Hallo zusammen,

Ein Freund hat sich über ein mail-Attachment den (oder gibt es mehrere Varianten ?) Bundespolizeitrojaner eingefangen und viele Dateien wurden verschlüsselt. Er hat leider die infizierte mail nicht mehr da ein älteres Ghost-Image auf das infizierte System aufgespielt wurde. Ob dieses Image schon verseucht war weiß ich nicht, habe ihm deshalb geraten per Boot-CD mindestens einen Virenscanner über seine 3 HDDs laufen zu lassen, nicht dass evtl. noch die MBRs verseucht sind und der Schaden noch größere Ausmaße annimmt.

Aber davor wollten wir testen ob überhaupt der Dechiffrierschlüssel errechnet werden kann. Es liegen zum Glück noch einige Dateien im Original vor, Fotos als auch ein exe-file. Leider hat keines der auf http://www.trojaner-board.de/114783-...ubersicht.html angegebenen tools es geschafft und nun stellt sich die Frage was tun ?

Habe ich den passenden thread vielleicht übersehen ?
Wäre sehr dankbar über jeden Tipp.

hi
das hinweis fenster und die vorhandenen themen lesen, würde schon mal nen guter anfang sein, im hinweis fenster bzw in den themen steht, unter welchen voraussetzungen die entschl+üsselung funktioniert, und unter welchen man andere programme wie shadow explorer versuchen sollte

Zitat:

Zitat von dxellas

Aber davor wollten wir testen ob überhaupt der Dechiffrierschlüssel errechnet werden kann.
....
Habe ich den passenden thread vielleicht übersehen ?
Wäre sehr dankbar über jeden Tipp.

moin moin,
ja, Du hast allerding viel übersehen.

Zuerst stellt sich die Frage, wie sich die verschlüsselten Dateien darstellen.
Bisher sind drei Verschlüsselungsvarianten bekannt, die jeweils die ersten 3k, 6k oder 12k einer Datei modifizieren.

Die acht Tools sind ausschließlich bei der 3k-Variante wirksam, da der Verschlüsselungsalgo relativ simpel ist und der Schlüssel für einen ganzen Pool verschlüsselter Dateien Gültigkeit besitzt.
Derart verschlüsselte Dateien haben folgende Syntax:
locked-{Dateiname}.{Ext}.{Viersteller} ---> locked-Bild0001.jpg.drwh

Kurzzeitig gab es eine Version mit gleicher Syntax, aber 6k-Verschlüsselung.
Der Verschlüsselungsalgo wurde nicht weiter verfolgt, so dass es dafür kein Tool wie bei der 3k-Verschlüsselung gibt.

Die gemeinste Variante verschlüsselt die ersten 12k einer Datei.
Die Syntax ist:
{Zufallszeichenfolge ohne Ziffern und Sonderzeichen} ---> FGTZUIbnTGHNJolkiJHNB

Der Verschlüsselungsalgo ist RC4, wobei jede Datei ihren eigenen Schlüssel erhält.
Die Zusammenhänge zwischen Originalname - Zufallszeichenfolge - Schlüssel werden als Text in eine Datei {RechnerID}.$02 geschrieben.
Diese Datei befindet sich im Temp-Verzeichnis des Users und ist ebenfalls RC4 verschlüsselt.
Der Schlüssel ist mindestens 31 Zeichen lang. Er wird ohne Zwischenspeicherung auf dem PC an einen C&C Server übermittelt.

Fazit:
Ohne Schlüssel ist eine Wiederherstellung fast aussichtslos und wenn die $02-Datei durch Neuinstallation verloren ist, ganz unmöglich.

Aber das steht ja, wie von @markusg erwähnt, alles unter den Hinweisen.

Volker

Hallo nochmal und vielen Dank für das feedback. Die Dateien haben die Syntax der 12k Variante. Sofern ich richtig verstanden habe gibt es wohl keine Chance einer Wiederherstellung wenn die $02 Datei fehlt die ja im Temp Verzeichnis des Betriebssystems war welches durch das Ghost-Image überschrieben wurde, richtig ?

Zitat:

Zitat von Undertaker

Die gemeinste Variante verschlüsselt die ersten 12k einer Datei.
Die Syntax ist:
{Zufallszeichenfolge ohne Ziffern und Sonderzeichen} ---> FGTZUIbnTGHNJolkiJHNB

Richtig, aus einer Wiederherstellung wird wohl nichts.
Du wirst eher 10 Sechser mit Superzahl tippen als auf Anhieb den Schlüssel für die Datei finden.
Mal unabhängig davon, dass die Datei ja weg ist.

Gleichwohl hast Du aber die Möglichkeit, Dateien mit herkömmlichen Tools zu retten.
Der Erfolg ist vom Dateiformat und von der Dateigröße abhängig.
Näheres findest Du unter Punkt 3 in der Hinweisbox ober am Seitenanfang.

Volker

Alles klar. Danke für die Klarstellung.