Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)

matkuni

Es handelt sich hierbei um die neue(?) Ransomware, die Dateien verschlüsselt und im Format "locked-<ursprünglicher Dateiname>.wxyz" ablegt.
Ich habe selber einen betroffenen Rechner (Mein Beitrag im "Log-Analyse und Auswertung"-Bereich: http://www.trojaner-board.de/114110-...ked-wxyz.html]) und wollte eigentlich hier antworten: http://www.trojaner-board.de/114113-...-trojaner.html
Da ich dazu jedoch keine Rechte habe und auch hoffe, dass mir ein ebenfalls Betroffener meinen Fund bestätigt, schreibe ich einfach hier

--- los geht's... ---

Habe die Dateien mal genauer analysiert und mehr oder weniger die "Verschlüsselung" gebrochen..

Meine Erkenntnisse:

* Ein von der Position identisches Byte an einer beliebigen Stelle ist über unterschiedliche Dateien in der verschlüsselten Version weiterhin identisch
* Wenn man zwei unterschiedliche Bytes an der selben Stelle mit dem verschlüsselten Byte XOR'd kommt das selbe Ergebnis raus

=> Alle Dateien sind mit dem selben Schlüssel verschlüsselt (meine Befürchtung war zunächst, dass die zufällige Dateiendung einen Einfluss hat - ist aber nicht so!)
=> Die Dateien sind lediglich bitweise per XOR-Operator mit dem Schlüssel verknüpft

Als Quelle dienen ein paar verschlüsselte Dateien, von denen ich noch die ursprüngliche Version hatte:

Originale Größe: hxxp://matthi.org/hex.png



Schlüssel für die ersten 16 Bytes in hexadezimaler Schreibweise:
5E 9D 42 54 C4 D1 C4 C0 FF 9B CB F6 24 FD B3 E3

Kann jemand bestätigen, ob der Schlüssel bei ihm identisch ist?
-> XOR-Operator auf ver- und entschlüsselte Datei
-> oder mit dem Schlüssel einen gültigen Dateikopf wiederherstellen


Die größte Datei, die mir ver- und entschlüsselt vorliegt, ist 12.9 MB groß.. wenn alles klappt, sollte ich zumindest Dateien die kleiner sind wiederherstellen können.. werde mir mal ein kleines Hilfsprogramm schreiben!


--- UPDATE ---

Beim Auslesen ist mir aufgefallen, dass nur die ersten 4 KBytes verschlüsselt werden - der Rest bleibt unberührt!

Hier ist der 4 KB große Schlüssel, der jedenfalls für _meine_ Dateien funktioniert: hxxp://matthi.org/decrypt.key (ob auch eure Dateien mit dem selben Schlüssel bearbeitet wurden muss sich noch herausstellen...)
Habe damit erfolgreich eine MP3 und ein PDF wiederhergestellt. Werde wahrscheinlich morgen etwas zum Automatisieren basteln..


Gute Nacht

Kann nicht mehr editieren... hier ein schneller Proof-of-concept als Java Applikation, mit der ihr testen könnt, ob der Schlüssel überhaupt für eure Dateien passt:

Download: http://matthi.org/Decrypt.jar
Quelltext: [Java] Decrypt.jar - Pastebin.com

Auf eigene Gefahr und so.. keine Fehlerüberprüfung drin!

Decrypt.jar öffnen, eine verschlüsselte Datei auswählen (z. B. locked-IMG_0324.JPG.wnys) und warten bis sich das Programm beendet.
Es sollte jetzt IMG_0324.JPG im selben Verzeichnis existieren und hoffentlich korrekt entschlüsselt sein!