Bez verschlüsselter jpgs scheinen einige repair tools erfolgreich zu sein, das zeugs wieder herstellen zu können.

Ja, funktioniert aber nur halbwegs praktikabel bei Bild- (die auch noch groß genug sein müssen) oder Musikdateien oder generell solchen Dateitypen, die trotz Zerstörung des Headers und eines geringen Teils der Nutzdaten noch im Großen und Ganzen lesbar gemacht werden können (kann z.B. auch auf Archive wie .zip / .rar usw. zutreffen).

Andere Arten von Dateien sind unwiederbringlich verloren oder so stark zerstört, dass eine vernünftige Rekonstruktion ausfällt.

Hallo TBUndertaker

Ich habe es missverständlich formuliert.

Der Virus bestimmt per Zufall ein individuelles und zufälliges Passwort auf jedem PC und verschlüsselt damit eine Datei die gebraucht wird um alle verschlüsselten Dateien zu entschlüsseln. Der Ablauf ist folgendermaßen:

(Für Leute mit Debugger: Sucht die Funktion bei der eine lokale Variable mit folgendem String initialisiert wird "cmd=lfk&ldn=%u&stat=CRA&rev=%s&data=". Oder sucht die Funktion in der GetLogicalDrivesStringA aufgerufen wird.)

Genau damit hatte ich auch ein Problem. Bevor ich den Code reversed habe dachte ich noch an eine Art Hashfunktion die billig auf den C&C-Servern zu implementieren ist und aus einer ID ein Passwort generiert. Diese Vermutung war aber dann schnell dahin.
Es ist tatsächlich so, dass ein Passwortbestand von den Erpressern gepflegt wird. In diesem Datenbestand ist für jeden verschlüsselten Computer eine ID (Seriennummer+Computername) und das CatalogPasswort eingetragen.

Ob der Datenbestand in einer Textdatei oder in einer Datenbank oder in einer Cloud steckt kann man rausfinden wenn man die Datei "index.php" anschaut, die auf jedem C&C Server installiert ist. Ich wünschte so sehr, dass ich diese Datei hätte. Hätte man die "index.php" dann hätte man Zugriff auf die Passwörter der Opfer und könnte im Handumdrehen ein Programm schreiben, welches alle Computer entschlüsselt.

Das soll jetzt kein Aufruf zum illegalen Eindringen in fremde Computersysteme werden. Aber wenn mich einer per PM darüber informiert was für Tricks es gibt um php-Scripte auszuhebeln, dann wäre ich ihm auf ewig dankbar. Ich habe das Gefühl, dass die Erpresser sich seit ein paar Tagen über meine staubigen Sql-Injektionversuche totlachen.

Der Virus ist so ausgelegt, dass er die Daten entschlüsseln kann. Ich habe mehrmals Testdaten während einer Simulation vom Virus wieder entschlüsseln lassen. Der Grund dafür, dass bei den Leuten die tatsächlich bezahlen es nicht funktioniert, liegt bei C&C-Servern oder an einem Computer dahinter. Der Virus erhält einfach kein/oder ein falsches Feedback von den C&C-Servern. Gestern Nacht konnte ich nicht ein einziges Mal einen C&C-Server dazu bringen bei mir eine Verschlüsselung zu kommandieren. Es wundert mich nicht, dass das Entschlüsseln gleich schlecht funktioniert.

Der administrative Aufwand für die Verwaltung der Passwörter ist anscheinend zu groß. Vielleicht klappt es deswegen nicht mit dem Entschlüsseln. Vielleicht sind es auch Probleme die außerhalb der Reichweite der Virenprogrammierer liegen. Möglicherweise gibt es Probleme beim verifizieren der Paycodes.

Viele Grüße
Marcu

Und da ist es wieder, das Wort das hier völlig falsch am Platze ist!

Wäre ja auch schlimm etwas an einem Ort abzulegen, der dafür geschaffen wurde. Man legt auch kein Geld in einen Tresor oder stellt Verderbliches in den Kühlschrank, denn das lädt nur zu Schabernack ein

Es gibt hier Einige, die gute Arbeit leisten um andere zu Helfen und da finde ich es unangebracht diese als "dumm" zu bezeichnen!

Zudem schützt eine Ablage an anderen Orten nicht vor Verlust, auch wenn du es durch deine Aussage suggerierst!

Is halt merkwürdig, wenn die Jungs die daten verschlüsseln, einen teil des schlüssels auf nen server uploaden, und wenn einer zahlen will, passiert nix? Da hätten die die files ja auch komplett zerstören können oder so, wisst ihr was ich meine?

hab damals vor eine Woche direkt eine testmail an die im teyt angegebene mail gesendet, so auf die Art ich will zahlen mit dem Wortlaut UKash code im Betreff, da kam und komt bis heute eine not received message zurück.

BTW: Weiß jemand eine Community die mir helfen kann kann bez der jpegs? Bilder von kamera A lassen sich wunderbar wieder herstellen, Bilder von Kamera B von 100 Bildern nur 3.

Ich brauch da jemanden, de sich auskennt mit JPEG File aufbau, Header auslesen und umschreiben oder so was.

greetz und nachmals danke für die tolle rbeit hier, ich für meinen Teil sicher alle verschlüsselten Daten, samt der TEmpfiles und ein exemplar der selbstkopie des Trojaners HEX.exe und werd dann mal neu aufsetzten.
Vielleicht findet in einem Jahr mal wer einen Fehler im Viruscode oder so.

Da kann man als Außensteher wohl nur spekulieren. Wäre nicht das erste IT-Projekt, das nicht vollständig zu seinem Ende gebracht wird. Und von der Logistik her scheint mir der Rückweg des Schlüssels fast die größere Herausforderung - zumindest dann, wenn man wirklich anonym bleiben will (was in dem Fall aus Sicht der Trojaner-Entwickler wohl ratsam wäre).

Nicht desto trotz
Die ersten die ich sehe die werbung mit dem Trojaner (locked-version) machen und Geld damit verdienen wollen!
50 - 100 Euro..

Link Gelöcht.. anscheinend macht man hier alles falsch egal was man postet
Siehe nächster Beitrag

gruss

naja der eintrag is ja auch schon ein bissel älter, und es geht da um die locked.name.endung.zufalls endung
stimmt zwar das sie das anpassen sollten, aber welche firma sagt schon gern, "wir sind 29 %ig sicher, dass wir ihnen behilflich sein können"