|
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
Gute Idee :-) Hab ich sogar mal einfach blind ausprobiert. So ging es leider aber nicht. Die Information die man zum Entschlüsseln jeder Datei braucht steckt in einer der Dateien im temp-Verzeichnis. Dort ist jeweils der alte Orginal-Dateiname, der völlig zufällig neue Dateiname und ein Schlüssel abgelegt.
Für die Leute die verständlicherweise dringend auf eine Lösung warten und Anfragen schicken: Wenn hier mal Stille ist, bedeutet es nicht dass keiner mehr daran arbeitet oder gar das Interesse verloren ist!!! |
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
Liste der Anhänge anzeigen (Anzahl: 1)
Ich bin mir nicht sicher, was es zu bedeuten hat.
Ich habe auf dem Kundenrechner, nachdem die Daten gesichert wurden, die "rechnung.pif" erneut ausgeführt gehabt (bereits vor 2 Wochen). Nun ist mir aufgefallen, dass die eine Datei die im Temp angelegt wurde, mehrfach vorhanden ist. Einmal ohne Ext., das 2. Mal mit $ als Ext. Der Inhalt der 1048 Byte grossen Datei ist bis auf zwei Unterschiede gleich. --> Hab sie mal hochgeladen. Die größere Datei ist nur einmal vorhanden, dies könnte darauf beruhen, dass bereits alle vom Trojaner verschlüsselbaren Dateien bereits verschlüsselt waren. Somit gab es keine weiteren Dateien. Michael |
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
@Michael
Ich bin mir noch im Unklaren, was es mit den %temp% Dateien genau auf sich hat. @Marcu & all Habe mir die Sache jetzt noch mal angeschaut und vermute, dass Du recht hast. Ich konnte in meinen Memdumps keine Anzeichen für ein public-key Verfahren finden, wohl aber Hinweise auf die Kombination des Statischen keys (....ssh) mit einem bzw. vielen dynamischen. Ich habe dazu in meinem Blogeintrag noch einige Bilder hochgeladen. Spannend ist vor allem, dass im Memdump scheinbar Speicherbereiche zu finden sind, die eventuell eine Zuordnung von altem Dateinamen, neuem Dateinamen und dynamischen Schlüssel erkennen lassen. Wo dise dynamischen Schlüssel genau generiert werden, konnte ich noch nicht verifizieren. |
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
Ich habe jetzt alle Stückchen - bis auf eines - zusammen. Das war schwierig, weil der Virenprogrammierer für das Verschlüsseln der Benutzerdateien und für die Internetkommunikation und für die Verschlüsselung der Temp-Files jeweils verschiedene Kombinationen von MD5-Checksummen und RC4 Verschlüsselungen benutzt hat. Ich habe ständig den Faden dabei verloren was da wann für was benutzt wird, aber jetzt habe ich es sortiert.
Es fehlt ein Stück :wall: ... Ich schaue mir heute Nacht nochmal alles an um ganz sicher zu gehen. Aber ich hatte eben ein ganz klaren Blick darauf und es gibt da wenig Zweifel mehr. Am Wochenende schreibe ich auf wie es funktioniert - aber das kann ich auch ebenso sein lassen, weil es keine Daten zurückbringen wird. Das ist echt traurig - ich weiß sogar wie die Katalogdatei aussieht: Alterdateiname <crlf><crlf>Neuerdateiname<crlf>FehlendesPasswor t (unter anderem genau das steckt in den TempFiles, Michael) ... und doch fehlt ein Stück um da ran zu kommen. Es ist schwer mich an meine Frustrationsgrenze zu bringen aber die haben es gerade geschafft. Marcus :( |
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
Zitat:
Zitat:
Zitat:
lg |
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
Ich persönlich habe viele wichtige Daten verloren, und würde gar wochenlanges rechnen bei 100% CPU auslastung in Kauf nehmen, um die dateien wieder zu decrypten, aber wenn ein teil online berechnet wird, ist selbst dass nicht machbar, oder?
Ich danke jedenfalls bis hier allen die hier so viel Zeit hineinstecken und steckten und hoffe nach wie vor auf eine Lösung, auch wenn sie erst in einem halben Jahr wiederherstellbar wären;-) Danke an alle. |
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
@Marcu & all
Meine Nachfrage nach dem Memory-Dump hat sich gerade erledigt, da ich den Blogeintrag bei McAfee grad gelesen habe: hxxp://blogs.mcafee.com/mcafee-labs/ransomware-holds-up-victims . Dann wars das wohl: Der Basis-Schlüssel, der zur Entschlüsselung gebraucht wird, wird bei Infektion an den C&C-Server gesendet und ist somit nicht mehr auf dem Infizierten Rechner. Diesen Schlüssel bekommt man dann nur noch gegen Zahlung ausgehändigt, Game over :pale: |
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
hmmm ... es sieht so aus als ob das Passwort bevor es durch eine selbstgebraute Verschlüsselungsfunktion läuft und an den Server geschickt wird, nochmal vorher im Tmp-Verzeichnis gespeichert wird. Nur...warum sollte jemand einen Zweitschlüssel neben seinen sicheren Safe legen und den anderen Schlüssel im Internet verstecken? Das wäre zu schön um noch daran zu glauben. Aber der Sache gehe ich noch auf den Grund.
|
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
Hallo pcnberlin,
Zitat:
|
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
Hallo CAG83, Marcu, PCBerlin, etc..
ich glaube nicht, daß bei Zahlung der 100 EU die Daten wieder entschlüsselt werden - aber es käme evtl. auf einen Versuch an, sich die 100 EU zu teilen, den Schlüssel dann zu erhalten für diesen einen Entschlüsselungsfall und dann diesen für Testzwecke zum Programmieren mit den Daten bzw. dem PC den es betraf eine Entschlüsselung vielleicht für alle entwickeln zu könnn? ....bin selbst betroffen von der neuen Verschlüsselung und habe auch schon Strafanzeige gegen Unbekannt erstattet! Gruss RMC |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 05:52 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024-2025 by Thomas Breitkreuz