Hallo liebes Trojaner-Board-Team,

ich wurde gestern zur Unterstützung gerufen, weil 2 Rechner in einem kleinen
Firmennetzwerk mit der neusten Version des "Verschlüsselungstrojaners" am 09.05.2012 um 08:34 Uhr befallen wurden.

Es handelt sich hierbei um die folgende Variante des "BKA-Trojaner-Clones":



Als erstes habe ich, um überhaupt Zugriff auf die Systeme erhalten zu können, den entsprechenden Registry-Key-Eintrag, der für das Anstarten des Trojaners und die Sperrung des Systems verantwortlich ist, entfernt, und kann seit dem auf die Systeme zugreifen.

Als nächstes habe ich mit der geupdaten Malware-Antibytes Version einen Scan durchgeführt, 2 Funde davon wurden aber vom im Hintergrund laufenden Kaspersky-Virenscanner abgefangen und entfernt.

Nun hat man zwar wieder Zugriff auf das System, es sind jedoch alle User-spezifischen Daten wie JPG-, DOC-, PDF-Dateien und CO. nach dem üblichen Schema (vermutlich RC4-Verschlüsselung) gelocked, und weisen die Form "locked-<dateiname.endung>.xxxx auf, wobei "xxxx" zufällig generiert zu sein scheint.

Da mir von einigen Ordner glücklicherweise auch Original-Dateien zur Verfügung stehen, konnte ich versuchen, mit folgenden 6 Tools die Verschlüsselung rückgängig zu machen:

- Decrypt Helper 0.5.3 (02.05.12)
- SacreUncrypt (09.05.12)
- Trojan.Ransom.HM-Decrypt.V1.exe (Bitdefender)
- Matsnu1 Decryptor 1.0.0.3
- Ransom File unlocker (Avira, vom 30.04.12)
- Kaspersky RannohDecryptor V1.1.0.0


Alle Versuche sind bislang erfolglos geblieben, die meiste Aussicht auf Erfolg hatte bislang "ScareUncrypt", da sich mit dessen Hilfe mit den Original- und Crypted-Files zumindest ein Key generieren ließ, der Decrypt-Prozess dann angestartet werden konnte, die Files wieder umbenannt wurden, der Inhalt der Dateien jedoch weiterhin unbrauchbar ist.

Nun meine Fragen zur weiteren Vorgehensweise:

- Soll ich Euch ein paar Original-Files mit den dazugehörigen Crypted-Files zusenden?

- Braucht Ihr ein OTL-Log-File der betroffenden Rechner? Ich habe das Tool noch nicht benutzt, aber Eure Anleitung dazu hier im Board gefunden. Um das Tool nutzen zu können, würde ich eine Installation einer Fernwartungssoftware auf einem der Rechner veranlassen, um das Tool dort laufen zu lassen und die Logfiles zu erzeugen.


Vielen Dank schon mal im Voraus für Eure Mühe!!!


Mit freundlichen Grüßen,

Wilfried Dammann

Hallo,

ich schreib dir mal markusg seinen Text hier rein:
hi,
damit alle diese malware erkennen:
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann mail an:
http://markusg.trojaner-board.de
dort die soeben erstellte datei anhängen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

und ein Dateipaar kannst Du mit nennung Deines Namens hier im Forum an: spamdb@bitfox24.de senden.
Ansonsten ist nur Abwarten angesagt.

Hallo nochmal,

vielen Dank für die schnelle Antwort. Ich habe ein Dateipaar an die Adresse "spamdb@bitfox24.de" gesendet. Was die ursprüngliche Mail, die diesen Trouble ausgelöst hat betrifft, muss ich schauen, ob ich die markusg zukommen lassen kann.

Vielen Dank erstmal soweit und bis in Kürze,

Wilfried Dammann

Zitat:

Zitat von wdammann

Hallo nochmal,

vielen Dank für die schnelle Antwort. Ich habe ein Dateipaar an die Adresse "spamdb@bitfox24.de" gesendet. Was die ursprüngliche Mail, die diesen Trouble ausgelöst hat betrifft, muss ich schauen, ob ich die markusg zukommen lassen kann.

Vielen Dank erstmal soweit und bis in Kürze,

Wilfried Dammann

sollte die mail nicht verschickt werden können dann bitte die eml zippen und mit passwort versehen sonst blockt der provider unter umständen

Mein Provider hat nichts angemeckert, das Dateipaar habe ich als ZIP-File (ohne PW) als Anhang angefügt.

Na schaunmermal.....

Zitat:

Zitat von wdammann

Mein Provider hat nichts angemeckert, das Dateipaar habe ich als ZIP-File (ohne PW) als Anhang angefügt.

Na schaunmermal.....

der provider meckert auch nur beim virus sprich der eml datei

Alles klar, ich habe die betreffenden Ansprechpartner informiert, sodaß diese vor Ort die Mail aus Thunderbird extrahieren und als .eml Datei dann weiterleiten.

Das Dateipaar (Original/Encrypted) habe ich ja bereits gesendet.


Einen schönen Abend noch und schon mal ein schönes WE gewünscht,

W.Dammann

Hallo zusammen,

ich habe eine Mail mit der *.eml-Datei (gezipped, mit dem PW "markusg" versehen) und ein Dateipaar (Orig/Crypted) an die Adresse "http://markusg.trojaner-board.de" gesendet.


Vielen Dank für Euer aller Mühen und viele Grüße,

Wilfried Dammann

hi danke.
im moment wirst du leider noch warten müssen, bis eines der tools nen update erhält.

Alles klar. Danke Dir erstmal soweit, der Tee zum Abwarten ist bereits gekocht.... ^^

LG,

Wilfried Dammann

Hallo zusammen,

ich schaue jeden Tag hier vorbei um zu sehen, was es zur o.g. Problematik an neuen Erkenntnissen gibt. Aber leider schaffen die (nunmehr) 7 Tools bislang noch keine Abhilfe.
Die infizierten Rechner wurden bereits neu installiert, ein Imagingverfahren implementiert und sind mittels Fernwartung für mich erreichbar, nur habe ich immer noch das Problem, dass ich einen Ordner mit nicht gerade unwichtigen Daten entschlüsseln muß.

Eine weitere Suche im WEB verlief bislang auch erfolglos, bzw. man landet im Endeffekt auch wieder hier im Forum.

Wie ist Eurer Meinung nach die Einschätzung auf Erfolg? Ich war am Anfang letzter Woche noch ziemlich euphorisch, nur nach den ganzen Meldungen, die sich häufen, schwindet meine Zuversicht so ganz allmählich.....

CU und LG,

Wilfried Dammann

so was dauert nun mal seine zeit, leider.

Das neue Tool Panda UnRansom gestestet... leider auch ohne Erfolg.....