AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

Verschlüsselungs-Trojaner, Hilfe benötigt

Ein Thema von Michael Habbe · begonnen am 18. Mai 2012 · letzter Beitrag vom 27. Dez 2017
Antwort Antwort
Seite 27 von 34   « Erste     17252627 2829     Letzte »    
johX

Registriert seit: 4. Jun 2012
11 Beiträge
 
#261

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 18. Jun 2012, 01:07
[QUOTE=Marcu;1171312]
Zitat:
In der Trojanerdatei "Bestellung Dnet24 GmbH .com" (2.000.11) sind Versionsinformationen hinterlegt. Das war bei der Version 1.150.1 nicht so. Da steht:

Version 5.7.0.6
Beschreibung: Tessei volli ombra lesso
Copyright: trarla cesta sedava 1997
Firma: vagite sarti
Interner Name: losca
Kommentare: Scampi fico veli
Marken: porvi ricevo
Orginaldateiname: losca.exe
Produktname: datomi

VG Marcu
So eine ähnliche habe ich auch; war aber schon am 23.5.
Subject: Deine Anmeldung, www.Singles-4you.at
bin mir aber nicht mal sicher, ob das Biest verschlüsselt oder nicht, da die exe noch nicht ausgeführt wurde.

Prova A Grattare Meglio
Forse Non è Cosi
CompanyName: We bello comè?
FileDescription: _Tappost?
LegalCopyright: What a feel
ProductName: Real Love
FileVersion: 5.03.0002
ProductVersion: 5.03.0002
InternalName: giggino
OriginalFilename: giggino.exe

(per Hexeditor ausgelesen)
hab' ich aber auch schon hochgeladen...

Gruß
Joh
  Mit Zitat antworten Zitat
deraddi

Registriert seit: 7. Jun 2012
16 Beiträge
 
#262

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 18. Jun 2012, 08:02
@Marcu: bei der 1.150 , weißt Du mit welchem Verfahren die $02 Datei verschlüsselt wird?
Ich will mich an der $02 versuchen mit CUDA, kann zwar noch kein CUDA aber habe Zeit ... lohnt es sich? Zur Verfügung stehen 2 stärkere Geforce, ich habe den Virus , die beiden abgelegten Dateien und die ca. 4200 verschlüsselten Bilder meiner Bekannten... meine C Kenntnisse sind etwas eingerostet, aber ich denke, da werde ich schnell wieder fit.
  Mit Zitat antworten Zitat
TBUndertaker

Registriert seit: 7. Jun 2012
2 Beiträge
 
#263

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 18. Jun 2012, 12:49
@deraddi,

Laut Prozeduraufruf der Windows-API-Funktion CryptDeriveKey
__in ALG_ID Algid, // 0x00006801

Nach MS ist der CALG 0x00006801 = RC4.

Ob das bei der Version 2 auch noch so ist, weiß ich nicht.

TBUndertaker
  Mit Zitat antworten Zitat
markusg

Registriert seit: 22. Mai 2012
28 Beiträge
 
#264

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 18. Jun 2012, 17:17
diese fake coppyright infos gibts schon in älteren versionen würd ich behaupten.
mal ne kleine anmerkung, da das hier schon häufiger gefragt wurde, wenn jemand aktuelle mails mit anhängen (spam) reinbekommt, hätte ich die gern
http://markusg.trojaner-board.de
wir haben da extra ne adresse eingerichtet, also keine falsche scheu :d

Geändert von markusg (18. Jun 2012 um 20:56 Uhr)
  Mit Zitat antworten Zitat
Zuelpich53

Registriert seit: 18. Jun 2012
1 Beiträge
 
#265

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 18. Jun 2012, 18:54
Hallo!
Auch wir haben uns mit unserer kleinen Firma den Verschlüsselungs-Trojaner von der angeblichen Firma Schwonders GmbH aus Berlin bzw. Hartmann GmbH aus Berlin gefangen.
Der Trojaner wurde zwar von einer Computerfirma geschlöscht, jedoch alle Daten sind verschlüsselt.
Ganz ganz schlimm sind die gespeicherten Daten der Buchhaltung für dieses Jahr. Am 01.07. muss ich die Umsatzsteuervoranmeldung abgeben und alles neu buchen ist ganz schöner Käse!
Gibt es eine Hilfe um nur diese eine Datei wieder zu entschlüsseln???????
Vorab DANKE für die HILFE!
Gruß
  Mit Zitat antworten Zitat
zeras

Registriert seit: 11. Mär 2007
Ort: Saalkreis
1.633 Beiträge
 
Delphi 12 Athens
 
#266

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 18. Jun 2012, 19:28
Mein Kollege hat sich heute auch so ein Ding eingefangen. Die Email soll seriös gewesen sein und eine Rückemail mit konkretem Namen.
Nun soll ich das Ding neu machen.
Neu formatieren sollte doch reichen oder?

Ich habe nun versucht, mit einer Live CD zu starten. Irgendwie geht das nicht, obwohl ich eigentlich die CD als 1. Bootmedium eingestellt hatte. Es startet nun Windows normal hoch, aber der Ukash Bildschirm kommt nicht mehr. Online bin ich nicht. Warum kommt der Bildschirm nun nicht mehr?
Matthias
Es ist nie falsch das Richtige zu tun!
- Mark Twain

Geändert von zeras (18. Jun 2012 um 20:01 Uhr)
  Mit Zitat antworten Zitat
johX

Registriert seit: 4. Jun 2012
11 Beiträge
 
#267

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 19. Jun 2012, 12:29
Es gibt genau genommen 2 Katalogdateien. Eine mit der Endung ".$02", die andere mit der Endung ".$03". In der $02 Datei steht <Originalname, Neuername, Passwort> für jede verschlüsselte Datei. In der $03-Datei steht <Originalname, Neuername> - für jede Datei - also ohne Passwort.

- Der $02-Katalog befindet sich in _unverschlüsselter_ Form immer nur im Speicher des Computers - niemals in einer Datei. Nachdem der Katalog mit dem Katalogpasswort verschlüsselt wurde wird er in der $02-Datei gespeichert. Das Katalogpasswort selbst wird nie in eine Datei abgespeichert und nach Gebrauch sogar explizit aus dem Speicher gelöscht.

- Der $03-Katalog wird so verschlüsselt und abgespeichert, dass man es leicht entschlüsseln kann. Außerdem wird diese Datei nach der Verschlüsselungsphase nur gelöscht und nicht geschreddert. Man hat gute Chancen diese Datei wieder herzustellen. Damit kann man aber keine Dateien entschlüsseln. Nur den Originalnamen kann man damit wieder herstellen.

vg
Wie weit ist es bisher mit der Entschlüsselung der $03-Katalogdatei?
Bist du da noch am Ball?
Mittlerweile gibt es ja einige Möglichkeiten, Dateien typabhängig wiederherzustellen, so das die Möglichkeit einer Re-Umbenennung schon sehr hilfreich wäre.

Joh
  Mit Zitat antworten Zitat
Marcu

Registriert seit: 20. Mai 2012
50 Beiträge
 
#268

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 19. Jun 2012, 14:58
@deraddi
Ich schick dir morgen oder übermorgen eine pm. Mach dir keine große Hoffnung. Da sind wir beide längst tot bis CUDA das erste Bild entschlüsselt hat. Falls es sich nur um Multimediadateien und um Bilder handelt, dann hast du aber trotzdem gute Chancen mit Reparaturprogrammen diese Dateien zurückzuholen. Es sind "nur" die ersten $3000 Bytes einer jeden Datei kaputt. Jpgs sind robuste Dateien. Viele Leute auf dem Trojaner-Board hatten Erfolg mit der Reparatur von verschlüsselten Bildern. Schau mal hier.
http://www.trojaner-board.de/116851-...tml#post842337
An deiner Stelle würde ich es mit Datenrettung versuchen.



@Zuelpich53

Zitat:
Der Trojaner wurde zwar von einer Computerfirma gelöscht, jedoch alle Daten sind verschlüsselt.
Falls die Daten der Buchhaltung mit der neuen Variante des Trojaners verschlüsselt worden sind, dann gibt es leider momentan keinen Weg die Daten zu reparieren. Es besteht auch keine Hoffnung, dass sich das bald ändert. Tut mir leid.

Eine winzig kleine Chance an halbwegs aktuelle Daten zu kommen besteht vielleicht noch. Einige Programme löschen während des regulären Betriebs alte Datendateien um Platz für die aktuellen Datendateien zu schaffen. Manchmal kann man gelöschte Dateien wieder herstellen. Eventuell findet sich noch eine gelöschte Buchhaltungsdatei mit der du weiterarbeiten kannst. Die Chance darauf ist klein aber ein Versuch wert. Mit einem Opfer hatte ich Kontakt der auf diesem Weg eine wichtige Datei zurück bekam. Man braucht aber eine Menge Glück damit das gelingt.

Auch haben einige Betroffene Dateien wieder über sogenannte "Shadowkopien" zurückbekommen können. Dieser Weg ist nur möglich, wenn der entsprechende Dienst auf deinem Computer gestartet war.

Noch eine letzte Hoffnung besteht im Allgemeinen - bei dir eher nicht da eine Computerfirma den Computer bereits untersucht hat. An anderer Stelle habe ich geschrieben:

Bei Kleinunternehmern werden oft Arbeitsplätze auch als Datenbankserver eingesetzt. Datenbankserverprogramme (mssql, mysql,firebird usw..) starten normalerweise früher als diese Malware und öffnen Datenbankdateien auf eine Art die es der Malware unmöglich macht diese zu verschlüsseln. Sollte ein solcher Computer betroffen sein, dann hat man beste Chancen diese Datenbankdateien unbeschädigt vorzufinden. Es lohnt sich das zu prüfen, da in diesen Datenbankdateien oftmals die Faktura/ Fibu/ Terminverwaltung usw. steckt.

Mehr kann ich dir momentan leider nicht helfen, Zuelpich. Das Trojaner-Board ist eine exzellente Anlaufstelle für Betroffene. Dort findet man eine Menge Informationen und kompetente Ansprechpartner zu diesem gemeinen Virus. Es ist mit Sicherheit die Zeit wert dort vorbei zuschauen.

@zeras

Zitat:
Neu formatieren sollte doch reichen oder?
Bei Version 1.150.1 kann ich sicher sagen, dass es reicht. Bei der Version 2.000.11 weiß ich mit Sicherheit, dass der injected Code nichts macht was ein Überleben nach einer Formatierung ermöglicht. Allerdings habe ich den Loaderteil der Version 2.000.11 noch nicht genau untersucht. Ich bin mir aber fast sicher, dass da auch nichts zu finden ist. Der Trojanerprogrammierer hat bisher nicht die geringsten Anstalten gemacht irgendetwas zu verheimlichen oder hartnäckig durchzusetzen. Es gibt keine "Tricks" die man sonst in Malware findet. Der Erpresser setzt einfach auf Quantität in jeder Beziehung und spart sich die Arbeit.

Zitat:
Ich habe nun versucht, mit einer Live CD zu starten. Irgendwie geht das nicht, obwohl ich eigentlich die CD als 1. Bootmedium eingestellt hatte. Es startet nun Windows normal hoch, aber der Ukash Bildschirm kommt nicht mehr.
Startet auf diesem Computer eine Windows-InstallationsCd? Ist vielleicht die LiveCd kaputt?
Der Ukash-Desktop sollte zu sehen sein. Läuft auf dem Rechner eine Sicherheitssoftware die spät, aber nun doch noch aufgewacht ist?

Viele Grüße
Marcu

Geändert von Marcu (19. Jun 2012 um 15:28 Uhr)
  Mit Zitat antworten Zitat
Marcu

Registriert seit: 20. Mai 2012
50 Beiträge
 
#269

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 19. Jun 2012, 15:02
Hallo Joh
Zitat:
Wie weit ist es bisher mit der Entschlüsselung der $03-Katalogdatei?
Bist du da noch am Ball?
Mittlerweile gibt es ja einige Möglichkeiten, Dateien typabhängig wiederherzustellen, so das die Möglichkeit einer Re-Umbenennung schon sehr hilfreich wäre.
Das ist ganz schnell gemacht. Besteht die Möglichkeit eine $03-Datei zu bekommen? Kannst du mir vielleicht eine per pm zuschicken, bitte?

vg Marcu
  Mit Zitat antworten Zitat
deraddi

Registriert seit: 7. Jun 2012
16 Beiträge
 
#270

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 19. Jun 2012, 15:44
@ Marcu: danke für die Info. Datenrettung scheidet leider aus, im Trojaner Board bin ich schon, diverse JPEG Tools bringen gerade mal 5 der um 4200 Bilder in voller Größe wieder. Sie hat die Bilder einfach zu klein gemacht, 60k - 150k. Zu wenig Daten für Wiederherstellungen.

Daher meine Überlegungen die $02 zu bruteforcen.
Wenn sie in RC4 codiert ist, kann ich ja Ansätze suchen den Stream zu finden, da mir Teile der Pfade bekannt sind. "C:\Dokumente und Einstellungen\" wäre z.B. ein Teil der Datei den ich im RC4 Stream bruten muss. Muss mir da noch konkret Ansätze überlegen.
Da die werte Dame schon die Hoffnung aufgegeben hat und mit den ca. 2000 Bilder ihrer alten Datensicherung z.Z. leben kann habe ich Zeit. Und sehe es als Herausforderung an, einen Ansatz zu finden.
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 27 von 34   « Erste     17252627 2829     Letzte »    

 

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 09:56 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz