|
Diskussionsforum: ScareUncrypt - Tool für verschlüsselte DateienWindows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben. |
29.04.2012, 17:29 | #1 | |
/// Helfer-Team | ScareUncrypt - Tool für verschlüsselte Dateien Hallo, bei einem Kunden hatte ich den gleichen Trojaner vor ca. einer Woche schon als Fund und hatte ebenfalls schon angefangen, was zu programmieren. Finde ich toll, dass anscheinend mehrere Menschen im Netz die gleichen Ideen haben ;-) Ich bin grade dabei einen "universellen" Unlocker zu bauen - unter XP kann ich derweil den Schlüssel automatisch erstellen, ohne dass irgendwelche alten und neuen Dateien gebraucht werden. ( hxxp://startseite.bitfox24.de/2012/04/sie-haben-sich-mit-einen-windows.html ) Bin grade dabei ein Image mit VISTA und WIN7 absichtlich zu infizieren, um das ganze dort auch einmal nachzustellen. Eine neue Verision von dem Trojaner ist ausserdem so dreist und sucht die Network-Shares ab - also Vorsicht, wenn wer in einer Virtuellen Maschine etwas nachstellt oder ihr euch mit einer infizierten Maschine im Netzwerk befindet! Kind Reguars, Oliver Wichtiger Hinweis: Es ist bereits eine neue Variante im Umlauf, die sich nicht mehr einfach entschlüsseln lässt. Daher folgende Hinweise:
Zitat:
|
30.04.2012, 13:49 | #2 |
/// Helfer-Team | ScareUncrypt - Tool für verschlüsselte Dateien Hallo,
__________________habe heute bei einem Emergency-Call wohl die "nummer Drei" sehen dürfen: Im Gegensatz zu der Variante mit 4 Buchstaben nach der Extension scheint der "große Bruder" 6 stellen nach der Extension zu nutzen (locked-datei.ext.123456) und geht geringfügig anders vor: Er besitzt 3 Blöcke zu 4K bzw. 6 Blöcke zu 2 K am Anfang der Datei. BlockA ist wie gehabt zu entschlüsseln. BlockB low ist BlockA low xor BlockB low. BlockC high ist BlockA high xor BlockB high. BlockB high und BlockC low scheinen unverändert. Der Bildschirm hat sich etwas geändert: Es handelt sich neuerdings um ein kostenpflichtiges Update von TrueCrypt... Die italiensichen Kommentare im Programmheader und die schlechte Grammatik sind immer noch gleich. Hab den neuen "Kumpel" auch mal mit in mein Programm gepackt. Für Win7 und XP arbeitet die "Schlüsselsuche" allein - man benötigt dort also keine 2 Dateien mehr. |
30.04.2012, 15:24 | #3 |
/// Malware-holic | ScareUncrypt - Tool für verschlüsselte Dateien @BITFOX
__________________kannst du mir die variannte zur verfügung stellen?
__________________ |
30.04.2012, 15:32 | #4 |
/// Helfer-Team | ScareUncrypt - Tool für verschlüsselte Dateien Hey Markus - von Nummer drei kann ich dir leider nur noch die "Auswirkungen" präsentieren - da hatte sich schon wer am System versucht... :-( Das einzige was ich noch finden konnte, waren Einträge in der Registry: Der Shell-Eintrag vom Explorer ware mal wieder verdreht worden. Die Nummer zwei kann ich dir Mittwoch geben, wenn ich wieder in der Firma bin. Hab ausserdem grade mal getestet - Unter 2K3, Win7, WinXP läufts fehlerfrei ohne zwei Schlüsseldateien und automatisch. Unter 2K8 und 2K werde ich das ganze dann ebenfalls am Mittwoch testen. ScareUncrypt-Download. |
03.05.2012, 14:50 | #5 | |
| ScareUncrypt - Tool für verschlüsselte DateienZitat:
Mir hat dann das Tool ScareUncrypt geholfen (http://www.trojaner-board.de/114548-...e-dateien.html). Als Datei habe ich zwei verschiede Windows Wallpaper benutzt, einem dritten wollte ich dann keine Chance geben. Beim ScareUncrypt konnte gleich von Anfang an ein Schlüssel erstellt werden und alle Dateien konnten wieder entschlüsselt werden. Danke eurem Forum Gruß Ede |
04.05.2012, 13:02 | #6 |
| ScareUncrypt - Tool für verschlüsselte Dateien Hallo Bitfox. da ich keine alt/neu-Dateien habe. bzw. es damit mit decrypthelper leider nur bei txt-dateien gefunzt hat habe ich jetzt dein Tool verwendet. Leider fkt. es bei mir auch nicht viel besser: txt ok pdf oben verscrambelt docx nur ein paar wilde zeichen Please help! |
04.05.2012, 16:27 | #7 |
/// Helfer-Team | ScareUncrypt - Tool für verschlüsselte Dateien Hallo Bitfox, auch bei mir nur Datenmüll bei "jpg" Dateien mit und ohne eigenen Dateien |
04.05.2012, 16:43 | #8 |
/// Malware-holic | ScareUncrypt - Tool für verschlüsselte Dateien kannst du mir mal das sample schicken, mit dem du dich infiziert hast, es gibt welche, wo das mit den paaren nicht mehr funktioniert schau mir das dann mal an, nenne in der mail, deinen nutzernamen an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert. wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ: .eml einstellen. dann mail an: http://markusg.trojaner-board.de dort die soeben erstellte datei anhängen. wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders. auch in zukunft, unbekannte mails mit anhang weiterleiten.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
04.05.2012, 16:59 | #9 |
/// Helfer-Team | ScareUncrypt - Tool für verschlüsselte Dateien Hallo Markus, hast von mir vorhin schon per Mail bekommen ;o) kanntest es aber leider schon. |
04.05.2012, 17:00 | #10 |
/// Malware-holic | ScareUncrypt - Tool für verschlüsselte Dateien sag mir mal deine mail adresse per privater nachicht.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
04.05.2012, 17:03 | #11 |
/// Malware-holic | ScareUncrypt - Tool für verschlüsselte Dateien hi, du bist wie gesagt einer der glücklichen mit dem trojaner, bei dem es mit paaren nicht mehr klappt. abwarten und tee trinken heißts da. und natürlich mails weiterleiten, sodas wir schnell reagieren können
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
04.05.2012, 17:23 | #12 |
/// Helfer-Team | ScareUncrypt - Tool für verschlüsselte Dateien naja zum "glück" bin es ja nicht ich sondern kundschaft von mir, aber böse ist es trotzdem. hatte vorige woche 2 Rechner da hat es wenigstens noch geklappt |
04.05.2012, 17:25 | #13 |
/// Malware-holic | ScareUncrypt - Tool für verschlüsselte Dateien ja, und da die leute uns das leben nicht einfacher machen wollen, haben sie das schnell geendert wie gesagt, hoffnung nicht aufgeben, das teil gibts ja erst seit gestern, und es wird drann gearbeitet vllt haben wir bald wieder was im angebot
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
04.05.2012, 20:27 | #14 |
| ScareUncrypt - Tool für verschlüsselte Dateien Hey Bitfox, habe mit deinen Tool den ersten Erfolg unter Vista erzielt, kein weiteres Tool hat den Schlüssel generieren können. Jedoch läuft dein Programm noch recht instabil. Wenn man ganz C:\ entschlüsseln will, legt er anfangs gut los und springt dann auf "Keine Rückmeldung" Manchmal sagt er auch "Dateizugriff verweigert". Wäre schön wenn du diese Probleme irgentwie beheben könntest, damit ich weitere Bereinigungen durchführen kann und nicht jedes Verzeichniss auswählen muss. Gruß Maas1337 |
05.05.2012, 11:48 | #15 |
/// Helfer-Team | ScareUncrypt - Tool für verschlüsselte Dateien Hallo, das mit dem "Dateizugriff verweigert" ist eine Macke bei Win7 auf Grund der neuen Berichtigungsstrukturen in den Verzeichnissen. Ich werde nachher mal einbauen, dass das Tool solche Dinge geflissentlich ignoriert. Auch das Speichermanagement werde ich noch mal durchdenken müssen - denn zwar ist nun das ScareUncrypt-Tool schneller als andere, aber streikt dann bei Systemen mit wenig Speicher bzw. kann man nicht wirklich sehen, dass es noch arbeitet. ("keine Rückmeldung" bedeutet nur "keine Rückmeldung" - nicht unbedingt gleich, dass er nicht mehr arbeitet.) Daher hier nun etliche Tools bestehen die alle technisch das gleiche tun, habe ich mich aber darauf verlagert, einen "universellen" Unlocker zu bauen, der Schlüssel ohne ein Zutun von draussen baut - also wenn mal wirklich gar keine Originaldateien da sind, denn es scheinen etliche genau das Problem zu haben, was ich schon mal angesprochen habe: Da wurden verschiedene Schlüssel auf der Platte benutzt, was im ersten Augeblick dagegen spricht, dass der Schlüssel aus fixen Systemdaten generiert wird. Ob das nun mit verschiedenen Laufwerksnamen oder Einschaltzyklen zusammen hängt, lässt sich nicht so wirklich ausmachen. Ich persönlich gehe immer noch davon aus, dass irgend ein INode als Komplement genutzt wird. Whatever. So lange es ein simples XOR bleibt scheint es mir, als hätte ich da derweil einen Weg. Nur leider ist meine Freizeit im Moment etwas rar gestrickt, weil ich zwischen Stuttgart, Frankfurt, Essen und Hamm herum gondel. Apropos neue Seuche: Geht es da um den neuen Typen den ich hier neulich schon beschrieben hatte? 3x2 Blöcke a 2K bzw 3x4K? Wenn nicht: Wenn mir mal jemand das noch neuere Biest schicken kann, wäre nett. |
Themen zu ScareUncrypt - Tool für verschlüsselte Dateien |
kunde, locker, scareuncrypt, verschlüsselte dateien |