TOOOOOP!!! Vielen Dank! ))

Zitat:

Zitat von Qinjify

Magst du den mal posten?

Also nicht lachen, das sind die ersten Gehversuche in Java seit Jahren:

In der Funktion "folder" wird geprüft, ob das was ich eingelesen habe auch Dateien sind, wenn es eine Datei ist, wird sie an infected weitergegeben und ruft sich selbst wieder auf um in dieser Datei nach dem Unterordner zu suchen:

Code: Alles auswählenAufklappen

ATTFilter

private void folder(File f)
  {
    File[] fileArray = f.listFiles();
    
    for (int i= 0;i<fileArray.length;i++ ) {
       if ( fileArray[i].isDirectory() ) {
        infected(fileArray[i]);
        folder(fileArray[i]);
       } // end of if-else
    } // end of for
  }
         

In "infected" wird (und da liegt wahrscheinlich auch der Hund begraben) einfach der String "locked-" entfernt. Wenn etwas entfernt wurde (der String also kürzer ist) wird auch alles nach dem letzten "\\." entfernt
newName wird dann an eine Funktion übergeben, die es als Stream an eine Datei anhängt.

Code: Alles auswählenAufklappen

ATTFilter

private void infected(File f)
  {
    String value = "locked-";
    
    File[] fileArray = f.listFiles();
    
    for (int i=0; i<fileArray.length; i++ ) {
      
      String name = fileArray[i].getPath();
      
      String tempName1 = name.replaceFirst( value,"");
      if (name.length()>tempName1.length()) {
        String[] splitName = tempName1.split("\\.");
        String newName = "";
        for ( int inc=0; inc<splitName.length-1; inc++ ) { //Inkrement hört beim vorletzten auf, da wir den letzten Teil nicht haben wollen.
          if ( splitName.length > inc+2 ) {
            newName += splitName[inc] + ".";
          } else {
            newName += splitName[inc];
          } // end of if-else
        } // end of for
        
        System.out.println(newName);
        write(newName, saveTo);
      }// end of if-else
      } // end of for
    
  }
         

Das ganze funktioniert an sich so wie es soll:
Ganze Dateien werden nicht angefasst, kaputten wird der Name geändert.
Ins File werden nur die kaputten (bzw. reparierten) Dateinamen eingetragen.
Funktioniert wunderbar bis man eben zu viele Unterordner hat.

vielen Dank an Matthias Kunig !!
Funktioniert bei uns einwandfrei !
Leute wie Mathias braucht das Land !

vg
Gerd

Hi das mit der Backdoor-Funktion ist mir schon klar.
Nun hat das Teil bei mir jede Menge Zeit wieder Schaden anzurichten bevor ich ihm wirklich den garaus machen kann. Was hilft?
Hab mal ausgerechnet, dass ich bei der Datenmenge (Bilder, *.psd, tif, crw usw) bis morgen zum Frühstück zu tun habe, ohne das Backup-Laufwerk.
Soll ich zwischendrin aufhören und das Malware-Programm drüberlaufen lassen?

Diese Version arbeitet jetzt den auswählten Ordner rekursiv ab!
(+ kleine Aufräumarbeiten in 0.3.1)

Habe es mit 3 Ebenen mit jeweils 2 verschlüsselten Dateien erfolgreich getestet.
Wenn es auch bei euch funktioniert, ersetze ich den allgemeinen Link auf die Decrypt.jar durch diese Version.

Auf der TODO-Liste:
1. Logdatei & Fortschrittsanzeige
2. Netzwerklaufwerke
3a. Performance steigern, in dem die Datei nicht neu geschrieben wird, sondern nur die ersten 4 KB ersetzt werden (bisher bewusst vermieden; gefährlich ohne Sicherung der verschlüsselten Dateien)
3b. Die ersten 4 KB von typischen Windows-Medien (z. B. Beispielbilder) mitliefern, prüfen ob eine der Dateien auf dem betroffenen System verschlüsselt wurde und dann den Schlüssel automatisch generieren, ohne dass der Benutzer selber ein Pärchen finden/angeben muss

Download: DecryptHelper 0.3.2

Auf eigene Gefahr! Vorher (auch die verschlüsselten) Dateien sichern!
Die verschlüsselten Dateien nicht löschen, auch wenn die Entschlüsselung auf den ersten Blick erfolgreich war![/QUOTE]

Jajajaja, wird sofort einem Belastungstest unterzogen!

Der decrypter schneidet mir bei .xls, .docx einen Teil vom File- Header ab:



Meine Keyfile:

hxxp://dl.dropbox.com/u/26766620/decrypt.key

.jpg und .rar/.zip, die im selben Durchlauf berechnet wurden, funktionieren bisher komplett.


EDIT: gut, überschnitten mit der neuen Version, melde mich nach neuem Testlauf

Super! Bei mir funktioniert es!
Dank! Dem Meister

Zitat:

Zitat von Derben

Der decrypter schneidet mir bei .xls, .docx einen Teil vom File- Header ab:

... schnipp ...

Meine Keyfile:

hxxp://dl.dropbox.com/u/26766620/decrypt.key

.jpg und .rar/.zip, die im selben Durchlauf berechnet wurden, funktionieren bisher komplett.

Welchen Zustand der Datei sehe ich rechts/links?
Ist die wiederhergestellte Datei aufs Byte genau gleich groß zu der verschlüsselten Version?

@matkuni

Kann man den gleichen Schlüssel nutzen?
Übrigens kann ich mit der vorherigen Version (0.3) Prima mein NAS decrypten.
Beide Patienten (PC und NAS) an einen Switch und ran an die Buletten.

Gibt es eine Möglichkeit, Java mit mehr als einem CPU Kern arbeiten zu lassen? So sitz ich noch bis Ostern hier. (Ja, Ostern.)

Zitat:

Zitat von Bosnigel

@matkuni

Kann man den gleichen Schlüssel nutzen?
Übrigens kann ich mit der vorherigen Version (0.3) Prima mein NAS decrypten.
Beide Patienten (PC und NAS) an einen Switch und ran an die Buletten.

Ja, Schlüssel bleibt gleich! Es wurde nur der Quelltext aufgeräumt und das rekursive Durchlaufen der Verzeichnisstruktur ergänzt.

Zitat:

Zitat von matkuni

Ja, Schlüssel bleibt gleich! Es wurde nur der Quelltext aufgeräumt und das rekursive Durchlaufen der Verzeichnisstruktur ergänzt.

Super! Danke für die prompte Antwort.

Zitat:

Zitat von matkuni

Welchen Zustand der Datei sehe ich rechts/links?
Ist die wiederhergestellte Datei aufs Byte genau gleich groß zu der verschlüsselten Version?

Oh, Verzeihung, Links das Original aus einem Backup.

Original: 143.872 byte
Rekonstruktion: 143.872

Größe passt also noch

Benutzt du irgendwelche unicode- Funktionen oder andere, die
die Regionseinstellungen in Betracht ziehen? Habe Win7 Region auf
japanisch.

@irm
das diese backdoor funktionalität aufmerksamen lesern bewusst ist, ist klar.
ich schrieb das nur für die leute, die hier einen post ala, super, es hat geklappt, machen, und ihren pc dann nicht mehr weiter untersuchen lassen.
da diese malware nun einmal eine vollwertige schadsoftware, nicht wie das sonstige ransom ware gedöns ist, was wir so haben, muss das zwischendurch noch mal erwähnt werden :-)