Hier meine bisherigen Erkenntnisse zum Trojaner:


Sorry an die Nicht-Computerleute wenn es etwas technisch wird.

Einfallstor war Rechnung2012[1].zip.vir md5=a385a8b3c3445a52400be54a1bb54e6e
Inhalt des Zip: Rechnung2012.pif 65536 Bytes md5=be4dd0c9fe78b6a3c3bf4f2750d52d6e
Weitere gemeldete datei gleichen Inhalts: nqqfoifwyj.pre.vir md5=be4dd0c9fe78b6a3c3bf4f2750d52d6e

Trojaner beseitigt mit Desinfec't 2011 mit allen Updates vom 18.5. + Systemwiederherstellung
Erkennung durch:
Avira: TR/Crypt.Gypikon.D.1 (nicht bei jedem Lauf erkannt!!)
Kaspersky: Trojan-Ransom.Win32.Gimemo.slv
ClamAV: W32.Trojan.Ransom-253
BitDefender: Trojan.Generic.KDV.625143
Windows Defender Offline: Trojan:Win32/Matsnu (Signaturen vom 19.5.12)

Avast meldet "Keine Bedrohung gefunden" (Signaturen vers 120515-1)

Wiederherstellen der zerstörten Dateien bisher erfolglos.

Beobachtungen:
Befall vermutlich nicht per Mail, sondern durch Besuch einer Webseite.
Der Trojaner ist höchstwahrscheinlich am Mi 16.5.2012 morgens um 7 Uhr auf den Win7-PC gekommen.
Darauf deutet das Zipfile in den Temporary Internet Files hin.
Zeit der Verschlüsselung vermutlich Mi 16.5.2012 am Vormittag.
Spricht gegen die Nur-Donnerstag-Theorie im delphipraxis.net-Forum (*).
Beschreibung der Benutzerin: Unbekannte Mails erhalten, aber nie geöffnet.
Seit ca. 9. Mai gelegentlich Excel-Files mit unsinnigem Inhalt, Rechner langsam, ein Mal Aufforderung, Excel upzudaten.
Zeitstempel der Verschlüsselten Directories: 16. Mai ca 8 Uhr.
16. Mai ca. 11 Uhr: Entdeckung, dass alle Dateien verschlüsselt sind, und Zahlungsaufforderung und Eingabe einer Fantasienummer.
Betriebssystem ist Win7 Home Premium mit Patches bis 8.9.2011, kein SP1

Dateinamen werden zu z.B. gursjjxrLNvfJTolaATNf
Datum und Länge der Originaldatei bleiben erhalten, nachgewiesen durch vereinzelte Backups von Benutzerdateien.
Mit Hexdump keine offensichtliche Trivialcodierung zu erkennen, ausser dass nach Hex3000 (12288) nicht mehr verschlüsselt wird.

Verschlüsselt D:/RECOVER, D:/ und vor Allem C:/Users incl. Subdirs
Einige Dateiendungen werden wohl ausgenommen, z.B. *.txt
Seltsam, bei einer absichtlichen Infizierung mit dem Trojaner wurde c:\Windosw\system32\taskmgr.exe gelöscht! Nicht reproduzierbar.
MP3s sind durch Umbennennen zu retten, denn die ersten 12 KB sind (fast) unbedeutend.
Office-Files sind eventuelle zu retten mit http://support.microsoft.com/kb/826864/de/

Testweise Wiederverseuchung, als Versuch, die Verschlüsselung an bekannten Files zu beobachten:
Befall reproduzierbar: Zahlungsaufforderung (wie im http://www.heise.de/security/meldung...n-1573945.html)
und bei falscher Nummerneingabe schwarzer Bildschirm mit der Meldung "Vielen Dank für die Zahlung ... Entschlüsselung ... mehrere Stunden ..."
Verschlüsselung nicht reproduzierbar. Es wurden keine weiteren Files verschlüsselt.
Randbedingung: keine Internetverbindung (zu riskant da mein Samba-Server verseucht werden könnte und mein Schtott-Firewallrouter keine DMZ hinbekommt).
Strg-Alt-Entf / Taskmanager / Datei / Neuer Task / explorer.exe:
Taskleiste kommt wieder, aber jedes geöffnete Fenster außer Taskmanager wird schwarz überdeckt. Systemwiederherstellung beseitigt das Problem.
Wiederverseuchung gelingt nur, wenn Rechnung2012.pif als exe umbenannt in einem schreibbaren Verzeichnis gestartet wird. Rechnung2012.pif löscht sich dabei selbst.

Fazit: Virenschutzprogramme bieten wohl keinen Schutz, einige erkennen die Bedrohung nicht einmal hinterher.
Einzige Rettung (außer Backup) wäre gewesen, beim Absturz nach öffnen des ZIPs oder sonstigem Ungewöhnlichn Verhalten der Rechnung den PC nicht mehr hochzufahren, sondern sofort Fachleute hinzuzuziehen. Aber wer macht das schon?


Meine Idee zum weiteren Vorgehen - leider fehlen mir die Mittel dazu: (Liest das hier jemand vom CCC oder von den Antiviren-Herstellern?)
1. Statisches reverse engineering des Trojaners,
2. Virus auf sauberes Testsystem loslassen und Netz-Aktivität beobachten, ob Code oder Keys nachgeladen werden.
Verschlüsselung live beobachten. Mit Debugger oder falls der Trojaner das merkt per Hardware. Ich habe schon live Leute gesehen die einen Logic-Analyzer an den Rechner gehängt haben und so einen Dongle-Code geknackt haben, so etwas geht wenn die Debugger und Hardwaretools zur Verfügung stehen - habe ich aber leider nicht.
Der Trojaner schafft die Verschlüsselung, also läuft die lokal am Rechner ab und muss zu beobachten sein.
3. Wenn es nicht bösartigerweise nur Zufallszahlen sind, woher kommt der seed der Codierung? Laut (*) werden gleichartige Dateien jedesmal anders verschlüsselt. Es ist unwahrscheinlich dass für jede Datei
ein eigener Schlüssel aus dem Netz geholt wird. Ich würde den seed lokal erzeugen, z.B. als hash aus Dateiname, Datum o.Ä.
4. Damit kann auch der Verdacht erhärtet / widerlegt werden, dass der Trojaner Zufallsdaten schreibt und gar nicht codiert.

Restaurieren gelöschter Dateien mit foremost unter Linux hat auch nicht viel gebracht. Die Hoffnung, dass die gelöschten Originaldateien vor Befall des Trojaners noch auffindbar sind hat nicht erfüllt.
Es gibt leider kaum Backups und keine Widerherstellungspunkte für die Benutzerdaten. Nicht schimpfen, ist nicht mein PC.


Google.de + metager.de mit der MD5 ergibt nur 2 nichtssagende Treffer.
Links zum Thema:
(*) hxx://www.delphipraxis.net/168380-verschluesselungs-trojaner-hilfe-benoetigt.html
hxxp://www.trojaner-board.de/115183-neue-verschluesselungs-trojaner-variante-umlauf-9.html
Windows Defender offline zeigt einen Link, der auch nichts neues bringt: hxxp://go.microsoft.com/fwlink/?linkid=142185&name=Trojan:Win32/Matsnu&threadid=2147652753




Nur der Vollständigkeit halber: weitere malware auf dem PC, die vielleicht ein Einfallstor war (eher unwahrscheinlich):
TR/Winlock.FB
Trojan-Downloader.Java.Agent.gr (aka Java.Trojan.Exploit.Bytverify.N)
EXP/JAVA.Niabil.Gen
PUA.Packed.Armadillo-1
PUA.Crypt.ScriptCryptor
PUA.Packed.PECompact-1
PUA.JS.Obfus-7
dazu noch einige Alarme bei PDFs


Vielleicht hilft es ja bei Gegenmaßnahmen.

mfg
Werner

Wie kommt die Erweiterung .vir zustande?

Bei der Erweiterung .pif ist ja festzustellen, dass Windows dieselbige ja standardmässig ausblendet. Ein Doppelklick auf so eine Datei im Email-Anhang kann Böses bewirken. Und man sieht ja nicht, dass es eine pif-Datei ist. Wenn sie xyz.pdf.pif heisst, sieht man eben xyz.pdf.

Gegenmassnahme: mit dem Registrierungseditor unter Computer\HKEY_CLASSES_ROOT\piffile den Schlüssel NeverShowExt in AlwaysShowExt umbenamsen.

Und warum nicht gleich die entsprechende Option für alle Dateitypen in den Optionen des Explorers aktivieren?

Weil die Extension von PIFs - genau wie die von LNKs - trotzdem ausgeblendet bleiben, auch wenn sonst alle Extensions angezeigt werden.

MfG Dalai

Wenn NeverShowExt vorhanden, dann wird nie angezeigt, egal was in den Exploreroptionen steht.
Wenn AlwaysShowExt vorhanden, dann wird immer angezeigt, egal was in den Exploreroptionen steht.
Ansonsten das was in den Exploreroptionen steht.

Mein Thunderbird zeigt die Endungen aber immer an ... den interessiert die Explorereinstellungen nicht.
Und beim Speichern zeigt auch der Feuerfuchs alle endungen an.
Ansonsten laß ich PIF und Co. ausgeblendet, denn sonst sieht es auf dem Desktop ganz schlimm aus.

Hi Werner

Der Virus um den ich mich kümmere wird in einer zipdatei per Mail zugestellt.
Dieser Virus verschlüsselt die Dateien genau so wie du beschrieben hast.

Der Virus macht den Taskmanager, regedit und msconfig kaputt. Und unterbindet mit Policy und Registryeinträge Rettungsversuche. Außerdem löscht er Einträge in der Registry die für den abgesicherten Startmodus notwendig sind. Deshalb die Bluescreens im abgesicherten Modus.

Dass sich die Zip-Datei im Temp Verzeichnis befindet könnte bedeuten, dass der Benutzer die ZipDatei angeklickt hat und der Mailer die zum Entpacken da reingeschrieben hat. Von einer Drive-By-Infektion mit diesem Virus habe ich bisher noch nicht gelesen.

Die Dateien sind verschlüsselt und nicht zerstört. Zuviel deutet im Code darauf hin und es wäre auch nicht der Stil des Virenprogrammierers.

Im Virencode gibt es nicht die geringsten Hinweise darauf, dass auf Debuggeranwesenheit getestet wird. Auch auf virtuelle Testumgebungen wird nichts geprüft. Zumindest sehe ich da nichts und ich bin sehr aufmerksam. Der Virus läßt sich leicht mit einem Remotedebugger anschauen und steuern. Naja ... nicht ganz so leicht, den ich kann die Verschlüsselung nicht anstoßen und beobachten. Diese Puzzlestück fehlt mir leider. Irgendwo muss da eine Callbackfunktion eingehängt sein, die bei mir nicht funktioniert. Wenn ich den Virus ausführe, dann macht der alles wie bei allen anderen auch, aber anstatt dann mit dem Verschlüsseln zu beginnen idle't er dann nur vor sich hin.

Die Frage dreht sich nur noch darum, wie man wieder an seinen Schlüssel kommt. Und ob der Schlüssel noch auf dem infizierten Rechner ist oder dieser außerhalb berechnet wird. ( @cookie22 - du hast es auf den Punkt gebracht ) Selbst wenn zweiteres der Fall wäre hätte man noch Chancen. Man müsste auf einem bereinigten Rechner (mit verschlüsselten Dateien) ein Programm starten welches eine Infektion simuliert, dann würde die Gegenstelle den Key erneut senden und man könnte dann den zum Entschlüsseln benutzen. Das wäre ganz und gar nicht so schwer, wenn ich endlich mal zuschauen könnte wie die Verschlüsselung stattfindet.

Jetzt probiere ich es mal mit Sandybox.

@Marcu:
Auf was für einem System testest du die Verschlüsselung denn? Auf einem physischen Rechner oder in einem virtualisierten System? Fals es sich um dein Originalsystem handelt, könnte der Virus irgendwo einen Wert gespeichert haben, der die erneute Verschlüsselung verhindert. Hier wäre es wohl am sinnvollsten den Virus auf einer VM zu analysieren.

@Marcu
wie alt ist deine trojaner version?
du benötigst dringend eine, die zu einem funktionierendem server verbindet, sonst wird das nichts mit der verschlüsselung.
da ich nicht genau weis ob ich hier solche infos anhängen darf, sende ich dir mal ein joebox report mit whireshark report + dropper als private nachicht