Ok, würde mich freuen, wieder von Dir zu hören.

Hallo Markusg, ich wuerde mich freuen, wenn Du mir mehr Informationen zu dem Ransom-Teil, welches die Dateinamen mitverschluesselt zukommen lassen koenntest. Interessieren wuerde mich vor allem, ob es schon verschiedene Versionen davon gibt und ob Du mir mal was debug-faehiges zukommen lassen koenntest.
Gibt es dafuer schon Identifizierungen (Namen) von verschiedenen AV-Anbietern?
Oder gar eine, die haeufig verwendet wird?
PM ist offen fuer alle, wobei ich fast davon ausgehe, dass Du hier Admin bist.

Danke

Ja, es gibt mehrere Versionen, angefangen im April mit einer Version, die die Datei von 000h bis fffh RC4 verschlüsselt hat.
Auf diese Version haben auch die AV-Anbieter reagiert, nachdem Matthias die Schlüsselroutine gefunden hatte.
Dann ging es eigentlich sehr schnell, 6kB Verschlüsselung und jetzt 12k, wobei auch die Dateinamen keine Zuordnung mehr ermöglichte.
Von den neuen Varianten kenne ich die 1.04.1 und 1.05.1.
Momentan gibt's die 1.07.1 aber @markusg weiß das ganz genau.
Auf diese Versionen gibt es Seitens der AV-Hersteller nur insofern Reaktionen, als dass die Scanner anschlagen.
Um die Entschlüsselung scheinen sie sich nicht weiter zu kümmern.
Ist halt Sache des Users, wenn er Anhänge öffnet und keine Backups hat.

Auch ist nicht sicher, ob alle Dropper aus der gleichen Feder stammen.
Ich hatte hier zu Testzwecken schon VB und Delphi Varianten.

Aber, wie gesagt, unterhalte Dich mal mit @markusg, der hat Stoff zum debuggen.

Gruß Volker

PS:
Oh, ich sehe gerade, Du hast markusg schon angesprochen, dann war dieses Post nicht nötig.

Hat jemand ein dir Listing von einem Verzeichnis, verschluesselt und unverschluesselt?

Ich habe hier ein Verzeichnis mit Unterverzeichnissen und Dateien, einmal im Original und einmal nach "Behandlung durch den Virus".
Den Bösewicht selbst habe ich auch hier.
Der kam als Registrierung.pif daher und ist in VB geschrienben.

Ich kann alles zusammenpacken und zum Download auf Webspace legen.

jupp, waere nett. Danke.

Ich packe das mal zusammen, schubse es hoch und schicke Dir den Link per PM

Ich habe wohl zu lange gewartet, scheinen alle cc server dicht zu sein, er will einfach nix tun der sack. Verschluesselt nicht sitzt nur und rattelt dns abfragen und fehlgeschlagene verbindungen durch. 7 Stueck an der Zahl, einer antwortet gelegentlich, erlaubt aber keine Verbindung.

Edit: Ich bin ein ... hab mir mal den Verkehr angeschaut, meine Appliance hat den Inhalt vom CC geblockt!

Zitat:

Zitat von BITFOX

Zwei vor, einen zurück...

Soooderle... also die Version "1 1/2" ("3KB zerschossen am Dateianfang") konnte ich derweil "zurückdrehen" - nur "leider" scheint der Trojaner nicht mehr wirklich im Umlauf zu sein. Die ersten 2KB waren wie gehabt, im dritten KB war ein XOR auf das erste, dritte, fünte (...) byte.

Ein Update erfolgt gegen Donnerstag/Freitag - vielleicht hilfts ja doch noch wem. Aktuell komme ich in meiner knappen kleinen freien Zeit nicht wirklich so weit dazu, wie ich dem ganzen nach gehen möchte.

Hallo Oliver,

Ich habe seit dem 10.05. die locked-Dateiname-sddsf.doc Version und hoffe weiterhin auf eine Lösung. Die betroffene HDD liegt im Regal bis es etwas neues gibt. Ich gehe davon aus, dass man das angekündigte Update sobald verfügbar im Service Bereich von Bitfox24 laden kann oder wird dies nur auf Anfrage zur Verfügung gestellt ?

Vielen Dank für deine Arbeit

Chris

Lösung wäre auch für mich interessant; Dateien (doc, exe, jpg, jpeg,...) wurden unter XP "nur" umbenannt. Leider ist kein Schema erkennbar:

- JLpfNqssuoTUOjDGJnpVN = Blaue Berge.jpg
- LpfNqssuoaUgjlGJnp = Sonnenuntergang.jpg
- TdgADxvLXfrqesQoaUO = Wasserlilien.jpg
- DxvLXfrqesQoaUOjlGJ = Winter.jpg

Der Inhalt wurde nicht verschlüsselt, LOG Dateien sind auch nicht verfügbar (Bei mir sinds Kundensystem; Vorrang hat hier das entfernen der Scareware);

Danke für die Anleitungen und die Tools; Die Scareware wurde zur Gänze entfernt, allerdings die verschlüsselten Dateinamen sind ein echtes Problem, da es auch keine Datensicherung gibt ;(
Danke im Voraus!

Zitat:

Zitat von Undertaker

@007Alex007,
welches Original benutzt Du zum generieren des Schlüssels und wieviel Paare stehen Dir insgesamt zur Verfügung?

Volker

Guten Morgen ;-)

also ich habe es mit JPG/PDF/doc/tif Originalen versucht.

Paare sind es eineige die ich habe, da es der PC von meinem Opa war und ich noch eine alte HDD mit Daten gefunden hab. Die Paare die ich bilden kann sind dateien aus 2011 o. später, sollte aber doch eigentlich egal sein?!

Gruß Alex

moin moin, 007Alex007,

nö, egal ist das nicht.
Auch der Virus der "alten Variante" hat ja eine Evolution hinter sich.
Wärend die, Mitte April infizierten Rechner, noch mit einem Paar auskamen, wobei sogar ein Beispielbild reichte, haben die nächsten schon die Beispielbilder nichtmehr nutzen können, weil sie suber blieben.
Beim ersten Rechner den ich die Hände bekam, erfolgte die Infizierung am 2.5.2012.
Zur Entschlüsselung von 12000 JPGs brauchte ich insgesamt vier Paare aus einer Auswahl von mehreren hundert.
Auffällig war, dass die Originale aus verschiedenen Jahren jeweils Teilmengen entschlüsselten.

Wenn Du kein passendes Paar findest, bin ich mit meinem Latein auch fast am Ende.
Ich kann Dir nur raten, alle Tools auszuprobieren und auch mal nach Schattenkopien zu sehen.

http://www.trojaner-board.de/115551-...e-version.html

Gruß Volker

Hi Volker,

aber hattest Du das Problem auch, das Du die Dateien entschlüsseln konntest aber Sie danach trotzdem nicht benutzen, da die Datei anscheinend defekt ist?

LG Alex

Zitat:

Zitat von 007Alex007

Hi Volker,

aber hattest Du das Problem auch, das Du die Dateien entschlüsseln konntest aber Sie danach trotzdem nicht benutzen, da die Datei anscheinend defekt ist?

LG Alex

Ja selbstverständlich war das bei mir genauso.

Sobald ein Tool einen Schlüssel generieren kann, dann bearbeitet es die Datei/Dateien und gibt sie als widerhergestellt aus.
Das Tool verifiziert ja nicht es schreibt nur konsequent die ersten 4000Bytes einer locked-Datei mit dem Schlüssel aus dem Dateipaar um.
War der Schlüssel in Ordnung, ist die Datei widerhergestellt und ist der Schlüssel falsch, dann wird sie zwar im Originalnamen ausgegeben, bleibt aber defekt.

Ich bin folgendermaßen vorgegeangen:
Zuerst habe ich mit dem Kunden selektiert was rekonstruiert werden muß und wass in den Müll kann.
Von den zu rekonstruierenden Dateien wurde eine Sicherungskopie und eine weitere Arbeitskopie gemacht.
Dann habe ich ausschließlich mit der Arbeitskopie hantiert.

Anfangs habe ich AVIRA komplett über die Arbeitskopie mit allen Unterordnern gejagt.
Nachdem ich alle Dateien im Original wiedergefunden habe, dachte ich schon, na prima, ging ja besser als gedacht.
Erst beim Betrachten einiger Bilder quer durch die Unterverzeichnisse stellte ich fest, dass nicht alle Bilder in Ordnung waren.
Gleich mit dem ersten Schlüssel wurden etwa 3000 Bilder wiederhergestellt.

OK, die guten Bilder erstmal gesichert und dann ein anderes Paar in AVira und das Spiel nochmal.

Ergebnis, wieder die gleichen Bilder gut und die gleichen schlecht.

OK, das selbe Spiel nochmal mit einem dritten Paar.

Ergebnis, das gleiche.

Erst als ich den Timestamp der wiederhergestellten Dateien betrachtete fiel mir auf, dass die Zeit stehen geblieben war, sprich, die Dateien waren noch die vom ersten Durchgang.
AVIRA hatte die alten wiederhergestellten Bilder in den folgenden Durchgängen nicht überschrieben.
Seit der Zeit war dieses Tool für mich Geschichte und reif für den Mülleimer.

Dann habe ich ScareUncrypt genommen und das zweite Schlüsselpaar nochmal verwendet.
ScareUncrypt erzeugte zwar neue Dateien aber dennoch keine neuen brauchbaren.
Nach 4 oder 5 weiteren erfolglosen Versuchen habe ich mal gezielt nach einem Dateipaar gesucht, was in den letzten Unterordnern zu finden war.

Und siehe da, ScareUncrypt hat wieder so um die 3000 Bilder im unteren ende der Verzeichnisse brauchbar wiederhergestellt.
Da in den Dateinamern die Jahreszahlen Bestandteil waren fiel mir auf, dass die Originale der ersten Paare aus 2011 und das letzte aus 2009 war.

Dann habe ich willkürlich ein Original aus 2010 und eines aus 2012 genommen und so alle 12000 Bilder wiederhergestellt.

Wenn Du ein Original hast, das auch verschlüsselt vorliegt, dann muß zumindest dieses Eine wiederhergestellt werden.
Bei mir hingen da zufällig weitere 2999 dran.

Gruß Volker

Hallooo,

also ich habe jetzt alle tools ausprobiert, und alle funktionieren (nachdem einer unserer alten Fileserver teilweise davon befallen wurde). Aber: keines dieser tools funktioniert bei Excel files die mit einem Passwort geschützt waren, durch Excel 2007, also mit der eingebauten Passwortfunktion in Excel.
Ich konnte eine original Datei aufspüren und dadurch einen Decrypt key erzeugen. Wie gesagt, alle tools funktionieren für alle Dateien, aber eben nicht für Passwort geschützte Excel Files.

Irgendjemand der mir damit helfen kann und eine Lösung hat?

Vielen vielen Dank

-Martin