@Marcu
wie gesagt, es geht mir nur darum, dass wenn diese leute das mitbekommen, sie schnell ihren code anpassen können und damit die arbeit dann früher zu nichte gemacht wird, als wenn ein tool rausgebracht wird und dann erst die malware angepasst werden kann.
und wie gesagt um mögliche probleme für dieses forum.
ich wollte damit weder ein forum schlechter, noch eines besser machen, ich wollte nur eine alternative anbieten, wo man sich ungestört beraten kann, da wir das intern machen, wo keiner mit lesen kann.
wegen der versionsnummern, ich glaube die sind im laufe der entwicklung eher willkürlich geworden.

Hat schon jemand Überlegungen angestellt ich die Richtung, dass ev der neue Dateiname der schlüssel einer jeden datei sein könnte? Ich glaube fast nicht, dass das alles random ist.
Zumal kommen lediglich gewisse Buchstaben, und nicht alle vor, auch sind keine zahlen enthalten.

Gute Idee Hab ich sogar mal einfach blind ausprobiert. So ging es leider aber nicht. Die Information die man zum Entschlüsseln jeder Datei braucht steckt in einer der Dateien im temp-Verzeichnis. Dort ist jeweils der alte Orginal-Dateiname, der völlig zufällig neue Dateiname und ein Schlüssel abgelegt.



Für die Leute die verständlicherweise dringend auf eine Lösung warten und Anfragen schicken:

Wenn hier mal Stille ist, bedeutet es nicht dass keiner mehr daran arbeitet oder gar das Interesse verloren ist!!!

Ich bin mir nicht sicher, was es zu bedeuten hat.

Ich habe auf dem Kundenrechner, nachdem die Daten gesichert wurden, die "rechnung.pif" erneut ausgeführt gehabt (bereits vor 2 Wochen).

Nun ist mir aufgefallen, dass die eine Datei die im Temp angelegt wurde, mehrfach vorhanden ist. Einmal ohne Ext., das 2. Mal mit $ als Ext.

Der Inhalt der 1048 Byte grossen Datei ist bis auf zwei Unterschiede gleich. --> Hab sie mal hochgeladen.

Die größere Datei ist nur einmal vorhanden, dies könnte darauf beruhen, dass bereits alle vom Trojaner verschlüsselbaren Dateien bereits verschlüsselt waren. Somit gab es keine weiteren Dateien.


Michael

@Michael

Ich bin mir noch im Unklaren, was es mit den %temp% Dateien genau auf sich hat.

@Marcu & all

Habe mir die Sache jetzt noch mal angeschaut und vermute, dass Du recht hast. Ich konnte in meinen Memdumps keine Anzeichen für ein public-key Verfahren finden, wohl aber Hinweise auf die Kombination des Statischen keys (....ssh) mit einem bzw. vielen dynamischen. Ich habe dazu in meinem Blogeintrag noch einige Bilder hochgeladen. Spannend ist vor allem, dass im Memdump scheinbar Speicherbereiche zu finden sind, die eventuell eine Zuordnung von altem Dateinamen, neuem Dateinamen und dynamischen Schlüssel erkennen lassen.
Wo dise dynamischen Schlüssel genau generiert werden, konnte ich noch nicht verifizieren.

Ich habe jetzt alle Stückchen - bis auf eines - zusammen. Das war schwierig, weil der Virenprogrammierer für das Verschlüsseln der Benutzerdateien und für die Internetkommunikation und für die Verschlüsselung der Temp-Files jeweils verschiedene Kombinationen von MD5-Checksummen und RC4 Verschlüsselungen benutzt hat. Ich habe ständig den Faden dabei verloren was da wann für was benutzt wird, aber jetzt habe ich es sortiert.

Es fehlt ein Stück ... Ich schaue mir heute Nacht nochmal alles an um ganz sicher zu gehen. Aber ich hatte eben ein ganz klaren Blick darauf und es gibt da wenig Zweifel mehr. Am Wochenende schreibe ich auf wie es funktioniert - aber das kann ich auch ebenso sein lassen, weil es keine Daten zurückbringen wird.
Das ist echt traurig - ich weiß sogar wie die Katalogdatei aussieht: Alterdateiname <crlf><crlf>Neuerdateiname<crlf>FehlendesPasswor t (unter anderem genau das steckt in den TempFiles, Michael) ... und doch fehlt ein Stück um da ran zu kommen.

Es ist schwer mich an meine Frustrationsgrenze zu bringen aber die haben es gerade geschafft.
Marcus

Ich finde es echt super, wie Du Dich mit dem Trojaner auseinandergesetzt hast & ich weiß, dass das verdammt viel Arbeit ist und von einzelnen prinzipiell fast nicht zu leisten ist, jedenfalls nicht wenn man noch ein wenig RL nebenbei hat . Deshalb hierfür ein großes Danke. Da wir ja an unterschiedlichen Stellen gearbeitet haben, wäre ich, wenn Du das wirklich tun möchtest an einem Bericht, "wie es funktioniert" durchaus interessiert, auch wenn es keine Daten zurückbringt.

Mit Katalogdatei meinst Du die im %temp%-Verzeichnis mit unterschiedlicher Dateigröße (je nach zu verschlüsselndem Datenvolumen)? Hattest Du den Screenshot von meinem Memory-Dump gesehen? Das sieht doch so aus, wie das, was Du beschreibst oder? In diesem Memdump sind aber meiner Ansicht nach genau die Passwörter drin, mit denen die Dateien verschlüsselt werden. Was ich zeitlich noch nicht geschafft habe, ist rauszubekommen, wie diese Passwörter generiert werden. Es scheint zudem ja für jede Datei einen neuen Schlüssel zu geben.


Was ich mich bei dem Teil ein wenig frage, warum es sich die Programmierer so verdammt schwer gemacht haben und nicht einfach asymmetrisch verschlüsselt wird und gut ist. Für jede Datei einen neuen Schlüssel ist so was von

lg