Moin.

Heute hatte ich die erste Bekanntschaft mit einer der neuen Versionen des Paysafe-Trojaners/-Scareware. Ich habe hier und da was dazu gelesen und auch mal ein wenig in die Dateien hinein geschaut (1 PC betroffen / 1 PC sauber) und möchte es hier mal ein wenig zusammen fassen.

Es geht um die Version, die die Dateien nach dem Schema DgFRzUIOPHJV usw. verschlüsselt. Dabei geht es nicht um die Versionen, die die locked.xxxxx Dateien erstellt (siehe http://www.trojaner-board.de/114548-...tml#post830239).

Was ich bis jetzt herausgefunden habe:

1) Die Dateinamen sehen auf den ersten Blick wie Base64 kodiert aus. Merkwürdig ist aber, das mir noch keiner mit Zahlen unter gekommen sind. Wenn man einen Text mit Base64 kodiert, sind dort doch schon ein paar Zahlen drin.

2) Die Dateien sind 1:1 Verschlüsselt, weil die Größe von ver- und unverschlüsselten Dateien gleich ist. Habe 12 Dateien von einem Windows XP ..\All Users\Vorlagen Verzeichnis.

3) Die Dateien scheinen zum 100% verschlüsselt zu sein und nicht nur die ersten 4KB.

4) Die Verschlüsselung scheint je nach Datei unterschiedlich zu sein. Denn ich habe 5 verschlüsselte Dateien, von denen ich weiß, das es jpeg's sind.
Wenn ich nun xor auf die ersten 14 Bytes mache, um einen Standard Jpeg Header zu bekommen, dann kann ich bei der zweiten Datei mit diesem Schlüssel den Jpeg Header nicht wieder herstellen.

Kann das jemand bestätigen, widerlegen oder hat sonst noch etwas heraus gefunden?

MfG

Hi zusammen,

mir geht es genau so.
Heute das Notebook einer Bekannten bekommen die ähnliche Dateien (meist Bilder, Zip und Office Dateien) hat.
Mir ist auch noch das "erstellt am" Datum dieser Dateien aufgefallen.
13. Februar 1601. 09:28:18

Jede Datei die modifiziert wurde hat dieses Datum.

Verweise mal auf diesen Thread hier.
http://www.trojaner-board.de/115183-...umlauf-11.html

Mal sehen ob da was zu retten ist

Habe mir heute aus dem Email-Archiv die Zip mit der "Rechnung 16.05.2012.exe" kopiert. Wenn man diese Ausführt, kopiert sie sich an 2 Stellen auf dem System und macht entsprechende Einträage in der Registry (Autostart...) für den nächsten Systemstart.

Lustigerweise wurde in der virtuellen Maschine nichts verschlüsselt noch der Bildschirm gesperrt ?!?!

Das Ding ist übrigens in Delphi geschrieben. Kann jemand Assembler lesen???
Habe einen Export des "Programms" gemacht...

Nachtrag: Mit Netzwerkverbindung startet das Dingens auch in der virtuellen Maschine.

Hier mal Zeilen 1-10000 - hxxp://pastebin.com/TVgph9NQ
und 10001-18073 - hxxp://pastebin.com/2yH964HZ
als Assembler-Dump. Vielleicht hilfts ja jemanden...

Mhh, wenn man sich die Exe via Idr (hxxp://kpnc.org/idr32/en/index.htm) ansieht, ist da ein 2915 Byte langer, kryptischer String drinne...

13. Februar 1601. 09:28:18

scheint wirklich erstmal die einzige konstante zu sein, quer durchs Web, is bei mir auch so.
Dateigröße ist identisch.

Diverse MP3 können durch anhängen der extrention .mp3 wieder zum leben erweckt werden, somit scheint es doch nicht 100% verschlüsselt zu sein oder?

Zitat:

Zitat von ml17950

Moin.

Heute hatte ich die erste Bekanntschaft mit einer der neuen Versionen des Paysafe-Trojaners/-Scareware. Ich habe hier und da was dazu gelesen und auch mal ein wenig in die Dateien hinein geschaut (1 PC betroffen / 1 PC sauber) und möchte es hier mal ein wenig zusammen fassen.

Es geht um die Version, die die Dateien nach dem Schema DgFRzUIOPHJV usw. verschlüsselt. Dabei geht es nicht um die Versionen, die die locked.xxxxx Dateien erstellt (siehe http://www.trojaner-board.de/114548-...tml#post830239).

Was ich bis jetzt herausgefunden habe:

1) Die Dateinamen sehen auf den ersten Blick wie Base64 kodiert aus. Merkwürdig ist aber, das mir noch keiner mit Zahlen unter gekommen sind. Wenn man einen Text mit Base64 kodiert, sind dort doch schon ein paar Zahlen drin.

2) Die Dateien sind 1:1 Verschlüsselt, weil die Größe von ver- und unverschlüsselten Dateien gleich ist. Habe 12 Dateien von einem Windows XP ..\All Users\Vorlagen Verzeichnis.

3) Die Dateien scheinen zum 100% verschlüsselt zu sein und nicht nur die ersten 4KB.

4) Die Verschlüsselung scheint je nach Datei unterschiedlich zu sein. Denn ich habe 5 verschlüsselte Dateien, von denen ich weiß, das es jpeg's sind.
Wenn ich nun xor auf die ersten 14 Bytes mache, um einen Standard Jpeg Header zu bekommen, dann kann ich bei der zweiten Datei mit diesem Schlüssel den Jpeg Header nicht wieder herstellen.

Kann das jemand bestätigen, widerlegen oder hat sonst noch etwas heraus gefunden?

MfG

Ich kann das bestätigen. Leider keine Lösung zu.

Bezüglich der Verschlüsselung:

Bei .jpg Dateien kann ich in unserem Fall sicher sagen,
dass es lt. Oketa (Hex Editor für die Pinguinzucht) nur bis zur Adresse
0000:3000 zu Änderungen kommt, ab da an ist alles beim Alten.

Beispielbild genommen, alles bis 0000:3000 aus intakter Datei kopiert,
in Defekter überschreibend eingefügt und die Windows 7
Blumenzucht bewundert.

Btw. gehe ich mal davon aus, dass dieser Thread sich auf die
von Dir beschriebene Variante bezieht. Sind ein paar
tolle Denkansätze bei, leider aber auch noch keine Lösung.

http://www.trojaner-board.de/115183-...te-umlauf.html
.

hallo fdy,
dass die ersten 12k verschlüsselt werden ist bekannt.
Das Überschreiben dieses Bereiches einer verschlüsselten Datei mit den ersten ersten 4k eines Originales muß zwangsläufig zu einer "gesunden" Datei führen.
Das hilft nur wenig, wenn ich das Original habe, kann ich das unbrauchbare auch vernichten.

Solche Versuche habe ich auch gemacht.
Allerdings habe ich die ersten 4k einer x-beliebigen Datei (JPG, PDF, DOC) genommen und in eine entsprechende verschlüsselte Datei eingefügt.
Das wäre was gewesen.
Allerdings kam dabei auch nur Müll raus.

Gruß Volker

Huhu Undertaker,

wie ich mit breitem Schmunzeln feststellen darf
gehen wir alle aktuell mit ziemlich ähnlichen Lösungsansätzen
an dass Problem heran. Folglich leider auch mit ähnlichem Mißerfolg.

Da die ganze Sache doch relativ komplex ist, wäre es fein,
wenn es irgendwo ein Post geben würde, wo das gesammelte
Wissen fix zusammengetragen wird von jemandem der bereits
tief und fundiert mit dem "Mistvieh" arbeitet.

Nach 29 Seiten im anderem Thread ist jede Menge Wissen so wahnsinnig
breit gestreut, dass ich zugebe langsam vor lauter Input ein bisschen die Übersicht
zu verlieren. Evtl. würde per Sammlung doch noch der Groschen fallen, der die Lösung bringt.,
leider fehlt mir die Zeit soetwas aufzustellen.
Evtl. fühlt sich ja jemand genötigt einmal einen Status Quo in Stichpunkten / Tabelle auf die Beine zu stellen.

Ja, die Unübersichtlichkeit in den Diskussionsforen habe ich auch schon kritisiert.
Nur wer will's den Leuten verdenken, wenn sie aus Angst und in Hektik überall nach Hilfe rufen, egal ob es in die Boardregeln passt oder nicht.
Insofern wird ein neues Theme mit einer Zusammenfassung der bisherigen Möglichkeiten nicht lange übersichtlich bleiben.

die ersten 12K jeder Datei (außer Direktory) sind auch bei mir verschlüsselt
XOR gegenüber Backup-Datei liefert bei jeder Datei andere XOR-Werte
die Anzahl Bytes und das Datum sind unverändert
Vielleicht verwendet der nicht XOR.

Mit diversen Dateiwiederherstell-Programmen habe ich nach gelöschten Dateien gesucht,
auch ohne Erfolg, sieht so aus, als ob der Trojaner direkt in die Datei rein geschrieben hat.
Der Tronajer hat 3 zusätzliche Dateien angelegt:
Ordner C:\Dokumente und Einstellungen\%username%\Lokale Einstellungen\Temp
24F73BA6303943500031.$$0 708KB
24F73BA6303943500031.$02 1.62MB
24F73BA63039435000315247 1KB (ohne Extension, war gelöscht)
Alle 3 Dateien sind exakt zum Zeitpunkt des Trojaner-Starts erstellt worden.
Vielleicht steht da irgendwas brauchbares drin.
Die Datei ohne Extension könnte den Schlüssel enthalten, die anderen beiden vielleicht Namen und Schlüssel. Wenn ich den Schlüssel mit XOR drüber lege, sehe ich aber bisher auch nichts sinnvolles.
Weiter oben in diesem Thema stand: Wissen zusammenfassen
Gute Idee: Ich bin dabei.

Zitat:

Zitat von FraWe

die ersten 12K jeder Datei (außer Direktory) sind auch bei mir verschlüsselt
XOR gegenüber Backup-Datei liefert bei jeder Datei andere XOR-Werte
die Anzahl Bytes und das Datum sind unverändert
Vielleicht verwendet der nicht XOR.

Stimmt, im Code des Trojaners wird die Windows-API-Funktion CryptDeriveKey aufgerufen:
__in ALG_ID Algid, // 0x00006801
Nach MS ist der ALGID 0x00006801 = RC4.
Dabei wird für jede Datei ein eigener Schlüssel generiert.

Zitat:

Mit diversen Dateiwiederherstell-Programmen habe ich nach gelöschten Dateien gesucht,
auch ohne Erfolg, sieht so aus, als ob der Trojaner direkt in die Datei rein geschrieben hat.

Stimmt.

Zitat:

Der Tronajer hat 3 zusätzliche Dateien angelegt:
Ordner C:\Dokumente und Einstellungen\%username%\Lokale Einstellungen\Temp
24F73BA6303943500031.$$0 708KB
24F73BA6303943500031.$02 1.62MB
24F73BA63039435000315247 1KB (ohne Extension, war gelöscht)

Das ist bekannt.
In der $02 stehen die Informationen zu den verschlüsselten Dateien.
Originalname - Verschlüsselungsname - Schlüssel werden dort als String hinterlegt.

Zitat:

Die Datei ohne Extension könnte den Schlüssel enthalten,

Nein, der Schlüssel für die $02-Datei befindet sich zu keiner Zeit so auf dem Rechner, als dass man ihn auslesen könnte.

Volker

Hallo
gibt es mittlerweile ein tool zum decodieren des neuen Verschlüsselungs Trojaners?

Ich habe mir Die neue Version mit dem DgFRzUIOPHJV eingefangen!
Habe das System win7 neu aufgesetzt da System auf sdd läuft!
Leider sind alle Dokumente und Bilder auf separater Festplatte verschlüsselt!

Hat schon einer irgendwie die Daten wieder Retten können?
Shadow war auf der Festplatte nicht aktiv!

Mfg Rudi

Zitat:

Zitat von ruekue

Hat schon einer irgendwie die Daten wieder Retten können?
Shadow war auf der Festplatte nicht aktiv!

Hallo Rudi,
dann stöber hier mal etwas in den einschlägigen Foren, dann wirst Du erkennen was geht und was nicht.

Volker

Gelesen hab ich schon viele Threads aber nix hat bisher geholfen.
da ich ja die viele Buchstaben Verschlüsselung habe und nicht wie die Vorgänger mit Lock.xxxx und so was!

Zitat:

Zitat von ruekue

Gelesen hab ich schon viele Threads aber nix hat bisher geholfen.
da ich ja die viele Buchstaben Verschlüsselung habe und nicht wie die Vorgänger mit Lock.xxxx und so was!

Bei welcher Art von Dateien hast Du was probiert?
Gib doch mal paar mehr Infos.

Volker