Hallo,

bei einem Kunden hatte ich den gleichen Trojaner vor ca. einer Woche schon als Fund und hatte ebenfalls schon angefangen, was zu programmieren.
Finde ich toll, dass anscheinend mehrere Menschen im Netz die gleichen Ideen haben ;-)

Ich bin grade dabei einen "universellen" Unlocker zu bauen -
unter XP kann ich derweil den Schlüssel automatisch erstellen, ohne dass irgendwelche alten und neuen Dateien gebraucht werden.
( hxxp://startseite.bitfox24.de/2012/04/sie-haben-sich-mit-einen-windows.html )

Bin grade dabei ein Image mit VISTA und WIN7 absichtlich zu infizieren, um das ganze dort auch einmal nachzustellen.

Eine neue Verision von dem Trojaner ist ausserdem so dreist und sucht die Network-Shares ab - also Vorsicht, wenn wer in einer Virtuellen Maschine etwas nachstellt oder ihr euch mit einer infizierten Maschine im Netzwerk befindet!

Kind Reguars,

Oliver

Wichtiger Hinweis:


Es ist bereits eine neue Variante im Umlauf, die sich nicht mehr einfach entschlüsseln lässt. Daher folgende Hinweise:

• Arbeitet immer mit Backup-Dateien
• Meldet Euch, wenn es Probleme gibt, denn nur so können neue Lösungen erarbeitet werden.

Download: scareuncrypt.zip

Zitat:

ScareUncrypt 2012-05-30 22:41

ein simples Entschlüsselungs-Programm für ScareWare-locked-Dateien.

Der einfache Weg:

Nach Möglichkeit startet das Programm z.B. unter WindowsXP und hat bereits einen Schlüssel generiert.
Der etwas aufwendigere Weg:
Wenn nicht, müssen Sie dem Programm helfen und selbst einen Schlüssel berechnen.
1) Sie benötigen dafür eine verschlüsselte (defekte) Datei. (Datei 1)
2) die gleiche Datei nochmal - allerdings in einer Kopie, als die Datei noch "ok" war (z.B. Sicherheitskopie von CD-ROM). (Datei 2)
Der Schlüssel wird dann berechnet und bereit gestellt.

Anschließend ein Verzeichnis wählen und starten - viel Glück!

Wir haben verschiedene Dateien bereit gestellt, damit Menschen mit z.B. Archiven nicht so ewig warten müssen, bis die Dateien wieder brauchbar sind.

scareuncrypt.exe -> Für Systeme mit wenig Arbeitsspeicher, arbeitet recht langsam.
scareuncrypt32K.exe -> Für Systeme mit mehr Arbeitsspeicher, arbeitet mäßig schnell.
scareuncrypt512K.exe -> Für Systeme mit viel Arbeitsspeicher, arbeitet sehr schnell.

Einfach einmal ausprobieren.
WICHTIG: KEINE HAFTUNG FÜR EVENTUELLE SCHÄDEN.
DIE ANWENDUNG GESCHIEHT AUF EIGENE GEFAHR HIN.
BITFOX Ltd. & Co. KG
Oliver Lenz
Postfach 102523
45025 Essen
Willkommen - Im Ruhrgebiet zu Hause

Hallo,

habe heute bei einem Emergency-Call wohl die "nummer Drei" sehen dürfen:

Im Gegensatz zu der Variante mit 4 Buchstaben nach der Extension scheint der "große Bruder" 6 stellen nach der Extension zu nutzen (locked-datei.ext.123456) und geht geringfügig anders vor:
Er besitzt 3 Blöcke zu 4K bzw. 6 Blöcke zu 2 K am Anfang der Datei.


BlockA ist wie gehabt zu entschlüsseln.

BlockB low ist BlockA low xor BlockB low.
BlockC high ist BlockA high xor BlockB high.

BlockB high und BlockC low scheinen unverändert.


Der Bildschirm hat sich etwas geändert:
Es handelt sich neuerdings um ein kostenpflichtiges Update von TrueCrypt...

Die italiensichen Kommentare im Programmheader und die schlechte Grammatik sind immer noch gleich.

Hab den neuen "Kumpel" auch mal mit in mein Programm gepackt.
Für Win7 und XP arbeitet die "Schlüsselsuche" allein - man benötigt dort also keine 2 Dateien mehr.

@BITFOX
kannst du mir die variannte zur verfügung stellen?

Hey Markus -


von Nummer drei kann ich dir leider nur noch die "Auswirkungen" präsentieren -
da hatte sich schon wer am System versucht... :-(
Das einzige was ich noch finden konnte, waren Einträge in der Registry:
Der Shell-Eintrag vom Explorer ware mal wieder verdreht worden.

Die Nummer zwei kann ich dir Mittwoch geben, wenn ich wieder in der Firma bin.

Hab ausserdem grade mal getestet -
Unter 2K3, Win7, WinXP läufts fehlerfrei ohne zwei Schlüsseldateien und automatisch.
Unter 2K8 und 2K werde ich das ganze dann ebenfalls am Mittwoch testen.

ScareUncrypt-Download.

Hallo Bitfox.
da ich keine alt/neu-Dateien habe. bzw. es damit mit decrypthelper leider nur bei txt-dateien gefunzt hat habe ich jetzt dein Tool verwendet. Leider fkt. es bei mir auch nicht viel besser:
txt ok
pdf oben verscrambelt
docx nur ein paar wilde zeichen

Please help!

Hallo Bitfox,
auch bei mir nur Datenmüll bei "jpg" Dateien mit und ohne eigenen Dateien

Zitat:

Zitat von Nusshund

Hallo Bitfox,
auch bei mir nur Datenmüll bei "jpg" Dateien mit und ohne eigenen Dateien

Leider dito!

Sofenr möglich ist es immer prima, wenn mir wer das jeweilige "Biest" als eMail an spamdb@bitfox24.de zusenden kann -
so ist es für mich am einfachsten zu sehen, ob ich die variante schon kenne, ob diese sich geändert hat - und vor allem das ganze in einer VM mal nachzustellen.
mit dem "traurigen ergebis" der verschlüsselung lässt sich meist eher weniger anfangen -
damit lässt sich leider meist nur noch testen, ob das jeweilige "entschlüsselung"sprogramm dann funktioniert.

kannst du mir mal das sample schicken, mit dem du dich infiziert hast, es gibt welche, wo das mit den paaren nicht mehr funktioniert
schau mir das dann mal an, nenne in der mail, deinen nutzernamen
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann mail an:
http://markusg.trojaner-board.de
dort die soeben erstellte datei anhängen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.

auch in zukunft, unbekannte mails mit anhang weiterleiten.

Hallo Markus,

hast von mir vorhin schon per Mail bekommen ;o) kanntest es aber leider schon.

sag mir mal deine mail adresse per privater nachicht.

hallo



also bei mir klappte es bis zum entschlüsselt
als ich dann ordner anklickte usw häckchen war in kopie und unterverzeichniss drinnen passierte leider nix mehr.
steht zwar hoffe wir konnten helfen usw.
aber weiss weder wo die entschlüsselten mp3 sind noch ob sie überhaupt da sind. im kaputten ordner tat sich leider nichts.
hoffe es hat wer ne lösung

gruss karin

Hey leider hat mir dein programm nichts genutzt das was bei mir passiert ist ist die neuste version von dem trojaner bei mir zeigts nur noch buchstaben überall an zb. DLAufvdoXApjQynlVgEn war mal ein lied das lied geht noch aber es sehen alle daten so aus und bilder oder filme und dokumente gehen nich mehr was soll ich nun tun ????

Hat alles geklappt!
Nach Infizierung mit dem Windows Verschlüsselungstrojaner unter Windows XP via E-Mail.

Typ war wie folgt: locked-dateiname.endung.(4 random buchstaben)

Bisher klappts mit .doc .pdf. jpeg Dateien - mehr noch nicht getestet, bin aber optimistisch.

Hallo zusammen,

auch mir ist es jetzt passiert. Ich habe mir diesen "BKA" bzw. "UKash" Trojaner eingefangen.

Ich konnte ihn mit dem Avira DE Cleaner entfernen und habe auch noch mal den "Malwarebytes" durchlaufen lassen. Soweit, so gut.

Nun sind aber alle meine Dateien verändert worden. Leider konnte ich zu der Art der Verschlüsselung meiner Dateien keine Information im Netz finden. Kein Programm (weder Avira Ransom File Unlocker, Dr.Web, Decrypthelper usw.) können die Dateien entschlüsseln.

Meine Dateien sehen auch anders aus, wie überall beschrieben, Beispiel: EALqTsyJlElqolXJ so sieht eine veränderte Datei bei mir aus. Das war vorher eine mp3 Datei, also ein Lied. Es steht kein "locked" vor der Datei und es gibt auch keine Dateiendungen. Nur die wilde Buchstabenanordnung.


Kann mir jemand helfen, oder ist zumindest Hilfe in Sicht ?


Vielen lieben Dank


LG Roger