Wie weit ist es bisher mit der Entschlüsselung der $03-Katalogdatei?
Bist du da noch am Ball?
Mittlerweile gibt es ja einige Möglichkeiten, Dateien typabhängig wiederherzustellen, so das die Möglichkeit einer Re-Umbenennung schon sehr hilfreich wäre.

Joh

@deraddi
Ich schick dir morgen oder übermorgen eine pm. Mach dir keine große Hoffnung. Da sind wir beide längst tot bis CUDA das erste Bild entschlüsselt hat. Falls es sich nur um Multimediadateien und um Bilder handelt, dann hast du aber trotzdem gute Chancen mit Reparaturprogrammen diese Dateien zurückzuholen. Es sind "nur" die ersten $3000 Bytes einer jeden Datei kaputt. Jpgs sind robuste Dateien. Viele Leute auf dem Trojaner-Board hatten Erfolg mit der Reparatur von verschlüsselten Bildern. Schau mal hier.
http://www.trojaner-board.de/116851-...tml#post842337
An deiner Stelle würde ich es mit Datenrettung versuchen.



@Zuelpich53

Falls die Daten der Buchhaltung mit der neuen Variante des Trojaners verschlüsselt worden sind, dann gibt es leider momentan keinen Weg die Daten zu reparieren. Es besteht auch keine Hoffnung, dass sich das bald ändert. Tut mir leid.

Eine winzig kleine Chance an halbwegs aktuelle Daten zu kommen besteht vielleicht noch. Einige Programme löschen während des regulären Betriebs alte Datendateien um Platz für die aktuellen Datendateien zu schaffen. Manchmal kann man gelöschte Dateien wieder herstellen. Eventuell findet sich noch eine gelöschte Buchhaltungsdatei mit der du weiterarbeiten kannst. Die Chance darauf ist klein aber ein Versuch wert. Mit einem Opfer hatte ich Kontakt der auf diesem Weg eine wichtige Datei zurück bekam. Man braucht aber eine Menge Glück damit das gelingt.

Auch haben einige Betroffene Dateien wieder über sogenannte "Shadowkopien" zurückbekommen können. Dieser Weg ist nur möglich, wenn der entsprechende Dienst auf deinem Computer gestartet war.

Noch eine letzte Hoffnung besteht im Allgemeinen - bei dir eher nicht da eine Computerfirma den Computer bereits untersucht hat. An anderer Stelle habe ich geschrieben:

Bei Kleinunternehmern werden oft Arbeitsplätze auch als Datenbankserver eingesetzt. Datenbankserverprogramme (mssql, mysql,firebird usw..) starten normalerweise früher als diese Malware und öffnen Datenbankdateien auf eine Art die es der Malware unmöglich macht diese zu verschlüsseln. Sollte ein solcher Computer betroffen sein, dann hat man beste Chancen diese Datenbankdateien unbeschädigt vorzufinden. Es lohnt sich das zu prüfen, da in diesen Datenbankdateien oftmals die Faktura/ Fibu/ Terminverwaltung usw. steckt.

Mehr kann ich dir momentan leider nicht helfen, Zuelpich. Das Trojaner-Board ist eine exzellente Anlaufstelle für Betroffene. Dort findet man eine Menge Informationen und kompetente Ansprechpartner zu diesem gemeinen Virus. Es ist mit Sicherheit die Zeit wert dort vorbei zuschauen.

@zeras

Bei Version 1.150.1 kann ich sicher sagen, dass es reicht. Bei der Version 2.000.11 weiß ich mit Sicherheit, dass der injected Code nichts macht was ein Überleben nach einer Formatierung ermöglicht. Allerdings habe ich den Loaderteil der Version 2.000.11 noch nicht genau untersucht. Ich bin mir aber fast sicher, dass da auch nichts zu finden ist. Der Trojanerprogrammierer hat bisher nicht die geringsten Anstalten gemacht irgendetwas zu verheimlichen oder hartnäckig durchzusetzen. Es gibt keine "Tricks" die man sonst in Malware findet. Der Erpresser setzt einfach auf Quantität in jeder Beziehung und spart sich die Arbeit.

Startet auf diesem Computer eine Windows-InstallationsCd? Ist vielleicht die LiveCd kaputt?
Der Ukash-Desktop sollte zu sehen sein. Läuft auf dem Rechner eine Sicherheitssoftware die spät, aber nun doch noch aufgewacht ist?

Viele Grüße
Marcu

Hallo Joh
Das ist ganz schnell gemacht. Besteht die Möglichkeit eine $03-Datei zu bekommen? Kannst du mir vielleicht eine per pm zuschicken, bitte?

vg Marcu

@ Marcu: danke für die Info. Datenrettung scheidet leider aus, im Trojaner Board bin ich schon, diverse JPEG Tools bringen gerade mal 5 der um 4200 Bilder in voller Größe wieder. Sie hat die Bilder einfach zu klein gemacht, 60k - 150k. Zu wenig Daten für Wiederherstellungen.

Daher meine Überlegungen die $02 zu bruteforcen.
Wenn sie in RC4 codiert ist, kann ich ja Ansätze suchen den Stream zu finden, da mir Teile der Pfade bekannt sind. "C:\Dokumente und Einstellungen\" wäre z.B. ein Teil der Datei den ich im RC4 Stream bruten muss. Muss mir da noch konkret Ansätze überlegen.
Da die werte Dame schon die Hoffnung aufgegeben hat und mit den ca. 2000 Bilder ihrer alten Datensicherung z.Z. leben kann habe ich Zeit. Und sehe es als Herausforderung an, einen Ansatz zu finden.

Ich werde heute oder morgen die Originalplatte bekommen. Ich hoffe, das ich die $03-Datei darauf finde. $02 war jedenfalls drauf.
=> ich hab' glücklicherweise die Platte direkt ausgebaut und bisher nur ausgelesen...

gruß
Jochen

so... aus 2 Tagen wurden 3 Wochen ;-(

habe heute erst die Platte bekommen. Und ScheiXXe, 36000 gelöschte Dateien, aber keine $03 darunter.
In temp stehen:

5CB41BEA4D4F48545341.$02 => 2.523.050 Bytes, Datum 1.6. 18:35
5CB41BEA4D4F485453416854.$ => 1048 Bytes, Datum 1.6. 18:30
5CB41BEA4D4F485453416854 => 1048 Bytes, Datum 2.6. 15:49

Wenn ich alles richtig verstanden habe, sollte die Datei aber 5CB41BEA4D4F48545341.$02 heißen und auch im $user\temp-Verzeichnis liegen (gelegen haben).


Ich habe mir zwar schon ein Programm geschrieben, welches die (hier wichtigen) OpenOffice-Calc-Dateien erkennt und automatisch wiederherstellt, aber mit Dateinamen wäre vieles einfacher und schöner.

Gruß
Joh

Hab mich ja schon gefreut, dass ich und meine Umgebung bisher von dem Ding verschont wurde. Bis heute, als es meinen Bruder erwischte.

Die bisherige Analyse hat aber ergeben, dass es ein völlig anderes Ding ist, das weder verschlüsselt noch irgendwelche Anstalten macht, Taskmanager und/oder Registry zu sperren. Wenn man die Analyse von VirusTotal (zum Zeitpunkt der Analyse - kurz nach der Infektion - erkannten gerade mal 4 Scanner etwas!) noch mit rein nimmt, liegt nahe, dass es wahrscheinlich eine noch nicht lange in Umlauf befindliche Scareware ist. Auch wenn es hier im Thread konkret um die Trojaner geht, die Daten verschlüsseln, so will ich meine Erkenntnisse hier trotzdem kundtun (außerdem bin ich hier im Forum angemeldet im Gegensatz zum Trojanerboard).

So sieht das Ding aus, wenn es aktiv geworden ist. Das Bild entspricht also keiner der bei bka-trojaner.de abgebildeten Varianten.

Vorwort zur Analyse: Wie das Teil auf den Rechner kam, ist bislang ein Rätsel . Wir vermuten, dass es via Browser (evtl. durch das nicht ganz aktuelle Flash) passierte, können aber in der Chronik desselben keine Seite ausmachen, die dafür verantwortlich gewesen sein könnte. Via Mail fällt definitiv aus, weil am heutigen Tage keine Mails mit Anhängen eingetroffen sind (die eh nicht geöffnet worden wären) und außerdem ein Mailprogramm verwendet wird, das einen eigenen HTML-Renderer hat (The Bat!), sofern man doch mal von der in erster Linie genutzten Textansicht auf HTML-Ansicht umschaltet.

Ein Wort zu den Anhängen:

• wireshark_filtered.7z ist wie der Name schon sagt ein Mitschnitt mit Wireshark, gelaufen auf infizierten System mit Adminrechten, gefiltert nach der IP des infizierten PCs (ein ungefilterter Mitschnitt ist ebenfalls verfügbar).
• Logfile1.7z ist ein Mitschnitt der Aktivitäten von Process Monitor (ebenfalls gelaufen mit Adminrechten), gefiltert nach "Category | is | Write". Es existiert auch ein kompletter Mitschnitt ohne diesen Filter, aber da das Teil selbst gepackt ~6 MiB groß ist, hab ich die Sache erstmal gelassen; bei Interesse einfach melden.
• WSManHTTPConfig.7z enhält die Scareware selbst, geschützt mit dem Passwort "infected". Außerdem wurde die enthaltene EXE so umbenannt, dass sie nicht direkt startbar ist. Bitte trotzdem nur runterladen, wenn man weiß, was man tut und sein Testsystem absichtlich infizieren will!
• 2104c1be.7z enthält eine Datei ohne Extension, die die Schadware während der Aktivität runterlädt oder erzeugt. Der Name ist dabei zufällig. Was das genau für eine Datei ist, weiß ich nicht, sieht im Lister vom Total Commander aber ähnlich wie eine Executable aus, deshalb ist das Archiv ebenfalls passwortgeschützt.

Die (grobe) Analyse im Detail:

• Die Datei WSManHTTPConfig.exe kontaktiert einen Server im Netz (#557 und #587 im Wireshark-Log), von dem er eine Nummer bekommt.
• Nach Kontaktierung des Servers fragt er den DNS nach
  markieren

  Code:

  fglolituns.in
  (Wireshark #840) und holt sich von ihm
  markieren

  Code:

  GET /fimage/gate.php?uid={795BAA1E-F792-A0A6-23F5-554C8CCF3BC1}&user=44100100&os=2 HTTP/1.1
  (Wireshark #843), wahrscheinlich, um sich bei seinem C&C zu melden und die Sprache zu ermitteln. Wenn man die komplette URL inkl. der Parameter an ein wget übergibt, bekommt man eine URL zurück, die unter anderem ein "DE" enthält.
• Anschließend holt er sich das darzustellende Bild von /pic/DETujP.dat (Wireshark #856) und /pic/DEBukF.dat (Wireshark #983)
• Nach dem Laden der beiden *.dat wird daraus offensichtlich das Bild gebaut (im Verzeichnis %AppData%\hellomoto) und nun geht's richtig los.
• Die ursprünglich gestartete EXE kopiert sich selbst nach
  markieren

  Code:

  %LocalAppData%\Microsoft\Windows\*random*\RMActivate_ssp.exe
  , löscht sich vom Ursprungsort [Ergänzung] und trägt sich im Autostart (HKCU) ein [/Ergänzung]. Der Verzeichnisname scheint dabei zufällig zu sein, der Dateiname hingegen nicht.
• Prozesse werden abgeschossen: explorer.exe und taskmgr.exe
• wuauclt.exe wird gestartet (zweifach). Die im Archiv befindliche EXE ist also wohl eine DLL, die von wuauclt.exe geladen wird (gesehen hab ich davon nix im Process Explorer, aber vielleicht hab ich was übersehen). Der Prozessor wird übrigens durch die eine Instanz der wuauclt.exe ganz ordentlich belastet (60 bis 70% auf einem Sockel A-System).

Verhaltensanalyse:

• Jeder Versuch, den Taskmanager zu starten, wird unterbunden (vielleicht auch abgeschossen) und die Scareware bringt sich wieder in den Vordergrund.
• Nach Töten der wuauclt.exe (die übrigens im Kontext des Nutzers läuft statt wie üblich als SYSTEM), ist die Scareware beendet. Das geht übrigens ganz gut von einem anderen PC aus mit
  markieren

  Code:

  taskkill.exe /S <infiziertes_System> /U Administrator /IM wuauclt.exe
• Ohne aktive Netzwerkverbindung kopiert sich die Schadware ins o.g. Verzeichnis und startet wuauclt.exe, diese aber nur in einer einzelnen Instanz und sehen tut man von der Schadware ebenfalls nichts. Selbst, wenn man danach die Netzwerkverbindung reaktiviert, bleibt es bei dieser Situation.

Falls jemandem langweilig sein sollte, kann er sich gerne mit den Anhängen vergnügen und eine genauere Analyse machen . Dieser Beitrag (inkl. der Anhänge) darf auch gerne im Trojanerboard verarbeitet werden. Ich werde das Sample und den Screenshot in jedem Fall an botfrei.de schicken.

MfG Dalai

PS: Ich glaub, das ist einer der längsten jemals von mir verfassten Forenbeiträge, in jedem Fall in diesem Forum .

Hi Joh,

Geht mir ähnlich. Die RC4-Verschlüsselung ist mittlerweile eine freizeitfüllende Beschäftigung für mich geworden. Dabei wollte ich mir anfangs nur ein paar Resturlaubstage vertreiben

Ganz genau so ist es. Mit mehr Glück hättest du eine gelöschte $03-Datei finden können, welche im $user\temp-Verzeichnis lag. Dann hätte man den Dateien wenigstens ihren Orginalnamen zurückgeben können. Ohne die $03-Datei geht nicht einmal das.

Im Anhang ist das Programm "Decrypter" mit dem man unter anderem die $03-Datei entschlüsseln kann. Schade dass es bei dir jetzt nicht zum Einsatz kommen kann. Die $02-Datei, um die sich alles dreht, ist leider immer noch nicht zu entschlüsseln und die anderen Dateien sind unwichtig, da der Virus die nur zum abspeichern der Paycodeeingabe und ähnliches benutzt.

Tut mir leid - es gibt momentan nichts was dich auch nur den kleinsten Schritt weiterbringen würde.

@Alle

Mit RC4 beschäftige ich mich momentan sehr viel. Immerhin lässt sich ja durch Auslesen einer unveränderten Opferfestplatte der Inhalt der $02-Datei zu einem sehr großen Teil rekonstruieren. Die Größe des Anteils ist individuell, aber bei normalem Benutzerverhalten ist dieser höher als 70%. (Ein nicht normales Benutzerverhalten wäre in diesem Zusammenhang das Abspeichern aller Dokumente, Bilder etc. im Root-Verzeichniss - also direkt unter "c:\")

Die Frage ist ob man mit einer Plaintext-Attacke auf RC4 die Bruteforce-Suche so begrenzen kann, dass man doch noch in vernünftiger Zeit ein Ergebnis bekommt. Damit man darüber nachdenken kann ist es sinnvoll direkter mit RC4 umzugehen als es die CryptApi erlaubt. Im Quellcode von Decrypter habe ich RC4 auf möglichst leicht lesbare und verständliche Weise implementiert. Die vom Trojaner eingesetzte CryptApiverschlüsselung ist zu dieser Implementation kompatibel. Ich war bereits viele, viele Stunden auf der Suche nach einer Lösung, aber ich lande ständig wieder in einer Sackgasse. Um zu erkennen ob und wie man 70% bekannten Inhalt ausnutzen kann, braucht es einen der schlauer ist als ich es bin.
Der RC4-ALgorithmus ist sehr einfach und kurz. Im angehängten Decrypter habe ich alles zusammengeschrieben was man zum Einstieg brauchen könnte. Im Anhang befindet sich auch eine $02-Datei (verschlüsselt und unverschlüsselt + dazugehöriges Passwort und andere Testdateien).

Falls sich jemand damit beschäftigen möchte, würde ich mich sehr freuen und alles zuarbeiten was mir möglich ist.
Viele Grüße
Marcu

hi
nur als kurze warnung, nach langer ruhephase rollt der spam jetzt wieder dan, also vorsicht, und malware samples bitte auch an mich:
http://markusg.trojaner-board.de

hmmm,

Gedanken bzgl. Originaldateinamen

ich habe mir gestern mal die Auslagerungsdatei (Pagefile.sys) vorgenommen. Dort findet man massenhaft Verweise auf alte Dateinamen (vor der Verschlüsselung) und neue Dateinamen (syLAoqLgsUVxda).

Hat irgendwer ne Ahnung, wie die Datei aufgebaut ist? IMHO ist es ja so, das die verschiedenen gespeicherten Pages völlig wirr gespeichert werden, also müsste es doch irgendwo Verwaltungsinformationen geben, welche Page (von welcher Größe) an welcher Position der datei steht?

Oder standen diese Infos nur zur Laufzeit im RAM?

Gruß
Joh