ich umbenannt in .rar und mit Winrar repariert und entpackt. Telweise waren es Archive mit bzw. ohne Wiederherstllungsinformetionen.
Ein Archiv war sehr hartnäckig und Winrar konnte nur Teile davon entpacken.
Habe es dann mit Advanced RAR Repair probiert und diese konnte diese letzte, hartnäckige Archiv dann reparierien und entpacken.
Gibt es dazu eine sinnvolle Erklärung?

#7 - StudentDave 02.06.2012 03:06 - (Antwort)

Heyho, hab mal ne frage. warum kann ich von der externen festplatte die zum zeitpunkt des befalls angeschlossen war, dateien nur noch zum teil abspielen? die sind noch als avi dateien erkennbar, nur kommt dann nichts. kann ich die wiederherstellen? lg

#8 - Primar 02.06.2012 11:06 - (Antwort)

Da ja nur der Header bzw ein kleiner Teil der Daten verschlüsselt wurde, wäre es nicht möglich, zb bei jpgs diesen Header irgendwie zu ersetzen bzw das Bild nur teilweise anzeigen zu lassen? Gibt es dafür ein Forum, wo man über solche Sachen sprechen kann? danke trotz allem an die große Hilfe die bisher geleistet wurde in den entsprechenden Foren

#8.1 - merlino1968 02.06.2012 21:37 - (Antwort)

Ohne Werbung machen zu wollen...

Ich habe meine Bilder mit dem hetman file recovery wieder herstellen können.

http://www.***.bz/***/software-angebote/windows-software/1008766-hetman-data-recovery-pack-v4.html

Save-Privacy: Bitte keine Links zu Warez Seiten hier posten! Danke.
Und: Wenn das funktioniert hat, dann war das reines Glück, weil Dateifragmente von Löschungen vorhanden waren. Der Trojaner schreibt direkt in die Dateien, ohne temporäre Dateien anzulegen. Da ist kein Data-Recovery möglich, da überschriebene Daten nicht wiederhergestellt werden können.

#8.1.1 - Primar 02.06.2012 21:53 - (Antwort)

Dein Ernst?

eine datei mit dem namen zb: HgHgZZddZEtTrTZ wurde wieder zu einer zu betrachtbaren jpg?

#9 - merlino1968 02.06.2012 22:01 - (Antwort)

Ja, Datei ist zwar etwas kleiner (da wohl die ersten 3 kb fehlen) und das bild entsprechend auch, aber man kann es sich ansehen und etwas damit anfangen!
Vorher muss man die Dateien natürlich in .jpg umbennen.

#9.1 - Primar 02.06.2012 22:28 - (Antwort)

hab mir nun mal die offizielle demo der software geladen, und damit kann ich nur gelöschte fotos zurückholen, aber keine defekten Header repariern. kannst kurz erörtern wo und wie du das gemacht hast? ist vielleicht nicht ganz unwichtig für viele, falls es tatsächlich geklappt hat bei dir

#10 - merlino1968 02.06.2012 22:46 - (Antwort)

1. Dateien in *.jpg umbenennen
2. Hetman file repair benutzen (research-funktion)
Ich hoffe ich konnte helfen,

gn8

#10.1 - Primar 02.06.2012 23:40 - (Antwort)

cool, hab eine wiedrherstellen könne;-) bei anderen gehts nun nicht mehr. warum nur eine? mal sehn, ich teste weiter

#10.2 - Aditek 18.06.2012 01:32 - (Antwort)

3 Bilder getestet mit der research-Funktion, und 3 Bilder angezeigt. Klasse Idee! DANKE

#11 - Bejoen 04.06.2012 07:55 - (Antwort)

Servus,

gehöre auch zu den Zwangsverschlüsselten (gestern via Flirt-Fever-Email), bin aber anhand Deiner Dokumentation be einigen Sachen noch nicht wirklich schlauer geworden, denn ich wüsste gern, ob es schon ein Programm gibt, dass diesen Schädling eliminiert oder man besser noch warten sollte.

Zweitens - wie funktioniert die Ausbreitung genau - kann ich bspw. nicht verschlüsselte Daten (die zumindest danach aussehen) vom infizierten System runterziehen und anderweitig aufspielen oder sind diese auch infiziert und auf andere Systeme übertragbar (selbststartend oder erst per Aufruf / kopieren) , z.B.wären das Bilder oder Excel-Files?

Gleiches gilt für die Verschlüsselung, beginnt die nur mit dem Startvorgang von Windows oder auch als externe Zusatzplatte? Kann man ggf.üer DOS den Prozess stoppen?

#11.1 - Martin 04.06.2012 09:28 - (Antwort)

Virus Eliminieren: Entweder mal Kaspersky Rescue Disc probieren oder mit einer Linux-Disri Deiner Wahl starten und den Virus löschen: Er sollte sich im eventuell im %temp%-Verzeichnis finden, ganz sicher im Benutzerverzeichnis (hier in einem Verzeichnis mit sinnloser Buchstabenkombination) und dann noch unter Windows\system32 (nach Datum sortieren, [Hexzahlen.exe]). Wenn Dir das Löschen im Windows-Verzeichnis zu heiß ist, lass es jemanden machen, der sich damit auskennt :-)

Ausbreitung: Es ist bisher kein Fileinfector, d.h. der Virus befällt keine anderen Dateien, sondern installiert sich selbst in verschiedenen Verzeichnissen. Das kann sich natürlich ändern, ist aber unwahrscheinlich, da es nicht seiner Logik entspricht: Erpressung vs Verbreitung.

Der Virus wird mit Windows-Start gestartet. Wenn Dein Benutzerverzeichnis auf eine externe HDD ausgelagert wäre, würde er auch von dort starten. Die Verschlüsselung beginnt erst nach Kontaktaufnahme mit einem CC-Server über das Internet.

Am Besten erst Virus entfernen, dann Daten sichern, dann OS neu installieren :-)

#11.1.1 - Bejoen 06.06.2012 09:55 - (Antwort)

Noch zwei Fragen und dann habe ich es wohl, dass ich anfangen kann mit dem Wiederherstellen.

Die Platte is mit Truecrypt verschlüsselt, da wird doch mit DOS-basierten Programmen vermutlich gar nix zu finden sein?

Demnach käme wohl Fall zwei in Betracht, denn ich hab ein neues System aufgesetzt und könnte die verseuchte Platte einfach als USB-Laufwerk anschließen und scannen lassen. Der Virus breitet sich dann nicht aus respektive befällt keine anderen Bereiche?

#11.1.2 - Matti 12.06.2012 15:22 - (Antwort)

Hallo Martin
Hier ist Matti. Ich arbeite mit dem Berliner Kurier zusammen und wir wollen über den virus und seine gefahren berichten. kann ich dir kurzfristig ein paar Fragen stellen?

Besten Gruß Matti

#12 - organspender 06.06.2012 14:36 - (Antwort)

Hallo zusammen,
der PC einer bekannten wurde gestern auch über eine flirt-fever mail infiziert,
den virus haben wir mittels der kaspersky rescue disc wieder entfernt und windows wieder entsperrt bekommen, nur die dateien sind noch verschlüsselt, darunter bilder und textdokumente,
gibt es schon eine möglichkeit diese wieder zu entschlüsseln?

grüße, spender

#13 - mak 06.06.2012 20:45 - (Antwort)

bei mir ist auch gestern wegen dieser scheinen flirt fever email das windows mit virus windows verschlussung trojaner infiziert. ich habe es zwar recovert aber alle datein sind immer noch verschlusst, bitte um eure hilfe, da ich sehr sehr sehr wichtige datain haben, weil sie gehören zu dennen leuten die jetzt nicht mehr lebend sind. bitte um eure hilfe

#13.1 - Chris 30.06.2012 19:49 - (Antwort)

Hat mich ebenfalls erwischt. Hab die Antimalware drüberlaufen lassen. Der trojan.random ist allerdings immer noch darauf. Werde es mit einer Iso-Datei und mit Kasperity probieren ob er dann endgültig runter ist. Dateien, werde ich wohl vergessen können. Hab leider kein Backup zum zurückspielen. Hoffentlich geht der Windows Explorer dann entlich wieder.

#14 - it-matt 11.06.2012 11:09 - (Antwort)

Hallo @ all,

ich hab heute mal wieder einen Rechner bekommen wo der ganze Dateien Name verschlüsselt ist? Habt ihr schon einen Lösung dazu? Ich weis da auch nimmer weiter! Oder bleibt da nur noch Platt machen?

danke euch

#15 - mowhawk 12.06.2012 11:01 - (Antwort)

LOL, es hätte r := GetRandomNumber MODULO $3E; sein müssen, dass limitiert die möglichen Permutationen um Größenordungen, denn

(62)_10 = (0011 1110)_2

d.h. die Bits 2¹,2²,2³,2?,2? können nicht null werden.

begin
i := 0;
while i len do
begin
// GetRandomNumber entspricht der Funktion GetCpuTimeCode aus Beitrag #33
r := GetRandomNumber and $3E; // $3e=62
(s + i)^ := l[r];
inc(i);
end;
end;


und ab hier kann sich der programmierer selbst vom passwort verabschieden, selber fehler


len := (GetRandomNumber and $1F) + 30; // 30

#16 - mowhawk 12.06.2012 11:03 - (Antwort)

len := (GetRandomNumber and $1F) + 30; // 30

#17 - mowhawk 12.06.2012 11:05 - (Antwort)

hätte wieder MODULO sein müssen!
AUTsCH!

ps.: stimmt was nicht mit dem php script nicht

#18 - Frank Sawatzki 13.06.2012 17:29 - (Antwort)

Keine Ahnung wie der Sack das hinbekommen hat. Mittlerweile erreichen mich Meldungen, daß infizierte Rechner trotz korrekter Einstellungen im Bios nicht mehr von einer Notfall-CD gebootet werden können. Nach Rücksprache mit Microsoft wurde dieses Verhalten sogar bestätigt. Derzeitiger Lösungsansatz von Microsoft:

CMOS-Batterie für mindestens 5 Minuten besser 15 Minuten entfernen. Wenn das helfen soll - viel Spass an alle Laptop-Besitzer.

#19 - Falk 13.06.2012 18:05 - (Antwort)

Wenn ich das alles richtig verstanden habe, beginnt die Verschlüsselung nach dem 3. Verbindungsversuch?
Also dem Beispiel:
hxxp://ogutors-free.com/a.php?id=8C20AF3F4B435546464F&cmd=lfk&ldn=35&stat=CRA&ver=1.170.1&data=MON1xEF944FhyhIF7GcaNYG29T6Zf lvjVTFc2zKPPP8VnTIA

Beim ersten Versuch holt er sich die IMG Dateien, beim zweiten Versuch die txt Dateien (vermutlich).
Beim 3. dann den "Key" und dann wird entcryptet?

Ich würde ja den hervorgehobenen Teil im 3. Versuch mal als Key probieren.

Mit netstat oder einem ähnlichen Tool sollte es auch möglich sein heraus zu finden wohin der Client sich verbindet wenn die Links aufgerufen werden. Nur für den fall das die a.php weiter leitet

#20 - Terminator 24.06.2012 05:27 - (Antwort)

Wieso sind alle so emsig damit beschäfigt, das "Malware-Spiel" mitzuspielen.
Es sollte nach Lösungen der ganz anderen Art gesucht werden.
Wenn z. B. alle paar Tage weltweit eine Meldung erscheinen würde, aus der hervorgeht, dass wiederholt Malwareprogrammierer auf mysteriöse Weise verschwunden sind, tot aufgefunden wurden oder anderweitig zu Schaden gekommen sind, dann würde auch die "Verschlüsselungs-Trojaner-Problematik" schnell an Bedeutung verlieren. Letztendlich lassen sich die Verursacher mit ein wenig Detektivarbeit durchaus ermitteln. Aber scheinbar ist keiner daran interessiert, was darauf schließen lässt, dass alles nur halb so schlimm ist oder dass es einfach noch die "Richtigen" getroffen hat.

#21 - Terminator 24.06.2012 05:29 - (Antwort)

korrigierte Version:

Wieso sind alle so emsig damit beschäfigt, das "Malware-Spiel" mitzuspielen.
Es sollte nach Lösungen der ganz anderen Art gesucht werden.
Wenn z. B. alle paar Tage weltweit eine Meldung erscheinen würde, aus der hervorgeht, dass wiederholt Malwareprogrammierer auf mysteriöse Weise verschwunden sind, tot aufgefunden wurden oder anderweitig zu Schaden gekommen sind, dann würde auch die "Verschlüsselungs-Trojaner-Problematik" schnell an Bedeutung verlieren. Letztendlich lassen sich die Verursacher mit ein wenig Detektivarbeit durchaus ermitteln. Aber scheinbar ist keiner daran interessiert, was darauf schließen lässt, dass alles nur halb so schlimm ist oder dass es einfach noch NICHT die "Richtigen" getroffen hat.


Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA

BBCode-Formatierung erlaubt
 
 

Kategorien

  • XML IT
  • XML Linux
  • XML Politik
  • XML Sicherheit

Alle Kategorien

Archive

  • Dezember 2019
  • November 2019
  • Oktober 2019
  • Das Neueste ...
  • Älteres ...

Blog abonnieren

  • XML RSS 2.0 feed
  • ATOM/XML ATOM 1.0 feed

Blogroll

  • Freunde / Familie
    • Manus Blog
  • Privacy / Linux
    • rabenhorst
    • itnomad
    • f!xmbr
    • hightech lowlife
    • EDV

Useful

Unterstütz das tor-Netzwerk! Bürgerinitiative für Breitbandinfrastruktur in Berlin_Pankow WiMAXTalk Creative Commons License metaowl! AK-Vorrat

RAID Datenrettung


Impressum / Datenschutz

 

Layout by Andreas Viklund | Serendipity template by Carl