moin Microwave,
hast du die im Link und dem dazugehörigen Forumsthread gemachten Informationen gelesen?

Zitat:

Zitat von BC

the infection will perform the following actions:

• Connects to the Command and Control server and uploads your private key.
• Deletes all Shadow Volume Copies so that you cannot restore your files form the Shadow Volumes. This means you will only be able to restore your files by restoring from backup or paying the ransom. In some cases the infection does not properly clear the shadow copies, so you may want to use the instructions below to see if you can restore from them.
• Scan your computer and encrypt data files such as text files, image files, video files, and office documents.
• Create a screenshot of your active Windows screen and upload it their Command & Control server. This screen shot will be inserted in your payment page on their Decrypt Service site, which is explained further in this FAQ.
• Creates a How_Decrypt.txt and How_Decrypt.html file in every folder that a file was encrypted. The HTML and TXT files will contain instructions on how to access a payment site that can be used to send in the ransom.
• Creates a HKCU\Software\<unique ID>\ registry key and stores various configuration information in it. It will also list all the encrypted files under the HKCU\Software\<unique ID>\PROTECTED key.

Habe ich zwar nicht, aber da steht ja, dass der CL den Computer "scannen" würde.
Dies wiederum bedeutet für mich eine rekursive Abfolge von Verzeichnis-Auflistungen, bis der gesamte PC gescannt wurde.
Und somit müsste mein Vorschlag doch zumindest theoretisch tauglich sein zur Präventation?
Ich probiere vermutlich mal, an so ein Teil zu kommen, und versuche es dann mit und ohne Patching.
500 Dollar sind schon ziemlich viel Holz....


Grüsse - Microwave

Mhh, du schreibst, er scannt nach Pfaden.
Ich kenne den Code zwar nicht, denke aber, er scannt nach Extensions und die Pfade sind ihm dabei wurscht.

Das ist soweit schon klar, dass er primär nach einschlägigen Dateierweiterungen sucht.
Jedoch müsste er ja zumindest wissen, ob es im Verzeichnis "X" ausser den Ordnern "A" und "B" noch einen weiteren Ordner "C" gibt, der Dateien mit "ge-blacklisteten" Erweiterungen enthalten könnte.
Das geht meiner Meinung nach nur über FindFirstFile/FindNextFile-Aufrufe, die dann irgendwann in NtQueryDirectoryFile münden, oder aber über direkten RAW-Lesezugriff (eher unwahrscheinlich) auf das zu durchsuchende Volume.
Und mein Ansatz war es halt, zu verändern, was Windows dem Trojaner zurückgibt, so dass Ordner B für diesen nicht mehr sichtbar wäre. Also kann er gar nicht erst den Versuch machen, den Ordner zu traversieren, weil er ja überhaupt nicht weiss, dass es diesen Ordner gibt.
Da der Ansatz nicht signaturbasiert ist, würde man auch gegen CryptoDefense und CryptorBit und Crypto-Schlagmichtot geschützt sein, wenn die Theorie aufgeht.


Grüsse - Microwave

Zitat:

Zitat von Microwave

Ich probiere vermutlich mal, an so ein Teil zu kommen, und versuche es dann mit und ohne Patching.

Habe nun einen funktionierenden CryptoLocker gefunden und einige Versuche gemacht:
Wenn ich ihn einfach so laufen lasse, beginnt er nach dem nächsten Neustart damit, alle Dateien zu verschlüsseln. Das ganze ist übrigens kaum zu ignorieren, da plötzlich eine extreme Festplattenaktivität und eine höhere CPU-Auslastung vorhanden sind.
Der Vorgang ist recht fix, und nach 10min waren etwa 10GB durchsucht und je nach Endung verschlüsselt (interessant ist, dass JPG-Dateien mit nur genau 8.3-Namen verschlüsselt wurden?!).
Danach erschien ganz normal das CryptoLocker-Fenster, wo mir gezeigt wurde, welche Dateien verschlüsselt worden waren, und dass der Spass halt 400€/$ in Form von BitCoins (oder via MoneyPak) kosten würde. Auf dem Desktop wurde zudem ein Wallpaper hinterlassen, wie ich vorgehen müsse, wenn Antiviren-Software den CryptoLocker bereits gelöscht hätte.

Da der Trojaner laut Process Hacker auf die user32.dll angewiesen war, konnte ich bei einem neuen Versuch via AppInit_DLLs zur Startzeit des Trojaners eine DLL in ihn injizieren, die bei jeder Ordner-Anfrage geschaut hat, ob der Trojaner gerade ein Verzeichnis mit "cryptprv" im Namen öffnen möchte, um die Dateien darin zu scannen. Falls eine Anfrage diesen Namen enthielt, führte ich in der DLL absichtlich eine verbotene Operation durch und der Trojaner wurde von Windows beendet.
(Da es einen Hilfsprozess gibt, hat der den Trojaner natürlich wieder neu gestartet, dieser hat weitergemacht, wo er aufgehört hatte, es hat wieder eine Zugriffsverletzung gegeben, er ist wieder beendet worden, und das ganze hat sich von vorne wiederholt.)

Der zweite Versuch bestand dann darin, im Ordnerlisting des CryptoLockers bestimmte Einträge auszublenden.
So wusste der CL gar nicht erst, dass ein bestimmtes Verzeichnis existiert.

Beide Methoden haben wie erwartet 100%ig funktioniert. Alle Dateien in geschützten oder unsichtbaren Ordnern waren vollkommen intakt, während bestimmte Dateien ausserhalb der Ordner unbrauchbar gemacht worden waren.
Die Wirksamkeit ist natürlich unabhängig vom Startort des Trojaners (vgl. CryptoPrevent)
und unabhängig vom Vorhandensein eines Überwachungstreibers (GryptoGuard von HitmanPro.Alert).

Es kann also (zumindest heuer) auch ohne Backups oder Signaturerkennung funktionieren...

Hoffe, meine Erkenntnisse bringen euch etwas.


Grüsse - Microwave

Hab noch nie sowas bekommen

OT @ K1ramox: Ich hab' noch ungefähr nie Malware im Allgemeinen bekommen, ausser wenn ich sie versuchsweise installiert bzw. danach gesucht habe.
Und beim Browsen war das Höchste der Gefühle, auf einer einschlägigen Seite eine schlecht programmierte Version des GEMA-Trojaners einzufangen. Das Teil bekam man sogar ohne abgesicherten Modus wieder los..
Dies, obwohl ich mir vorher richtig Mühe gegeben hatte, den Browser (Firefox) unsicher und outdated zu machen -.-


Grüsse - Microwave

Zitat:

Zitat von Microwave

OT @ K1ramox: Ich hab' noch ungefähr nie Malware im Allgemeinen bekommen, ausser wenn ich sie versuchsweise installiert bzw. danach gesucht habe.
Und beim Browsen war das Höchste der Gefühle, auf einer einschlägigen Seite eine schlecht programmierte Version des GEMA-Trojaners einzufangen. Das Teil bekam man sogar ohne abgesicherten Modus wieder los..
Dies, obwohl ich mir vorher richtig Mühe gegeben hatte, den Browser (Firefox) unsicher und outdated zu machen -.-


Grüsse - Microwave

russische porn-seiten, und to-seiten, dauert keine 3 minuten. so gebe ich den livelogs immer die letzte würze

Crypto Locker kann mittlerweilen mit etwas Glueck bei https://decryptcryptolocker.com/ entschluesselt warden.

Zitat:

Zitat von bombinho

Crypto Locker kann mittlerweilen mit etwas Glueck bei https://decryptcryptolocker.com/ entschluesselt warden.

Mit seeeeeeeehr viel Glück hoch 10.

Bombinho, du hast mathematisch anscheinend keinen Plan und nicht kapiert was exponentiell bedeutet.

Zitat:

Zitat von cosinus

Mit seeeeeeeehr viel Glück hoch 10.

Bombinho, du hast mathematisch anscheinend keinen Plan und nicht kapiert was exponentiell bedeutet.

Ich war mir nicht bewusst, dass die Anwendung einer Datenbank etwas mit 2er-Potenzen zu tun hat? Aber die Erklaerung wird sicherlich gleich folgen?

Manchmal schaeme ich mich schon regelrecht fuer mein Halbwissen.

Zitat:

Zitat von bombinho

...dass die Anwendung einer Datenbank etwas mit 2er-Potenzen zu tun hat?

Allein das zeigt schon, dass du nicht sonderlich viel Glück beim Nachdenken hast

Zitat:

Zitat von cosinus

Allein das zeigt schon, dass du nicht sonderlich viel Glück beim Nachdenken hast

Macht nichts, aber vielleicht kann ich Dir ja noch Nachhilfe beim Lesen erteilen: Zitat "Gegenüber Forscher Brian Krebs erklärten die beteiligten Sicherheitsanbieter, dass das Entschlüsselungswerkzeug öffentliche Schlüssel nutzt, an die Fox-IT im vergangenen Monat kam, als die Autoren von Cryptolocker sich einer Verhaftung entzogen."

Oh man du musst ja echt verzweifelt sein. Ich wünsche dir eine gute Besserung.

Zitat:

Zitat von cosinus

Oh man du musst ja echt verzweifelt sein. Ich wünsche dir eine gute Besserung.

Vielen Dank auch fuer Dein fundiertes Fachwissen. Und natuerlich die guten Wuensche.

Zitat:

Zitat von bombinho

Vielen Dank auch fuer Dein fundiertes Fachwissen. Und natuerlich die guten Wuensche.

Es freut mich immer wieder, wenn ich das Fachwissen anderer erweitern kann. Noch mehr freut es mich wenn das weitervermittelte Wissen auch mal genutzt würde. Und nicht schon wieder nach 1 oder 2 Jahren ein verzweifelter Hilfeschrei von bombinho käme, denn das wäre peinlicher als peinlich, schon jetzt sehen dich die meisten als Idiot Troll.